OpenForum RSS: Уязвимость в gettext, позволяющая выполнить код при обработк... https://www.opennet.ru/openforum/vsluhforumID3/115817.html В библиотеке gettext (https://www.gnu.org/software/gettext/), применяемой для создания многоязычных приложений, выявлена (https://usn.ubuntu.com/3815-1/) опасная уязвимость (CVE-2018-18751 (https://security-tracker.debian.org/tracker/CVE-2018-18751)), которая может использоваться для организации выполнения произвольного кода при обработке специально оформленных сообщений в po-файлах. Проблема вызвана двойным освобождением блока памяти (double free) в функции default_add_message, определённой в файле read-catalog.c. В сети уже доступны варианты (https://github.com/CCCCCrash/POCs/tree/master/Bin/Tools-gettext-0.19.8.1/doublefree) po-файлов (https://github.com/CCCCCrash/POCs/tree/master/Bin/Tools-gettext-0.19.8.1/heapcorruption), эксплуатирующие уязвимость.<br><br><br><br>Проблема проявляется только в актуальном выпуске gettext 0.19.8. В кодовой базе gettext проблема была устранена ещё в сентябре 2016 года, без акцента на наличие возможной уязвимости, но данное изменение пока не вошло в состав релиза (последний выпуск ge Уязвимость в gettext, позволяющая выполнить код при обработк... (ползкрокодил) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#32 Wed, 28 Nov 2018 15:22:12 GMT Можно даже отревьюить, а потом окажется, что какая-то последовательность иероглифов крашит макось.<br> Уязвимость в gettext, позволяющая выполнить код при обработк... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#31 Wed, 14 Nov 2018 21:03:55 GMT Уж каких там только GC не было, а все равно тормозит.<br> Уязвимость в gettext, позволяющая выполнить код при обработк... (Annoynymous) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#30 Wed, 14 Nov 2018 19:19:19 GMT Помнится, в Java был многопоточный GC.<br> Уязвимость в gettext, позволяющая выполнить код при обработк... (Annoynymous) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#29 Wed, 14 Nov 2018 19:18:50 GMT Помнится, в Java был многпоточны <br> Уязвимость в gettext, позволяющая выполнить код при обработк... (девелоперкодошлеп) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#27 Wed, 14 Nov 2018 11:39:32 GMT как это нету, вон, gnu hurd, вчера только в эмуляторе ее запускал.<br><br>хотя, конечно, когда доломают все эмуляторы, еще как-то умеющие 32-бита, будут проблемы.<br><br> Уязвимость в gettext, позволяющая выполнить код при обработк... (IRASoldier) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#25 Wed, 14 Nov 2018 11:17:52 GMT &gt;операционная система GNU<br><br>Нет такой операционной системы.<br> Уязвимость в gettext, позволяющая выполнить код при обработк... (ig0r) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#24 Wed, 14 Nov 2018 07:59:03 GMT А если ты написал программу, можно подумать ты будешь ревьюить .po файлы в PR если они для незнакомого тебе языка.<br> Уязвимость в gettext, позволяющая выполнить код при обработк... (beck) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#23 Tue, 13 Nov 2018 15:51:57 GMT Совершенно согласен. <br> Уязвимость в gettext, позволяющая выполнить код при обработк... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/115817.html#22 Tue, 13 Nov 2018 15:19:31 GMT Сорри это к 2.11 было<br>