|
|
|
|
|
|
|
| | Zitat von csde_rats
Ich lese das so, dass Transmission halt ein Socket auf 127.0.0.1 aufmacht, und was auch immer da für ein RPC-Protokoll läuft: Es ist durch das Hinschicken eines HTTP-Requests exploitbar. Immer im Hinterkopf behalten, dass http:// nicht bei der Anwendung ankommt. HTTP-Request == IRC-Verbindung, z.B.
Eine Webseite macht dann halt <img src="http://127.0.0.1:transmission/?lol=meinshellcode" width=0 height=0> .
| |
direkt mit 127.. macht ers nicht, sondern benutzt dafür dns rebinding. vielleicht irgend ein javascript "security" foo, ka.
wird schon seinen grund haben.
was mich wundert, bei dem patch
https://github.com/transmission/transmission/pull/468/commits/bd749513a092578ffb43f1bc0a12e23c2cdc35aa
schneidet er zuerst nen ":" ab und schaut dann obs nen erlaubter host oder ne ipadresse ist. bricht er damit nicht ipv6 kompatiblität? hatte genau den gleichen fall bei nem programm von mir mal 
|
|
|
|
|
|
|
|
|
|
|
Ich mach sowas ähnliches wie Bittorrent 
Macht mir Angst. Allerdings sind das HEX-Codes für eine externe Library und ich will mal hoffen, dass die nichts skurrileres als ich machen.
// edit
https://github.com/transmission/transmission/pull/468
Ist anders als ich dachte, kann aber etwas mitnehmen. Schade, dass ich auf die Securitykonferenz von Heise nicht gehen konnte. Aber auf die Klausel "darfst danach nicht die Firma verlassen für x Jahre" habe ich keine Lust.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 15.01.2018 11:30]
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
hoffen, dass die nichts skurrileres als ich machen.
| |
Ha! 
| | The first of the vulnerabilities CVE-2017-15548, allows an attacker to gain root access to the servers.
...
CVE-2017-15549, makes it possible for an attacker to potentially upload malicious files into "any location on the server file system" without authentication.
...
CVE-2017-15550, is a privilege escalation bug that could allow someone with low-level authenticated access to access files within the server. The attacker could do this by using a Web request crafted to take advantage of "path traversal" | |
https://arstechnica.com/information-technology/2018/01/emc-vmware-security-bugs-throw-gasoline-on-cloud-security-fire/
Und mit "gain root access" ist natürlich gemeint, dass # kein Passwort hat.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 15.01.2018 11:34]
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
Aber auf die Klausel "darfst danach nicht die Firma verlassen für x Jahre" habe ich keine Lust.
| |
Wait, what?
|
|
|
|
|
|
|
|
|
|
|
Kennst du das nicht? In Deutschland ist die Unsitte verbreitet, eine Weiterbildung wird nur bezahlt, wenn du dich verpflichtest weitere $VAR Jahre bei der Firma zu bleiben. Wenn du vorher kündigst, musst du den aufgewendeten Betrag an den Arbeitgeber zurückzahlen. Die HeiseSec auf dich ich gerne gegangen wäre, hätte mindestens 2000 Euro oder mehr gekostet.
Und das möchte ich aus Prinzip nicht. Hätte ja nur unsere Software sicherer machen können. So halt nicht
Im Umkehrschluss ist der Arbeitgeber verwundert, warum das Budget für freiwillige und aktive Weiterbildung nach abgerufen wird.
Eine Ausbildung oder Weiterbildung die zu einem staatlich anerkannten Titel führt, ist etwas anderes. Da habe ich dann als Arbeitnehmer hinterher ebenso etwas greifbares in der Hand.
|
|
[Dieser Beitrag wurde 6 mal editiert; zum letzten Mal von hoschi am 15.01.2018 12:24]
|
|
|
|
|
|
|
|
|
|
Das würde hier meines Wissens vor keinem Gericht jemals Stand halten.
|
|
|
|
|
|
|
|
|
|
|
|
Wut. Hab ich ehrlich gesagt noch nie gehört. War selber auch schon auf ner Konferenz und bin 1 Monat später gegangen.
|
|
|
|
|
|
|
|
|
|
|
|
Dito, noch nie gehört sowas. Und ich bin mir ziemlich sicher, dass das nichtmal vor Gericht landen würde. Schule ist zwar schon eine ganze Weile her, aber Arbeitsverträge mit so einer Klausel drin wären wohl mindestens zum Teil ungültig.
|
|
|
|
|
|
|
|
|
|
|
Das kommt auch nicht in den Arbeitsvertrag, sondern in den Antrag* zur Weiterbildung. Für Gewerkschaften** sind Programmierer aber zu selbstverliebt. Berater hier hat nach der Kündigung - und vor dem letzten Arbeitstag - eine Weiterbildung besuchen müssen, weil er sie vorher beantragt hatte. Und dann bezahlen.
Bei der HeiseSec hätte ich genau so viel, oder mehr als bei der GUADEC mitnehmen können. Letzteres hat mich privat interessiert, konnte hinterher was beruflich nutzen. Und Sicherheit wäre bei uns ein ernstes Thema.
* Vielleicht wird so das übliche Arbeitsrecht unterlaufen?
** Wir werden das irgendwann bereuen
|
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von hoschi am 15.01.2018 14:10]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | It was discovered that multiple integer overflows in the GIF image loader
in the GDK Pixbuf library may result in denial of service and potentially
the execution of arbitrary code if a malformed image file is opened.
| |
Ich hab inzwischen das Gefühl, dass nur wenige Dinge meinen Zynismus besser entwickelt haben als das Abo von security@.
——
https://heise.de/-3941162
Spiel: heise-Artikel lesen und wetten, ob der von Martin "Horst" Fischer geschrieben wurde. Quote: 90 %.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 15.01.2018 21:24]
|
|
|
|
|
|
|
|
|
|
Sagt mal, hast du neuerdings eine besondere Freude daran uns mit diesen Sicherheitslücken zu beglücken? Wir haben den Kampf um die Sicherheit verloren, wissen wir.
|
|
|
|
|
|
|
|
|
|
|
|
den um hoschi-kompatible X-Thinkpads auch, aber das hält dich auch nicht ab.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von GarlandGreene
den um hoschi-kompatible X-Thinkpads auch, aber das hält dich auch nicht ab.
| |
Danke, ich hatte den Post schon angefangen zu schreiben und dann doch resigniert
|
|
|
|
|
|
|
|
|
|
|
|
Poste ich das in letzter Zeit häufiger als sonst? Hmm. Wird abgestellt
|
|
|
|
|
|
|
|
|
|
|
|
Ich finds voll okay, ist ja informativ.
|
|
|
|
|
|
|
|
|
|
|
als eher stiller Mitleser hier:
weiter machen  beide, Hoschi bringt wenigstens bisschen Popcornstimmung rein 
|
|
|
|
|
|
|
|
|
|
|
Hier, für dich 🍿
| | Zitat von SwissBushIndian
| | Zitat von GarlandGreene
den um hoschi-kompatible X-Thinkpads auch, aber das hält dich auch nicht ab.
| |
Danke, ich hatte den Post schon angefangen zu schreiben und dann doch resigniert
| |
Nimm dir mal ein Beispiel an Garland 
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 16.01.2018 13:57]
|
|
|
|
|
|
|
|
|
fefe hat ja schon etwas Reichweite. Postet nen Link, ich klick drauf, Server bricht keuchend zusammen, weil mit mir noch ein paar hundert andere das Ding angeklickt haben.
Vermutlich ist das Problem, daß da jetzt deutschlandweit 800 js-Skripte gleichzeitig den Ad-Server um bunte Bildchen anbetteln. Hier, hier, ich will die schwedische Penispumpe als erster anzeigen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von GarlandGreene
fefe hat ja schon etwas Reichweite. Postet nen Link, ich klick drauf, Server bricht keuchend zusammen, weil mit mir noch ein paar hundert andere das Ding angeklickt haben.
Vermutlich ist das Problem, daß da jetzt deutschlandweit 800 js-Skripte gleichzeitig den Ad-Server um bunte Bildchen anbetteln. Hier, hier, ich will die schwedische Penispumpe als erster anzeigen.
| |
Ich wundere mich erstmal über die Sache mit printf beide Links für ins Niemandsland von Twitter (Twitter ist so eine unübersichtliche Labberstube...) ohne Inhalt dazu passend. Außer:
https://gist.github.com/jld/1d447be7ab180cfa74765fedb42ba164
Also beim RETURN steht sicher nicht, welche Argument man übergeben darf und zweitens steht auch nichts im Standarddokument. Das steht bei den Parameter oder spätestens in der Funktionsbeschreibung.
Dafür ist die Sache mit dem russischen Lehrer interessant, wobei ich die Vorgeschichte nicht kenne die Fefe da anspricht.
|
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von hoschi am 16.01.2018 17:52]
|
|
|
|
|
|
|
|
|
| | Zitat von csde_rats
Poste ich das in letzter Zeit häufiger als sonst? Hmm. Wird abgestellt
| |
bitte nicht, find ich in der regel ziemlich interessant und lern auch ab und zu das ein oder andere
btw: yeeeha!
ich hab ja noch das original von 1999 im einsatz(!), damals über letsbuyit.com für 100DM ergattert anstatt für 120, das waren noch zeiten.
|
|
|
|
|
|
|
|
|
|
Karma
|
Ich habe doch mein ThinkPad (X220, Intel SandyBrdige HD3000) per DisplayPort 1.1 mit dem LG verbunden, so bekomme ich 3480x2180@30Hz. Die RX560 im Desktop kann den LG auch wunderbar ansprechen per DisplayPort 1.4 mit 3480x2180@60Hz. Ratet mal was die RX560 im Desktop nicht kann? Per HDMI 2.0b den LG überhaupt richtig ansteuern, Pixelmatsch.
Karma? Nur weil ich DP mehr mag als HDMI?
Laptop per DP und Desktop per HDMI wäre elegant gewesen, ohne Umgestecke. Ist das, die Rache vom HDMI-Konsortium?
// edit
Ich probiere jetzt mal ein anders HDMI-Kabel und dann versuche ich den Desktop auf Kernel 4.15 hochzuziehen, dann könnte ich AMDGPU DC statt AMDGPU als Grafiktreiber verwenden.
|
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von hoschi am 16.01.2018 23:39]
|
|
|
|
|
|
|
|
|
|
Ich bin mir ziemlich sicher, dass amdgpu bereits in Benutzung ist. Das war schon immer der Treiber für GCN Gen3+.
|
|
|
|
|
|
|
|
|
|
|
Mein Fehler, ich meine AMDGPU DC, welches erst mit linux >= 4.15 kommen wird (und bei der RX 4xx/5xx noch per Hand eingeschaltet werden muss).
Achtet mal weniger auf den Pixelmatsch, interessanter ist die empfohlene Auflösung und Frequenz die mir der Monitor hier empfiehlt! Die RX560 muss aber 3840x2160@60Hz über HDMI können, die hat schon HDMI2.0b. Ich erreiche nicht mal die empfohle Auflösung mit 30Hz, lediglich 1920x1080@60Hz. Der DP1.1 im ThinkPad kommt ja sogar auf 3480x2080@30Hz.
Übrigens kommen alle nativen Anwendung mit GTK3 mit 4K gut zurecht, auch Firefox mit XUL/GTK3 und CS:GO, jedoch nicht Steam. Steam ist und bleibt winzig, aber damit arbeitet man auch nur ein paar Sekunden.
|
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von hoschi am 17.01.2018 0:16]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Mir scheint, das Wichtigste bei neuen Lücken ist erst mal ein fancy Name und eine dazugehörige Website.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von red
Mir scheint, das Wichtigste bei neuen Lücken ist erst mal ein fancy Name und eine dazugehörige Website.
| |
Unsinn. Natürlich ist ein fancy Logo am wichtigsten.
|
|
|
|
|
|
|
|
|
|
|
Jetzt hoer aber mal auf, nur weil sie sich zuerst einen schicken Namen einfallen lassen, dann die Website aufsetzen und dann nach einem Bug suchen?
Update von der 4K Front:
Ich habe den Monitor in die Arbeit geschleppt und testen lassen, leider nicht so einfach. Alle ThinkPads sind aus der #2#0 Generation oder noch aelter, alle anderen Geaete sind Ultrabooks von Fujitsu und haben nur DP, nicht mal an an der Dockingstation (da halt dann dreimal DP!!!). Und ich weiss schon das 3480x2180@30Hz mit DP 1.1 funktioniert und 3480x2180@60 ab DP 1.4 funktioniert. Werksstudenten? Applelaptop, alles USB-C, also wieder DisplayPort. Wieso sind auf einmal ueberall DisplayPorts, wenn man mal keine braucht!? Ein netter Kollege hat dann kuerzlich ein Dell Latitude mit Kaby-Lake (also wieder kein HDMI 2.0) bekommen, aber wenigstens ein nativer HDMI 1.4 Port. HDMI kommt mit 3480x2180@24(!)Hz an. Also ist der HDMI-Eingang am Monitor nicht kaputt oder so. Also wieder nach Hause und Fedora Rawhide (28) mit Kernel 4.15-rc8 gezogen, mit amdgpu.dc=1 gestartet und *b00m* 3480x2180@30Hz funktioniert. Was lernen wir daraus, die Treiberentwicklung bei AMD steht wohl etwa seit HDMI 2.0b - weil das Zeug noch nicht im Kernel ist. Nun, jetzt fehlen aber immer noch 30Hz per HDMI um zu DisplayPort 1.2/1.3/1.4 aufzuholen.
https://bugs.freedesktop.org/show_bug.cgi?id=104412
Treffer. Versenkt! Monitor kann bleiben! Grafikkarte muss nachsitzen, Kernel auch. Ich habe da jetzt ein unsachliches, langes +1 abgeben. Und 60Hz hat schon funktioniert, aber scheinbar nutzt bei AMD niemand 4K und HDMI gleichzeitig
|
|
[Dieser Beitrag wurde 7 mal editiert; zum letzten Mal von hoschi am 18.01.2018 23:05]
|
|
|
|
|
|
| Thema: Der Linux-Thread 100 != 0x24 ( Ein Kernelupgrade später... ) |
