From: Sergey Matveev <stargrave@stargrave.org>
Date: Sat, 20 Sep 2025 11:35:27 +0000 (+0300)
Subject: Серьёзная бага в NNCP
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=8fa6fb0445239b1ec37aa2a91bf69efcbc5f605c;p=stargrave-blog.git

Серьёзная бага в NNCP

http://lists.cypherpunks.su/archive/nncp-devel/CAO-d-4riai9EZx4gVfekow-BCtTn07k8BB1ZdsopPVw=scWD1A@mail.gmail.com/T/#t
Человек тут отправил патч для NNCP. Постыднейше для меня, но я забыл
проверять безопасность указанных путей в NNCP пакетах. Проверял только
на не абсолютность пути. Злоумышленник мог спокойно всякие "../"
использовать, запрашивая (и сохраняя) файлы вне freq/incoming путей. Я
всегда помню про опасность путей и необходимость проверок, но почему-то
упустил это в NNCP.
---