Některé implementace příkazu less mohou být nebezpečné

V některých linuxových distribucích může být problém s implementací příkazu less, který volá přes skripty další utility, které nebyly nikdy zamýšleny k prohlížení nedůvěryhodných souborů z internetu. [CSIRT.CZ]

Komentáře

meanwhile in gnu world...

27.11.2014 11:59 R
Rozbalit Rozbalit vše Re: Některé implementace příkazu less mohou být nebezpečné

Meanwhile in Windows:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6321

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6332

To znamená, že existují takové implementace, které jsou nebezpečné?

27.11.2014 18:17 agadg
Rozbalit Rozbalit vše Re: Některé implementace příkazu less mohou být nebezpečné

Ano

27.11.2014 18:32 pavele
Rozbalit Rozbalit vše Re: Některé implementace příkazu less mohou být nebezpečné

A které implementace to konkrétně jsou? Jaké distro?

Opravil bych ještě zprávičku na: Některé implementace mohou být nebezpečné.

To aby to bylo více konkrétní s uvedením možnosti příkladů zneužití a nahlášení chyb těchto konkrétních implementací.

27.11.2014 18:41 elf
Rozbalit Rozbalit vše Re: Některé implementace příkazu less mohou být nebezpečné

V odkazovaném textu je napsáno, že se jedná o Ubuntu a CentOS.

27.11.2014 21:08 agadg
Rozbalit Rozbalit vše Re: Některé implementace příkazu less mohou být nebezpečné

Ano.

27.11.2014 21:25 Jindřich Makovička | skóre: 17
Rozbalit Rozbalit vše Re: Některé implementace příkazu less mohou být nebezpečné

Kterákoli implementace lessu je nebezpečná, pokud je nebezpečně nakonfigurovaná, tj. má pomocí proměnné LESSOPEN zapnutý preprocesor.