The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в xterm, приводящая к выполнению кода при обработке определённых строк

12.11.2022 10:45

В эмуляторе терминала xterm выявлена уязвимость (CVE-2022-45063), позволяющая добиться исполнения shell-команд при обработке в терминале определённых escape-последовательностей. Для атаки в простейшем случае достаточно вывести на экран содержимое специально оформленного файла, например, при помощи утилиты cat, или вставить строку из буфера обмена.


   printf "\e]50;i\$(touch /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063
   cat cve-2022-45063 

Проблема вызвана ошибкой при обработке escape-последовательности с кодом 50, применяемой для установки или получения параметров шрифта. Если запрошенный шрифт не существует, операция возвращает заданное в запросе имя шрифта. Напрямую управляющие символы вставить в имя нельзя, но возвращаемая строка может быть завершена последовательностью "^G", которая в zsh при активности режима редактирования строк в стиле vi приводит к выполнению операции раскрытия списка, что может использоваться для запуска команд без явного нажатия клавиши Enter.

Для успешной эксплуатации уязвимости пользователь должен использовать командную оболочку Zsh с переведённым в режим "vi" редактором командной строки (vi-cmd-mode), который обычно не используется по умолчанию в дистрибутивах. Проблема также не проявляется при выставлении в xterm настроек allowWindowOps=false или allowFontOps=false. Например, настройка allowFontOps=false выставляется в OpenBSD, Debian, RHEL и ALT, но не применяются по умолчанию в Arch Linux.

Судя по списку изменений и заявлению выявившего проблему исследователя уязвимость устранена в выпуске xterm 375, но по другим сведениям уязвимость продолжает проявляться в xterm 375 из состава Arch Linux. Проследить за публикацией исправлений дистрибутивами можно на данных страницах: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в xterm и PHP
  3. OpenNews: Уязвимость в Vim, приводящая к выполнению кода при открытии вредоносного файла
  4. OpenNews: Уязвимость в tmux, эксплуатируемая через escape-последовательность
  5. OpenNews: Концепция атаки по подмене копируемого в терминал текста с сайта
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/58098-xterm
Ключевые слова: xterm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (87) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:50, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Этим ещё кто-то пользуется?
     
     
  • 2.2, Аноним (2), 10:55, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вся Опенбзд.
     
     
  • 3.17, Аноним (17), 11:57, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Например, настройка allowFontOps=false выставляется в OpenBSD, Debian и RHEL

    А вот и фиг, не сработает у них. Специальный CVE для поимения особо невезучих адептов специальной олимпиады с арчиком которые установили весь букет.

     
     
  • 4.22, arisu (ok), 12:14, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +24 +/
    как всегда в бсд ничего не работает!
     
     
  • 5.27, Аноним (-), 12:22, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На это видимо и расчитано. Как пользоваться системой в которой ничего не работает? Хитрый план!
     
  • 2.34, Аноним (34), 13:33, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Zsh?
     
     
  • 3.51, Аноним (51), 16:41, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Тоже поржал, дойдя до этого места:

    > может быть завершена последовательностью "^G", которая в zsh при активности режима редактирования строк в стиле vi приводит к выполнению операции раскрытия списка, что может использоваться для запуска команд без явного нажатия клавиши Enter

    Итого нам надо:
    - zsh
    - активный режим редактирования строк в стиле vi
    - скопировать текст трояна в буфер
    - вставить его в zsh

     
     
  • 4.57, Аноним (57), 18:56, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это может быть сделано автоматически, многие сайты модифицируют текст при копировании его в буфер обмена. Поэтому я использую только буфер выделения, в который браузеры не лезут. Только его в гтк3 и у фф в частности постоянно ломают почему-то, это утомительно.
     
     
  • 5.59, Аноним (51), 19:37, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > многие сайты ...

    Странно копировать что-то с веба и тут же вставлять в консоль... Это как curl | sh, например.

     
     
  • 6.61, Аноним (57), 19:42, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, не совсем. Если ты только что прочитал код и он тебя устраивает, то ничего странного. Не будешь же ты каждый однострочник копировать на диск. А вот с curl | sh там сервер это задетектит и что угодно может отдать, ты не проверяешь, что он отдаёт.
     
     
  • 7.73, Аноним (51), 21:12, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > прочитал код и он тебя устраивает

    как минимум скопирую в блокнот, чтобы не подцепить всякую хтмл-разметку и особенно "ентер"-ы, которые "нажимают" команду в самый неподходящий момент.

     
     
  • 8.86, y (??), 01:55, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    а еще молится богу-императору, каждое воскресение ходить на исповедь в церковь и... текст свёрнут, показать
     
     
  • 9.112, Neon (??), 01:09, 19/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Анархия мать порядка Даешь Дикое поле ... текст свёрнут, показать
     
  • 4.58, HeavyMetal (ok), 19:21, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ведь есть кто это всё использует и нашёл эту уязвимость=)))))))
     
     
  • 5.60, Аноним (51), 19:38, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > и нашёл эту уязвимость

    Я нашёл уязвимость виндовз, скачав ya-trojan.exe и запустив его.

     
  • 4.88, darkshvein (ok), 02:59, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ой да,
    добавь это лошкам в npm, даже не заметят.
     
  • 4.103, Michael Shigorin (ok), 21:09, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Итого нам надо:
    > - zsh
    > - активный режим редактирования строк в стиле vi
    > - скопировать текст трояна в буфер
    > - вставить его в

    xterm с allowFontOps=true.

    Справедливости ради, это апстримное умолчание -- так что[CODE]echo "XTerm*allowFontOps: false" >> ~/.Xresources && xrdb -merge ~/.Xresources[/CODE]-- если в дистрибутиве не сделано:[CODE]e801-1:~> grep allowFont /etc/X11/app-defaults/XTerm
    !*allowFontOps: false[/CODE]

     
  • 3.74, ыы (?), 21:25, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы просто не в теме. Есть ПО для которого этот шелл входит в обязательные зависимости...
     
     
  • 4.83, Аноним (51), 01:02, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Есть ПО

    Например? И чтобы в этом ПО юзер вставлял всякие левые строчки мз буфера. И ещё чтобы тот шелл исполнялся в xterm с vi.

     
  • 4.89, Аноним (-), 04:15, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это видимо какое-то довольно экзотичное по которое мне никогда не попадалось.
     
  • 2.101, xterm (?), 10:17, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    xterm? Пользуемся. Нормальный софт.
     

  • 1.3, Аноним (3), 10:57, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Здорово
     
  • 1.4, Без аргументов (?), 11:00, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Человек не может сделать совершенное, т.к. он сам не совершенен.
     
     
  • 2.8, Аноним (8), 11:12, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Кто тогда сделал раст?!
    3,2,1.. Набрасывайте
     
     
  • 3.9, Аноним (9), 11:28, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Та неужели непонятно что раст сделали инопланетяне? Посмотри на его синтаксис. Именно потому он и идеален.
     
     
  • 4.29, Без аргументов (?), 12:28, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, думает, что идеален. Тот кто так считает и завидует всему С-вету.
     
  • 3.15, Аноним (17), 11:54, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вебмакаки!
     
     
  • 4.30, Без аргументов (?), 12:33, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да нее. Эти просто не ведуют, что творят NPM-башню, сахар печенек иллюзию сладости создаёт.
     
  • 3.28, Без аргументов (?), 12:25, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Часть расщепленного белого света. А вот кто вбрасывает для набрасывания -- это ещё один вопрос.
     
  • 3.47, Аноним (47), 16:06, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сорос
     
  • 3.62, Аноним (51), 19:43, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Кто тогда сделал раст?

    Давай логически подумай... У тебя есть два высказывания:
    1. Человек не может сделать совершенное.
    2. Раст написали какие-то человеки.
    Вывод: либо раст не совершенен, либо второе предложение не верно. Раз ты делаешь допущение, что раст - совершенен, но ты автоматически объявляешь растаманов нечеловеками.

     
     
  • 4.76, ыы (?), 21:41, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    типичная логическая безграмотность.

    эти леммы не описывают все возможные ситуации.
    например они не исключают что даже если один человек не может, то человеки (во множественном числе) - может и могут.

     
     
  • 5.80, Аноним (51), 22:54, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > может

    а может и нет. Как и само понятие "совершенства" у растаманов сугубо субъективное.

     
  • 3.92, Аноним (92), 05:40, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Набросил: сделали опять сишники, как всегда.
     
  • 2.94, Аноним (94), 10:06, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А как же раст сказали что это средство от всех болезней, даже от облысения. Неужели и тут соврали?
     

  • 1.5, InuYasha (??), 11:02, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Йоо....лки. А мы эту мутоту для вывода поп-апов со звуком используем.
     
     
  • 2.6, InuYasha (??), 11:02, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, а под вялендом есть аналогичный терм?
     
     
  • 3.36, Аноним (36), 14:04, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/swaywm/sway/wiki/Useful-add-ons-for-sway#terminals
    Не благодари
     
  • 2.16, Аноним (17), 11:55, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Которую из них? Zsh, vi или xterm?
     
     
  • 3.23, arisu (ok), 12:15, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    яйца фаберже.
     
     
  • 4.26, Аноним (26), 12:20, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Продвинутые нынче яйца пошли!
     
  • 3.81, InuYasha (??), 23:03, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Всё кроме ви )
     
     
  • 4.104, Michael Shigorin (ok), 21:17, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ви таки при чём?
     
     
  • 5.111, InuYasha (??), 20:20, 16/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ненаю. Наверное, аноним перепутал vi mode с vi. )
     

  • 1.10, Аноним (10), 11:29, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > xterm
    > vi

    один древний хлам коряво взаимодействует с другим древним хламом...
    ой, как же такое произошло?!

     
     
  • 2.11, Аноним (11), 11:37, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А, это у тебя вместо vi notepad++
     
     
  • 3.24, Аноним (10), 12:16, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не, у меня Ox вместо vi
     
     
  • 4.82, InuYasha (??), 23:03, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А у меня Kate вместо Ox. )
     

  • 1.12, pashev.ru (?), 11:45, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для успешной эксплуатации уязвимости пользователь должен использовать командную оболочку Zsh, а параметр $EDITOR должен быть установлен в значение "vi"

    Два раза мимо )

     
     
  • 2.13, pashev.ru (?), 11:46, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не считая самого xterm. Аллаху Акбар!
     

  • 1.14, Аноним (-), 11:52, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > должен использовать командную оболочку Zsh,
    > а параметр $EDITOR должен быть установлен в значение "vi"

    А набирающий это должен ритуальный танец станцевать, тогда может и сработает.

     
  • 1.18, Аноним (18), 11:58, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-то пользуется xterm'ом вместо того, чтобы сразу поставить, например, urxvt?
    Оно же корявое и страшное (поправьте если не так)
     
     
  • 2.25, arisu (ok), 12:18, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Оно же корявое и страшное (поправьте если не так)

    попробуй почитать ман и настроить. кота попроси, если сам не можешь.

     
  • 2.31, Айноним (?), 12:42, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Оно не корявое,  в нем много лишнего и ненужного для сегодняшнего пользователя. А настраивается в нем все легко, все есть в мануале.
     
  • 2.68, Аноним (68), 19:57, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Xterm — один из весьма немногих терминалов, который может вставить 20…50 мегабайт из буфера обмена на модемном линке и не подавиться. Но за пределами этой весьма узкой ниши он действительно не самый лучший выбор.
     
  • 2.105, Michael Shigorin (ok), 21:19, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Перебрался с aterm/rxvt на xterm, как только разжился достаточным объёмом свопа лет двадцать с чем-то назад!1

    (шютка на тему одной из расшифровок сокращения emacs, ага -- но ведь и впрямь перебрался, только из-за более живого и полезного terminfo; затем оказалось, что Alt-Enter в xterm очень сильно помогает отстраняться от лишних сведений на экране)

     

  • 1.19, Аноним (-), 11:58, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Хаха, в опасноти только динозавры юзающие vi
    ironic...
     
     
  • 2.33, Айноним (?), 12:47, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вэбмакаки на смузикатах конечно же как всегда в абсолютной безопасности
     
     
  • 3.45, Аноним (-), 15:54, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они просто не пробовали кодить что-нибудь типа терминалки. Поэтому не в курсе масштаба задницы.
     
  • 2.77, ыы (?), 21:43, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    никакой связи. достаточно чтобы он был просто установлен в системе. а это подавляющее число хостов.
     
     
  • 3.106, Michael Shigorin (ok), 21:21, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    При чём тут vi?!

    Читающие и не читающие, чушь-то не несите.  Речь про один из режимов ввода _самого шелла_.

    Гляньте (даже читать необязательно, но шоб хоть ниточка в голове образовалась) вывод man bash | grep emacs- или vi-

     
  • 2.95, Аноним (94), 10:06, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Смузи динозавры, которые ещё и юзают при этом zsh?
     

  • 1.20, FrBrGeorge (ok), 12:10, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    В новости (причём в самом сообщении об уязвимости), кажется, ошибка. Взаимоисключающие параграфы как минимум.

    Не редактор должен быть vi, а line editing mode, то есть _редактор командной строки_ должен быть переведён в vi-подобный режим. Переменная $EDITOR тут ни при чём (как и сам редактор), в zsh это переключается настройкой ZLE vi-cmd-mode. Кстати, режим по умолчанию — это emacs-cmd-mode.

     
     
  • 2.78, ыы (?), 21:46, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а этот режим самодостаточен? он активируется без необходимости иметь библиотеки от vi?
     
     
  • 3.87, Аноним (68), 01:57, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да.
     
  • 2.107, Michael Shigorin (ok), 21:22, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Гоша, спасибо за поправку, сборку xterm 375 в сизиф (уже в sisyphus_e2k) и то, что allowFontOps в альте выставлено из коробки в false.
     

  • 1.32, Аноним (32), 12:46, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    xterm по дефолту даже не установлен в убунточке и там божественный терминал гнома и vim если и пользуются, то vim-basic
    Нет уязвимости вообщем  
     
     
  • 2.41, анонна (?), 14:45, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не туда копаете парни. там аж три места где лажа. причем три места из 2. во первых стандарт во всех дистрах это bash. во вторых xterm. ну это тоже редкость будет, ну и плюс особый режим работы редактора zsh. это как нужно повезти , чтоб нарваться на такую сборку линя. я не исключаю , что быть может..... короче надейся и жди))
     
     
  • 3.79, ыы (?), 21:47, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы просто не в теме. Есть ПО для которого этот шелл входит в обязательные зависимости...
     
     
  • 4.96, анонна (?), 13:38, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    действительно не совсем в теме. я больше в сторону инженерки и что с этим связано. а линукс и свободное пол типа хобби.
     
  • 2.44, Аноним (-), 15:53, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Боюсь, *никсные терминалы и все что вокруг этого одинаково граюбельны на любом ЯП. Вы просто не пробовали это кодить.
     

  • 1.54, ivan_erohin (?), 17:40, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кто крутит zsh внутри suckless term (st) - проверьте plz.
    у меня нет zsh.
     
     
  • 2.66, Аноним (51), 19:52, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    мне лень выставлять $EDITOR...
     

  • 1.70, pavlinux (ok), 20:22, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Пля, час трахался... так и не получилось запустить
     
     
  • 2.90, Аноним (90), 04:17, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все как обычно с линуксной малварью. Но десятку неудачников с арчем точно хана! Если конечно их удастся найти в этой толпени.
     

  • 1.71, 4eburashk (ok), 20:23, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Это еще надо умудриться найти того, кто пользуется xterm, да еще и zsh в этом xterm да еще и заставить его выполнить код с очевидной командой?
    Сразу напрямую спросить пароль рута - больше шансов эксплойта. =)
     
     
  • 2.99, Аноним (99), 21:54, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не обязательно запускать од, иожно сделать cat из специально подготовленного файла. Например, user agent из логов веб-сервера.
     
     
  • 3.100, arisu (ok), 21:58, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    но зачем ты используешь веб-сервер, котрый не фильтрует мусор в логах?
     
  • 2.108, Michael Shigorin (ok), 21:24, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И что Вам даст пароль рута, если Вас сюда по нему не пустят? :)

    // пользователь zsh в xterm, ага

     

  • 1.72, pin (??), 21:04, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > командную оболочку Zsh с переведённым в режим "vi"  + xterm

    Джекпот. Прямо мой случай.

     
     
  • 2.75, Аноним (57), 21:38, 12/11/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Таких пол интернета, теперь каждому приз? Хотя я отказался от zsh, слишком уж массивы неудобные в нём.
     
     
  • 3.84, Вы забыли заполнить поле Name (?), 01:14, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где они удобные?
     
     
  • 4.85, Аноним (57), 01:34, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В баше ок. Хештейблы немного ограниченные, но жить можно. Массивы прямо совсем ок работать с ними, практически нормальный ЯП.
     
  • 4.91, Аноним (90), 04:18, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В си! Главное не увлекаться ими чрезмерно, во избежание.
     
  • 3.93, pin (??), 09:47, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как только появляются масивы, уже не до *sh.
     
     
  • 4.97, Аноним (57), 16:30, 13/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Как только появляются масивы, уже не до *sh.

    Массивы удобны чтобы банально передать произвольное число аргументов запускаемой программе. А чтобы ими управлять удобнее когда по имени можно получить доступ к элементу.

     

  • 1.102, Покойник (?), 16:52, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > /tmp/hack-like-its-1999

    А что такое случилось в 1999м?

     
     
  • 2.110, mos87 (ok), 08:48, 16/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А что такое случилось в 1999м?

    xterm случился (zsh воены пошли в школу)

     

  • 1.109, mos87 (ok), 08:46, 16/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Для успешной эксплуатации уязвимости пользователь должен использовать командную оболочку Zsh

    ну, вы понели.

    (так-то это должно быть в заголовке новости)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру