Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Dropbear SSH, допускающая подстановку команд в dbclient"	+/–
Сообщение от opennews (??), 12-Май-25, 10:58
Опубликован выпуск проекта Dropbear 2025.88, развивающего  сервер и клиент SSH, получивший распространение в  беспроводных маршрутизаторах и компактных дистрибутивах, подобных OpenWrt. В новой версии устранена уязвимость (CVE-2025-47203) в реализации SSH-клиента (программа dbclient), позволяющая выполнить shell-команды при обработке специально оформленного имени хоста. Уязвимость вызвана отсутсвием экранирования спецсимволов в имени хоста и использованием командного интерпретатора при запуске команд в режиме multihop (несколько хостов, разделённых запятой). Уязвимость представляет опасность для систем, запускающих dbclient с непроверенным именем хоста... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63223
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. Скрыто модератором	–3 +/–
Сообщение от Аноним (1), 12-Май-25, 10:58
Опять на Си
Ответить | Правка | Наверх | Cообщить модератору

	2. Скрыто модератором	+8 +/–
	Сообщение от Аноним (2), 12-Май-25, 11:05
	Удивительно. Уязвимости находят в кодовых базах одного из самого распространённого из системных языков. Вот это да!
	Ответить | Правка | Наверх | Cообщить модератору

	11. Скрыто модератором	+3 +/–
	Сообщение от Аноним (11), 12-Май-25, 11:48
	> Удивительно. Уязвимости находят в 100500ом переизобретении лисапеда Поправил, не благодари.
	Ответить | Правка | Наверх | Cообщить модератору

	14. Скрыто модератором	+1 +/–
	Сообщение от aname (?), 12-Май-25, 11:55
	Кстати, да, это существенно выправляет смысл
	Ответить | Правка | Наверх | Cообщить модератору

	15. Скрыто модератором	+/–
	Сообщение от Аноним (15), 12-Май-25, 12:08
	А так в этом и проблема, родной! Про "системный" язык - это такая придумка, чтобы наделить сишку новыми полномочиями и в этих рамках разматывать аргументы. По факту Си - это никакой не "системный" (что вообще значит это определение?), а ЯП для написания ядер ОС. Для написания прикладного софта (а ssh это прикладной софт) есть языки гораздо более подходящие. Так что вопрос именно в этом - что взяли неподходящий инструмент.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	20. Скрыто модератором	+2 +/–
	Сообщение от Аноним (20), 12-Май-25, 12:39
	> Так что вопрос именно в этом - что взяли неподходящий инструмент. не подходящий для бекдоров? именно для этого и его в штатах форсили, а ведь эпоху начинали европейские языки. А сейчас такая же история с растом, это мнимая обманка безопасТности.
	Ответить | Правка | Наверх | Cообщить модератору

	28. Скрыто модератором	+/–
	Сообщение от 12yoexpert (ok), 12-Май-25, 14:03
	раст это торговая марка, а не язык
	Ответить | Правка | Наверх | Cообщить модератору

	35. Скрыто модератором	+/–
	Сообщение от Аноним (-), 12-Май-25, 15:06
	> А так в этом и проблема, родной! Про "системный" язык - это такая придумка, > чтобы наделить сишку новыми полномочиями и в этих рамках разматывать аргументы. > По факту Си - это никакой не "системный" По факту на си написана почти вся реально исползуемая системщина, от фирмварей в самых мелких MCU до эвон каких операционок и core-софта для них. Без си вы просто пискнуть на этот форум - не сможете. На самом базовом уровне, от кучи фирмварей без которых у вас не будет ни винча/ssd, ни видяхи, ни даже клавы и монитора - до BIOS/UEFI и далее - ОС. > Для написания прикладного софта (а ssh это прикладной софт) есть языки гораздо более подходящие. Вот конкретно тому ssh надо быть - мелким и с минимумом зависимостей. Чтобы даже в мелкий роутер с 32 мегами оперативы на все лезть. Если этого не будет - этот проект просто никому даром не сдастся тогда. А вы с вашими супер яп можете прийти и показать вон тем мастеркласс. Делом. Если вы тоже сможете жрать менее мега RSS - может и у вас будет какая-то ниша. Все познается в сравнении.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	18. Скрыто модератором	+/–
	Сообщение от Аноним (20), 12-Май-25, 12:34
	> Удивительно. А чего тут удивительного, если мне нужен софт с бекдором и я буду писать на Си, так как его (Си) мало кто "знает" :)
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	3. Скрыто модератором	+5 +/–
	Сообщение от Аноним (3), 12-Май-25, 11:08
	Причем тут си, если проблемы в неверном экранировании символов для шела? Точно такие же проблемы будут если переписать и на расте, и на js и на java. Си головного мозга
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	8. Скрыто модератором	+3 +/–
	Сообщение от Аноним Анонимович Анонимов (?), 12-Май-25, 11:45
	> Си головного мозга У Свидетелей Rust такого диагноза быть не может.
	Ответить | Правка | Наверх | Cообщить модератору

	12. Скрыто модератором	+/–
	Сообщение от aname (?), 12-Май-25, 11:49
	Конечно, там же всё безопасно
	Ответить | Правка | Наверх | Cообщить модератору

	9. Скрыто модератором	+/–
	Сообщение от Аноним (11), 12-Май-25, 11:46
	> Причем тут си, если проблемы в неверном экранировании символов для шела? Если вместо традицинно опеннетного "да как он посмел катить бочку на любимую (и в последний раз использованную в laba3.c) сишечку!!1" глянуть в патч, то можно увидеть традиционно-сишное переизобретении лисапедов, не? > Точно такие же проблемы будут если переписать и на расте, и на js и на java. Я тебя сильно удивлю, но ... "готовые" (и массово используемые) либы намного менее проблематичны. Тупо потому что даже если авторы изначально тоже "не очень шарили" в предмете, то все же грабли всей толпой пользователей - выловливаются намного быстрее, чем в 100500й реализации "сугубо для внутреннего пользования".
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	13. Скрыто модератором	+/–
	Сообщение от aname (?), 12-Май-25, 11:54
	> "готовые" (и массово используемые) либы намного менее проблематичны. На C или расте?
	Ответить | Правка | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от Аноним (-), 12-Май-25, 12:34
	> На C или расте? Разумеется не на си. В сишке нормальных либ для такого нет, а стандартная либа убогая до нельзя. Поэтому каждый пишет свой велосипед, вплоть до сплита строки. А потом оказывается что в нем дырень дарящая рут.
	Ответить | Правка | Наверх | Cообщить модератору

	30. Скрыто модератором	+/–
	Сообщение от Аноним (11), 12-Май-25, 14:17
	>> "готовые" (и массово используемые) либы намного менее проблематичны. > На C или расте? Э-э, и много ты знаешь много готовых (и используемых массово) сишных либ для экранирования символов?
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	43. Скрыто модератором	+/–
	Сообщение от aname (?), 12-Май-25, 16:59
	Это с учётом использования гугла или нет?
	Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	–1 +/–
Сообщение от Аноним (4), 12-Май-25, 11:08
>использованием командного интерпретатора при запуске команд Сколько раз твердили миру: за использование `exec` для чего-либо кроме запуска команд, которые пользователь приказал запустить, нужно к стенке ставить.
Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (-), 12-Май-25, 15:12
	>>использованием командного интерпретатора при запуске команд > Сколько раз твердили миру: за использование `exec` для чего-либо кроме запуска команд, > которые пользователь приказал запустить, нужно к стенке ставить. Скорее за system(). Exec значительно безопаснее. Но ssh с его юниксвеем так работает что вот именно ssh сделать именно безопасно - и не встав на грабли - не очень просто. Допушения неудобные, и от клиента и от сервера требуется жесткая валидация все и вся, иначе те два самосвала грабель в полях - заедут ручкой по лбу, и еще скажите спасибо если оптимизаторы топор не насадили.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (45), 12-Май-25, 17:29
	Shell-out — самый обычный unix-way, в TAoUP это описано и именно в этом ключе. Ты сейчас фактически предложил поставить к стенке тех самыд дидов, которые юниксы сваяли и их ортодоксию^Wфилософию заложили.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
Сообщение от Аноним (5), 12-Май-25, 11:09
Так уязвимость получается не для серверов (маршрутизаторов), а для клиента.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
Сообщение от Смузихлеб забывший пароль (?), 12-Май-25, 11:25
> Уязвимость вызвана отсутсвием экранирования спецсимволов в имени хоста Как же это замечательно. Зато, наверняка, и по типам всё проверяется и всё норм и всевозможные интеграции-тестирования успешно проходит и разработчики всевозможные КоК'и соблюдают да кодят "согласно регламентам и требованиям к оформлению" Только, дыра есть. Точнее, дырища прямо на месте парадного входа, через которую и авианосец пролезет. Но это - мелочи. Главное - всё по регламентам. А остальное - мелочи
Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от aname (?), 12-Май-25, 11:48
	А как надо?
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (16), 12-Май-25, 12:28
	Главное что контроль за софтом - кого надо. От вредоносной функцио-анальности внесённой самим автором не защитит ничего. И у автора есть железобетонная отмазка: "проект делался исключительно для себя, я вас не заставлял его юзать"
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	26. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	–1 +/–
	Сообщение от Аноним (26), 12-Май-25, 13:49
	Правильная система типов, с введением типа наподобие ExecArgumentString, который можно получить только как результат экранирования (function escapeExecArgument(string): ExecArgumentString), и который требуется сигнатурой exec(), проблему как раз решает. Но про типы в этом контексте почему-то редко думают.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	27. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (26), 12-Май-25, 13:49
	Правильная система типов, с введением типа наподобие ExecArgumentString, который можно получить только как результат экранирования (function escapeExecArgument(string): ExecArgumentString), и который требуется сигнатурой exec(), проблему как раз решает. Но про типы в этом контексте почему-то редко думают.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	29. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	–1 +/–
	Сообщение от Аноним (-), 12-Май-25, 14:04
	Пффф... О каких типах может идти речь, если в том коде они вручную считали длину с magic numbers - len += 4 + strlen(key->filename); С другой стороны, что от сишки можно ожидать. Какие-то типы? Они даже строки нормальные не осилили.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (11), 12-Май-25, 14:52
	> Правильная система типов, с введением типа наподобие ExecArgumentString, который можно > получить только как результат экранирования (function escapeExecArgument(string): ExecArgumentString), > и который требуется сигнатурой exec(), проблему как раз решает. > Но про типы в этом контексте почему-то редко думают. Во-первых, в си - слабая типизация, с неявными приведениями и прочим (как и куча легаси) Во-вторых -- ошибка там как раз в (самопальной) функции экранирования.
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	37. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (26), 12-Май-25, 15:22
	Я специально псевдокодом, синтаксически далёким от C, написал, чтобы было понятно, что я не про конкретный язык, а про то, что в типизации важна не только техническая, но и смысловая сторона. 10 долларов и 10 яблок - это разные вещи. Так же как и строка, несмотря на то, что это просто массив байт технически, может нести совершенно разную смысловую нагрузку. Я такой подход называю "типизация вместо валидации". Провалидировать строку можно забыть. А если у меня тип Email, то я уверен, что этот массив байт прошёл валидацию и содержит валидный Email. А если окажется невалидный, то единственное проблемное место - это конструктор типа (emailFromString).
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (11), 12-Май-25, 16:28
	> Я специально псевдокодом, синтаксически далёким от C, написал, чтобы было понятно, что > я не про конкретный язык, а про то, что в типизации > важна не только техническая, но и смысловая сторона. ... > А если у меня тип Email, то я уверен, что этот > массив байт прошёл валидацию и содержит валидный Email. А если окажется > невалидный, то единственное проблемное место - это конструктор типа (emailFromString). Это-то понятно, но как раз без "технической стороны" (т.е. поддержки ЯП/компилятором) привычку к такому подходу выработать довольно сложно, как и следовать ему (если только ты не единственный разработчик или не начнешь костылять с помощью struct и прочего, потому что сишный typedef - просто алиас). Т.е. пишущие в основном на Си (в лучших традициях "Настоящий Погроммист может писать программы на Фортране^W Си на любом языке!") зачастую просто не в курсе, что "так тоже можно было" ...
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	–1 +/–
	Сообщение от Аноним (-), 12-Май-25, 17:56
	> Во-первых, в си - слабая типизация, с неявными приведениями и прочим (как > и куча легаси) Можно и не очень слабую сделать. 1) -Werror в хороших проектах так то норма. 2) typedef struct ... something_t - и теперь вообще попробуйте вместо something_t или такого указателя что-то другое дать вообще. 3) Со строками 2) кстати прекрасно катит и можно завести строки с .len. > Во-вторых -- ошибка там как раз в (самопальной) функции экранирования. #define "самопальный" :)
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

7. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
Сообщение от Аноним (7), 12-Май-25, 11:39
> Уязвимость вызвана отсутсвием экранирования спецсимволов в имени хоста Подозреваю, что надо сказать спасибо дидам, которые накалякали невнятные RFC с взаимоисключающими определениями, какие символы допустимы, а какие нет.
Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (22), 12-Май-25, 12:50
	Opennet, это такой большой багтреккер.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+3 +/–
	Сообщение от Аноним (24), 12-Май-25, 13:44
	Баттхерт-треккер, я бы сказал)
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (-), 12-Май-25, 17:57
	> Баттхерт-треккер, я бы сказал) Или просто батт-трекер, я бы сказал. Даже индекс топа a$$h0l3z интернета запросто может быть.
	Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
Сообщение от Аноним (24), 12-Май-25, 13:46
Мда, всегда лично смотрел с подозрением на сабж, а после новости, тем более нафиг. Лучше уж что то стандарное, но протестированное.
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
Сообщение от Аноним (44), 12-Май-25, 17:08
Поднимите руки те, кто использовал их клиентскую реализацию Серверная в том же OpenWRT и всех прошивках на нем базирующихся(в том числе у Сяоми, у Тенды и прочих бюджетных роутерах), а вот где и кто использует их клиент вместо нормального из OpenSSH я не знаю и не встречал, если честно
Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (45), 12-Май-25, 17:36
	Никогда не приходилось заходить по ssh прямо с роутера по link-local IP на полуживой хост? Хотя, глядя на OpenWRT, понимаю, что быстрее под кровать залезть и моник с клавой подключить, чем что-то там реанимировать как будто бы это unmanned pop за тридевять земель. Пожалуй ты прав, клиентом мало кто пользуется за пределами локалхоста, так что проблема несущественная. Поправили, и на том спасибо. Удивительно, что вообще заметил кто-то.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимость в Dropbear SSH, допускающая подстановку команд в ..."	+/–
	Сообщение от Аноним (44), 12-Май-25, 17:42
	Знаешь, у меня у всех роутеров с ОпенВРТ достаточный объем накопителя и я всегда просто его собираю с клиентом от OpenSSH, вот и вообще не видел клиент от dropbear Не, я помню как пару лет назад зачем-то пытался вспомнить как этот клиент вообще зовут, сидел и минут пять тупил, без гуглежа так и не мог вспомнить Но по факту клиент вообще не используют же. Сервер да, много где и все такое, а клиент вообще по нулям. Так что и правда хорошо, что нашелся единственный пользователь и он нашел ошибку.
	Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором	+/–
Сообщение от Аноним (-), 12-Май-25, 18:07
Дибильный клиент.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема