вот и верь после этого людям
20-08-2015 13:30
к комментариям - к полной версии
- понравилось!
"Уязвимости в сервисе Pocket, поддержка которого недавно добавлена в Firefox
Проблема была обнаружена после попытки отложить в Pocket ссылку "http://127.0.0.1/server-status", что привело к появлению на другом синхронизированном устройстве содержимого страницы со статистикой работы сервера. Кроме того, был продемонстрирован URL, добавление которого в очередь Pocket приводит к редиректу на "file:///etc/passwd" и позволяет получить содержимое файла /etc/passwd серверов Pocket. Этим методом можно получить доступ для чтения других файлов с с сервера, например, SSH-ключей. Более того, проверка параметров текущего процесса через получение содержимого /proc/self/status показала, что выполняющий запрос процесс выполняется с правами root, что даёт возможность получить полный контроль над сервером.
Выявленные уязвимости лишний раз указали на то, что проприетарным службам, реализация которых не может быть проконтролирована сообществом, не следует слепо доверять данные пользователей. Информация об уязвимости опубликована после устранения проблемы на стороне Pocket, тем не менее, выявленные проблемы красноречиво говорят об уровне защиты данного сервиса."
Не знаю, правда, нафига запускать на сервере Firefox, но доверие каким бы то ни было левым конторам выходит себе дороже. Оторвал этот Pocket сразу же, как только о нём услышал в свежем фоксе. На всякий случай, чего и всем желаю.
вверх^
к полной версии
понравилось!
в evernote
"Уязвимости в сервисе Pocket, поддержка которого недавно добавлена в Firefox
Проблема была обнаружена после попытки отложить в Pocket ссылку "http://127.0.0.1/server-status", что привело к появлению на другом синхронизированном устройстве содержимого страницы со статистикой работы сервера. Кроме того, был продемонстрирован URL, добавление которого в очередь Pocket приводит к редиректу на "file:///etc/passwd" и позволяет получить содержимое файла /etc/passwd серверов Pocket. Этим методом можно получить доступ для чтения других файлов с с сервера, например, SSH-ключей. Более того, проверка параметров текущего процесса через получение содержимого /proc/self/status показала, что выполняющий запрос процесс выполняется с правами root, что даёт возможность получить полный контроль над сервером.
Выявленные уязвимости лишний раз указали на то, что проприетарным службам, реализация которых не может быть проконтролирована сообществом, не следует слепо доверять данные пользователей. Информация об уязвимости опубликована после устранения проблемы на стороне Pocket, тем не менее, выявленные проблемы красноречиво говорят об уровне защиты данного сервиса."
Не знаю, правда, нафига запускать на сервере Firefox, но доверие каким бы то ни было левым конторам выходит себе дороже. Оторвал этот Pocket сразу же, как только о нём услышал в свежем фоксе. На всякий случай, чего и всем желаю.
Комментарии (9):
cherez_dorogu
20-08-2015-14:24
удалить
ойойой!!!! а где этот самый Покет окопался? А то у меня ФФ обновляется, как сам себе пожелает, а я и не слежу, чего он там себе наставил...
zerg_from_hive
20-08-2015-14:31
удалить
cherez_dorogu, посмотри в about:config, найди там browser.pocket.enabled и выставь значение в false. На всякий случай не помешает фокса перезапустить.
Ответ на комментарий zerg_from_hive #
А сама строка "browser.pocket.enabled" удаляется или нет?
zerg_from_hive
20-08-2015-15:43
удалить
nvy, если бы она удалялась, я бы её ТОЧНО удалять не рискнул, т.к. с вероятностью 146% дефолтное поведение этой хрени -- "включено" + проверить было бы уже негде.
cherez_dorogu
20-08-2015-17:31
удалить
Ответ на комментарий zerg_from_hive #
zerg_from_hive, спасибо!!!
zerg_from_hive
20-08-2015-17:48
удалить
cherez_dorogu, ещё дырка во встроенном просмотрщике PDF.js в фоксе была, ничуть не хуже по последствиям, но мозилловцы быстро выпустили обновление. Так что если у тебя фокс регулярно обновляется, то этой уязвимости уже не должно быть, хотя можешь и его оторвать: там же в about:config выставить в true параметр pdfjs.disabled.
Исходное сообщение zerg_from_hive
cherez_dorogu, посмотри в about :config, найди там browser.pocket.enabled и выставь значение в false. На всякий случай не помешает фокса перезапустить.
Жесть, как сложно
zerg_from_hive
20-08-2015-19:55
удалить
Лезгафт, а там некоторые настройки сознательно запрятаны поглубже, чтобы юзеры ничего просто так не перехреначили. Хорошо ещё хоть, что не полностью перекрыли доступ.
cherez_dorogu
21-08-2015-18:11
удалить
Ответ на комментарий zerg_from_hive #
zerg_from_hive, И за это спасибо - оторву, потому что мне он не нравится, он глючный.
Комментарии (9):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник вот и верь после этого людям | zerg_from_hive - Бредовые мысли спросонья |
Лента друзей zerg_from_hive
/ Полная версия
Добавить в друзья
Страницы:
раньше»