В рабочей среде KDE и web-браузере Opera практически одновременно была обнаружена ошибка в обработке строк, содержащих URL, приводящая к тому, что злоумышленник может удалить или перезаписать произвольный файл из числа тех, к которым имеет доступ пользователь, запустивший процесс. Проблема кроется в том, что эти программы не проверяют URL'ы для протоколов mailto, telnet, rlogin и ssh на предмет наличия в их начале символа '-', с помощью которого злоумышленник может передать параметры командной строки соответствующим программам-обработчикам. Ошибка "хрестоматийная" и описана во многих учебниках по CGI-программированию, однако, и на старуху бывает проруха. "Дыра" присутствует во всех версиях KDE, вплоть до 3.2.2. Исправления доступны с сайта проекта.
San АНДРЕЕВ | 19.05.2004 | 07:42 |
Комментарии посетителей:
Ваш комментарий:
|