В пакете Net-SNMP (http://www.net-snmp.org/), реализующем протоколы SNMP v1, SNMP v2c и SNMP v3, выявлены (https://seclists.org/oss-sec/2018/q4/24) две уязвимости (CVE-2018-18066 (https://security-tracker.debian.org/tracker/CVE-2018-18066), CVE-2018-18065 (https://security-tracker.debian.org/tracker/CVE-2018-18065)), позволяющие инициировать отказ в обслуживании через отправку специально оформленного запроса без прохождения аутентификации. Для эксплуатации уязвимостей достаточно знать строку с community (обычно "public").
Проблема проявляется во всех актуальных стабильных выпусках, включая последний релиз 5.7.3. Исправления пока доступны только в тестовом выпуске net-snmp 5.8 или в виде патчей (1 (https://sourceforge.net/p/net-snmp/code/ci/f23bcd3ac6ddee5d0...), 2 (https://sourceforge.net/p/net-snmp/code/ci/7ffb8e25a0db85195...)). Уязвимость CVE-2018-18066 блокируется (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-18066) патчем, принятым в 2015 году в SUSE, Ubuntu, RHEL и Debian для закрытия уязвимости CVE-2015-5621 (https://bugzilla.suse.com/show_bug.cgi?id=940188). Проблема CVE-2018-18065 остаётся
неисправленной (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-18065).
URL: https://seclists.org/oss-sec/2018/q4/24
Новость: https://www.opennet.dev/opennews/art.shtml?num=49413
> snmplib/snmp_api.c
> .c
> .c
> DoS-уязвимостьПочему я не удивлен?
Почему?
Потому что не brainfuck :)
Потому что начитался комментариев от всяких тролей, а Си выучил всё по тем же комментариям на опеннете.
Вообщето Си хороший язык
> Вообщето Си хороший языкПо сравнению с коболем или фортраном -- несомненно!
Только даже его авторы признаются, что не совсем понимают как он работает.
Это специально оставленная разработчиками напоминалка о том, что следует менять дефолтный комьюнити.