Python-сообщество
Форум сайта python.su
- Вы не вошли.
Уведомления
Группа в Telegram: @pythonsu
![[RSS Feed]](/static/djangobb_forum/img/feed-icon-small.png "[RSS Feed]"){kind=icon}
#1 Ноя. 14, 2008 15:08:32
- bw
-
-
- От:
- Зарегистрирован: 2007-09-26
- Сообщения: 938
- Репутация:
20 
- Профиль Адрес электронной почты
Blender 2.48
Думаю стоит создать отдельный раздел, касающийся вопросов безопасности. Наверное в общем, а не в контексте конкретного framework'а и т.п.
В данной теме я хочу опудликовать такоё известие - http://www.securitylab.ru/vulnerability/363034.php:
Уязвимость существует из-за того, что Blender использует текущую рабочую директорию в поисковом пути Python модуля. Злоумышленник может обманом заставить пользователя запустить Blender в директории, содержащей Python файл, который называется как один из модулей приложения, и выполнить произвольный Python код с повышенными привилегиями.Кое считаю полным бредом в смысле компрометации Blender'а или Python. Поведение Python в данном случае, как и Blender, абсолютно нормальны. Получить повышенные привилегии можно только в случае глупости администратора системы или пользователя имеющего повышенные привилегии. Очевидно, что Python, запущенный под root или под другим привилегированным пользователем системы, не должен использовать модули и пакеты, авторами которых являются аккаунты низшей ступени доступа.
..bw
Офлайн
#2 Ноя. 15, 2008 09:02:22
- .Serj.
-
-
- От:
- Зарегистрирован: 2008-09-27
- Сообщения: 181
- Репутация:
0
- Профиль Отправить e-mail
Blender 2.48
bw,
Эти засранцы(по другому никак не назвать) из секлаба всё переврали, причём со своего же англ. зеркала. Сходил на источник:
Published: 31-10-2008Этот “портал по безопасности” - замаскированный холиварник(почитайте коменты в TOP новостях), к тому же явно про-майкрософтовский. Хорошо ещё, что хоть на источники ссылаются. Нет, чтобы просто перевести, так эти “переводчики” ещё своё больное воображение подключили.
Vulnerability description:
Untrusted search path vulnerability in BPY_interface in Blender 2.46 allows local users to execute arbitrary code via a Trojan horse Python file in the current working directory, related to an erroneous setting of sys.path by the PySys_SetArgv function.
Patch available: No
References:
MLIST: http://www.openwall.com/lists/oss-security/2008/10/27/1
CONFIRM: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=503632
В общем, похоже, что русский секлаб с английским имеет мало общего, что очень наглядно иллюструет данный пример.
UPD:
Думаю стоит создать отдельный раздел, касающийся вопросов безопасности. Наверное в общем, а не в контексте конкретного framework'а и т.п.Я за :)
Отредактировано (Ноя. 15, 2008 09:04:23)
Офлайн
#3 Ноя. 15, 2008 09:41:12
- igor.kaist
-
-
- От:
- Зарегистрирован: 2007-11-12
- Сообщения: 1879
- Репутация:
3
- Профиль Отправить e-mail
Blender 2.48
Если я напишу скрипт на питоне, который удаляет системные файлы, и выложу в сеть, то по аналогии, его назову вирусом, а питон “дырявым”? :)
Офлайн