nopes
25.11.14, 11:44
Hier wird beschrieben was gemeint ist: http://seclists.org/fulldisclosure/2014/Nov/74.
Worum geht es, viele gehen davon aus, dass wenn man eine Datei anzeigt, man nichts zu befürchten hat, da die Dabei ja nicht ausgeführt wird - was soweit auch stimmt. Allerdings benutzen wohl viele das Porgramm less um Dateiinhalte anzuzeigen, da es einige nette Features hat. Nun hat less aber die Fähigkeit nicht Textdateien entsprechend aufzubereiten bzw. man kann diese einfach nachrüsten - less README.gz spuckt dann zB brav den Inhalt der README aus und zwar ohne das man die extra entpacken müsste, was wohl bei einigen bis vielen Distributionen der Standard ist. Hier nimmt das Unheil dann seinen Lauf, denn dafür werden andere Programme eingesetzt, man kann also nicht mehr komplett ausschließen, dass nicht doch Teile der Datei ausgeführt werden bzw. man eine speziell präparierte Datei anzeigen lässt, die gezielt einen Bug in den Programm(en) ausnutzt die less dazu verwendet - was im link oben gezeigt wird.
Daher ist es vermutlich wirklich keine Dumme Idee less zu beschränke - bei Debian ist dies der Standard, Ubuntu ist in diesem Sinne anfällig, andere Distris habe ich gerade nicht zur Hand.
Panik muss man nicht bekommen - zumal ich immer noch nicht verstehe, warum Leute PDFs in einer Konsole sehen wollen...
Worum geht es, viele gehen davon aus, dass wenn man eine Datei anzeigt, man nichts zu befürchten hat, da die Dabei ja nicht ausgeführt wird - was soweit auch stimmt. Allerdings benutzen wohl viele das Porgramm less um Dateiinhalte anzuzeigen, da es einige nette Features hat. Nun hat less aber die Fähigkeit nicht Textdateien entsprechend aufzubereiten bzw. man kann diese einfach nachrüsten - less README.gz spuckt dann zB brav den Inhalt der README aus und zwar ohne das man die extra entpacken müsste, was wohl bei einigen bis vielen Distributionen der Standard ist. Hier nimmt das Unheil dann seinen Lauf, denn dafür werden andere Programme eingesetzt, man kann also nicht mehr komplett ausschließen, dass nicht doch Teile der Datei ausgeführt werden bzw. man eine speziell präparierte Datei anzeigen lässt, die gezielt einen Bug in den Programm(en) ausnutzt die less dazu verwendet - was im link oben gezeigt wird.
Daher ist es vermutlich wirklich keine Dumme Idee less zu beschränke - bei Debian ist dies der Standard, Ubuntu ist in diesem Sinne anfällig, andere Distris habe ich gerade nicht zur Hand.
Panik muss man nicht bekommen - zumal ich immer noch nicht verstehe, warum Leute PDFs in einer Konsole sehen wollen...