Šta je novo?
Od:
Filteri

Critical Code Injection Flaw In Gnome File Manager Leaves Linux Users Open to Hacking

S

sammy

Slavan
Učlanjen(a)
02.11.2007
Poruke
2,502
Poena
485
A security researcher has discovered a code injection vulnerability in the thumbnail handler component of GNOME Files file manager that could allow hackers to execute malicious code on targeted Linux machines.

Dubbed Bad Taste, the vulnerability (CVE-2017-11421) was discovered by German researcher Nils Dagsson Moskopp, who also released proof-of-concept code on his blog to demonstrate the vulnerability.

The code injection vulnerability resides in "gnome-exe-thumbnailer" — a tool to generate thumbnails from Windows executable files (.exe/.msi/.dll/.lnk) for GNOME, which requires users to have Wine application installed on their systems to open it.

Ceo tekst :
https://thehackernews.com/2017/07/linux-gnome-vulnerability.html
 
Jel moze taj blog nekako u Akregator RSS da se stpa, ne vidim nigde nesto zasto da se zakacim
 
Dobar je Tviter, služi mi samo za vesti, obzirom da televizor ne gledam.
 
Ovo nema nikakve veze sa gnome file managerom.
Gnome-exe-thumbnailer je nezavistan add-on koji se u archu ne distribuira sa gnome files. Postoji u AUR repo-u.
Potpuno amaterski tekst.
 
Preacher je napisao(la):
Ovo nema nikakve veze sa gnome file managerom.
Gnome-exe-thumbnailer je nezavistan add-on koji se u archu ne distribuira sa gnome files. Postoji u AUR repo-u.
Potpuno amaterski tekst.
Kliknite za proširenje...

Upravo tako.

Gnome-exe-thumbnailer je nezavistan i mislim da se cak ni ne instalira prilikom Gnome instalacije. Barem je tako na Arch-u. Po meni su thumbovi beskoristan feature koji sam cak i na Windows-u svojevremeno gasio.

KISS ;)
 
alex303 je napisao(la):
Upravo tako.

Gnome-exe-thumbnailer je nezavistan i mislim da se cak ni ne instalira prilikom Gnome instalacije. Barem je tako na Arch-u. Po meni su thumbovi beskoristan feature koji sam cak i na Windows-u svojevremeno gasio.

KISS ;)
Kliknite za proširenje...

Znaci covek laze koji je objavio taj CVE-2017-11421? Meni to lici na bacanje prasine u oci, Arch to ne instalira ali ima ga i moze da se instalira i sad on je neranjiv jer ga nije instalirao. Caka je u tome sto moze da se instalira i neki to sigurno koriste i to vazi za te ljude koji instaliraju sve i svasta a sistem im to omogucava. To su sve eskivaze da bi se velicao neki distro, kad nema programa u redovnim repoima onda ide recenica sta oces imas u AUR-u ili za debian-ubuntolike ima PPA. E to je sustina, ima al moz da te zezne debelo i tako svaki dan nesto se nadje i pronadje pa nekom posluzi za reklamu a neko ga ispusi...

ps. nevezano za ovo, otkad sam obrisao balonju indexer, sistem mi prede :D
 
Poslednja izmena od urednika:
Baš tako lega99, nema kao veze sa Gnome fajl menadžerom jer ne dolazi zajedno sa Gnome paketom (pritom je moguće da ga neki distro instalira kao default) , totalno nebitno, ako već postoji addon i ima security problem onda to svakako ima veze sa Gnome file managerom, sa čime drugim ima veze pobogu ?!
 
sammy je napisao(la):
Baš tako lega99, nema kao veze sa Gnome fajl menadžerom jer ne dolazi zajedno sa Gnome paketom (pritom je moguće da ga neki distro instalira kao default) , totalno nebitno, ako već postoji addon i ima security problem onda to svakako ima veze sa Gnome file managerom, sa čime drugim ima veze pobogu ?!
Kliknite za proširenje...
Vidis i sam po onoj narodnoj : Svaki ciga svoga konja hvali. Oni imaju distro koji je svemoguc, oni koji pisu CVE su amateri, cak ne priznaju ni zvanicnu klasifikaciju CVE-2017-11421. E izem te boze i sve ce uvek da prebace da je user kriv, sta ce mu bas to, pa ako mu ne treba nek se brise iz AUR-a kojim se toliko dice kad treba a kad ne treba onda cvrc itd.. ;)
Po to logici stavis samo par programa koji stizu sa instalcijom, predjes na tekstualni browser, najbolje iskljucis interent ako nema taj "najjjjbolji distro"
Gospodo zasto ste prihvatili da iz Dolphina izbacite root mod, zasto kao "lideri" u svetu linuxa niste prepravili da taj dolphin bude siguran a da koristi root-admin mod kao sto Nautilus koristi root-admin mod.
 
Poslednja izmena od urednika:
Kamo srece da svako ko naidje na neki izvestaj CVE ili exploit to objavi zbog obicnih korisnika a ne sve se gladi i mazi i cuti se. Umesto da pohvalite @sammy sto je objavio izvestaj vi kudite. Vi se izgleda drzite podnaslova ovog dela koji je vrlo problematicano i uvredljivo sastavljen:
Forum: Linux, BSD i ostali *nix derivati

Alternativa, underground, garažni geto (aka "sistem za pravog muškarca")
Kliknite za proširenje...
 
Poslednja izmena od urednika:
Još kaže "potpuno amaterski tekst", pa oni su samo objavili vest, neverovatne stvari čovek ovde može da pročita, da je samo malo vremena potrošio da pronadje više informacija o tome video bi da je problem stvaran i već patchovan.
https://github.com/gnome-exe-thumbn...mmit/1d8e3102dd8fd23431ae6127d14a236da6b4a4a5

Pročitao sam i diskusiju na debianu i na još par mesta, niko nigde nije rekao "šta ti meni moj gnome diraš, lažovi jedni" itd.

Šou program jbt :vomit:
 
sammy je napisao(la):
Još kaže "potpuno amaterski tekst", pa oni su samo objavili vest, neverovatne stvari čovek ovde može da pročita, da je samo malo vremena potrošio da pronadje više informacija o tome video bi da je problem stvaran i već patchovan.
https://github.com/gnome-exe-thumbn...mmit/1d8e3102dd8fd23431ae6127d14a236da6b4a4a5

Pročitao sam i diskusiju na debianu i na još par mesta, niko nigde nije rekao "šta ti meni moj gnome diraš, lažovi jedni" itd.

Šou program jbt :vomit:
Kliknite za proširenje...
Da, text je potpuno amaterski napisan jer ako vec prenose nesto treba da ukazu na netacne stavri.
Implicira se da je extenzija pomocu koje radi exploit integralni deo Gnome files sto naravno nije tacno.
To sto neki upstream pakuju sve i svasta to je njihov problem.
Pazi ovu glupost:
Meanwhile, Moskopp also advised users to:
-
Do not use GNOME Files.
-
Kliknite za proširenje...
Smejurija.
 
Nije na njima da utvrde šta je glupost a šta ne, ako je osoba koja je našla taj bug rekla tako onda ne vidim u čemu je tu problem, oni i kažu da je to savet od njega a ne njihov.
Evo ti original njegov blog :
http://news.dieweltistgarnichtso.net/posts/gnome-thumbnailer-msi-fail.html

Remedy (for users)

Delete all files in /usr/share/thumbnailers. Do not use GNOME Files from before GNOME 3.26, Cinnamon Nemo or MATE caja. Uninstall any other software that facilitates automatically executing parts of filenames as code.
Kliknite za proširenje...


Prijatelju, ne razumem gnev, tu smo svi valjda da upozorimo na ovakve stvari recimo, THN objavio, ja preneo njih ovde, ako misliš da to nije tačno onda reci da nije tačno to što se navodi da je exploit a ne da širiš priču kako to nema veze sa Gnome i Gnome files. Ako koristiš taj addon onda je korišćenje Gnome files nesigurno, dok ne odradiš update tog addona, to je cela poenta priče, mislim ne razumem...
 
Ma super je sto je on provalio exploit. Svaka cast.
Problem je sto je to potpuno pogresno definisano. Ja sam zaista procitao tu vest iz razloga sto koristim nautilus. Ispostavi se da je extenzija problem (koju Gnome ekipa ne odrzava) a u tekstu se uporno govori da je nautilus problem. Pa sutra da neko tu exstenziju portuje za dolphin (navodim samo kao primer, verovatno dolphinu to ne treba) onda ce i dolphin biti problem.(sada nece jer su je zakrpili :) )
Razocaran sam tekstom sto nigde nije eksplicitno receno da treba disable-ovati ekstenziju (obrisati) nego "nemojte koristiti nautilus". Naveo sam i primer Arch linuxa gde je ta ekstenzija cak u AUR repu (nije ni u community).
Toliko, pozdrav, nema ljutnje, potopismo Austaliju. :)
 
Verujem da kada bi Hong Jen Yee napravio varijantu PCManFM-a sa CSD tj. headerbar-om umesto klasicnog dizajna, da bi vecina Gnome 3 korisnika presla na taj file manager. Jedini siromasniji file manager od Nautilusa je onaj sto se pakuje uz Deepin DE a uz to je i kopija Nautilusa. Cak i Pantheon Files ima vise opcija.

Edit: Poenta mog posta da taj sto kaze da se ne koristi Gnome Files nije mnogo pogresio. Jer se Gnome Files iskljucivo koristi iz lenjosti i kozmetickih razloga, jer se drugi fajl menadzeri ne uklapaju u Gnome 3 look. Po pitanju funkcionalnosti je truba.

Slicna prica vazi za Totem, koji odredjeni Gnome korisnici uzdizu u nebesa iako je u pitanju jedan od bezveznijih open source video plejera.
 
Poslednja izmena:
lega99 je napisao(la):
Znaci covek laze koji je objavio taj CVE-2017-11421? Meni to lici na bacanje prasine u oci
Kliknite za proširenje...

Niko nije rekao da covek laze. Nego je ova tema otvorena i prezentovana kao da ce sutra svi GNU/Linux sistemi pasti. Problem je nadjen, problem je resen rekordno brzo, i sada vec diskutujemo o proslosti.

lega99 je napisao(la):
Arch to ne instalira ali ima ga i moze da se instalira i sad on je neranjiv jer ga nije instalirao.
Kliknite za proširenje...

Prilicno sam siguran da ga i ostali distroi ne instaliraju po defaultu.

lega99 je napisao(la):
Caka je u tome sto moze da se instalira i neki to sigurno koriste i to vazi za te ljude koji instaliraju sve i svasta a sistem im to omogucava. To su sve eskivaze da bi se velicao neki distro, kad nema programa u redovnim repoima onda ide recenica sta oces imas u AUR-u ili za debian-ubuntolike ima PPA.
Kliknite za proširenje...

Arch Logo avatar = Arch fanboy

Am i doing this right ??

Suvise sam ja mator da bi bio fanboy ili nedaj boze da velicam neki distro. Tebi kao starijem clanu foruma nebi trebao da objasnjavam ovakve stvari. Ili ces kao i svi ostali, reci da se iz mojih postova ne moze zakljuciti da sam matora konjina :D

lega99 je napisao(la):
E to je sustina, ima al moz da te zezne debelo i tako svaki dan nesto se nadje i pronadje pa nekom posluzi za reklamu a neko ga ispusi...
Kliknite za proširenje...

Neka se ovde jave svi koji imaju instaliran ovaj modul. Ili neka se jave svi koji koriste Gnome i imaju ovaj modul. Ili jos bolje, neka se jave svi koji koriste Gnome. Vidis kuda idem sa ovim...

Ja 100% stojim iza toga sto je Preacher rekao. Tekst je *****an i apsolutno nebitan.
 
Ahaha ovo postaje zanimljivo, matoriji od mene sigurno nisi...Ja rabim KDE i samo KDE a gnome programe instaliram ono sto moram. Tako su me prisilili da instaliram Nautils, dodao sam i da ima terminal ali radilo par dana. Dal ima dodatke, ima u Dolphinu jer mi je lakse da nabodem neku sliku ako mi prikaze sta je to nego da dizem ekstra program da bi pregledao taj dir. Za Nautilus ima admin mod i terminal, ne bi ga drzao ali naterali su me lideri KDE plasme. Po tebi problem resen a tad kad je objavljeno nije bi resen al sto da se talasa, meni muka od tih precutkivanja, sad treba svaki dan da ukljucim komp, startujem akregator i citaj, citaj sta je suplje, koji je novi exploit. Vidis tvoj rezon je mozda i dobar, nista se ne pise, cuti se, pa ako neko nesto fasuje on je kriv nije posvetio sav svoj zivot i vreme u pracenju rupa, rupica.... Ajd uzdravlje :) Zivi bili jos 100 godina :) Nije linux svrha mog postojanja, pre linuxa ja sam radio na kompovima onim velikim, groznim pa mi svega dosta...
 
Poslednja izmena od urednika:
Probaj SpaceFM. Da ima bolji interfejs bio bi medju najboljim fajl menadzerima. Ima nesto sto Dolphin nema a sto zna biti korisno: Copy Path. To ima i PCManFM (SpaceFM je fork doticnog programa) ali nema root window.

Edit: Mislim da Nautilus tj. Gnome Files vise nema admin window. Barem nema ovaj sto je kod mene instaliran (3.24.1).
 
Poslednja izmena:
lega99 je napisao(la):
Ahaha ovo postaje zanimljivo, matoriji od mene sigurno nisi...
Kliknite za proširenje...

Prepiremo se ko je stariji? Ccc :(

lega99 je napisao(la):
Ja rabim KDE i samo KDE a gnome programe instaliram ono sto moram. Tako su me prisilili da instaliram Nautils, dodao sam i da ima terminal ali radilo par dana...... blah blah blah ne radi blah blah prestalo da radi blah.
Kliknite za proširenje...

Ides u off topic. Mozda bi mod mogao da zakljuca ovu temu jer je korisna koliko i nase prepucavanje.

lega99 je napisao(la):
Po tebi problem resen a tad kad je objavljeno nije bi resen al sto da se talasa, meni muka od tih precutkivanja, sad treba svaki dan da ukljucim komp, startujem akregator i citaj, citaj sta je suplje, koji je novi exploit. Vidis tvoj rezon je mozda i dobar, nista se ne pise, cuti se, pa ako neko nesto fasuje on je kriv nije posvetio sav svoj zivot i vreme u pracenju rupa, rupica
Kliknite za proširenje...

Niko tebe ne tera da koristis GNU/Linux. Imas Windows i Mac OSx, pa biraj. Niko nije duzan da trazi propuste i da bilo koga obavestava o njima. Tvoja ocekivanja, skoro svakodnevno nezadovoljstvo i frustracije me podsecaju na MTV Sweet Sixteen. Roditelji kupise detetu novi Ford Mustang, ali dete krene da place i da urla kako su joj roditelji unistili proslavu i zivot jer auto nije plave nego crne boje. Wtf ?

lega99 je napisao(la):
pre linuxa ja sam radio na kompovima onim velikim, groznim pa mi svega dosta...
Kliknite za proširenje...

Nije bitno ni kad si poceo, ni koliki si deo svog zivota posvetio. Bitno je sta si za svo to vreme naucio. Kada neko krene da se pravda kako je poceo sa Commodore 64 ili ZX Spectrum-om 70ih i 80ih (cast izuzecima) a pri tome ne zna ni jedan strani jezik, pa cak ni maternji, ja dobijem ospice i poviseni krvni pritisak. Tako da ti ova izjava ni malo ne daje na kredibilitetu. Cak naprotiv...
 
drmalesh je napisao(la):
Probaj SpaceFM. Da ima bolji interfejs bio bi medju najboljim fajl menadzerima. Ima nesto sto Dolphin nema a sto zna biti korisno: Copy Path. To ima i PCManFM (SpaceFM je fork doticnog programa) ali nema root window.

Edit: Mislim da Nautilus tj. Gnome Files vise nema admin window. Barem nema ovaj sto je kod mene instaliran (3.24.1).
Kliknite za proširenje...

Da li je moguce da niko ne koristi Double Commander ???
 
Ne, jer se navigacija uglavnom vrsi preko tastature a kada vec kucam onda to radim iz terminala tj. koristim MC.
 
@ alex303,

Ti sad udari na vredjanje i omalovazavanje, to ovde nisam ocekivao pogotovo od nekog ko se predstavlja da ima dosta godina. To da niko nije duzan i imas windows i trt mrt to je nevidjena demagogija koja se stalno potura cim neko ima primebu na nesto. Mislim da stvarno moderatore treba da zakljuca ovu temu jer kad to predje u licno vredjanje i omalovazavanje onda je to krajnja mera. Ne pada mi na pamet da ovde kukakam i objasnjavam sta zasto i kako, da sam generalno nezadovoljan to jedino stoji ali to nema veze sa linuxom i forumom. Izvoli forum je tvoj...
ps. Cisto me zanima da li si ti onaj isti koji me je vredjao i na ES, smetalo mu je moje postavljanje pitanja, pa je moderator obrisao.
 
Poslednja izmena od urednika:
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno