форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от opennews on 28-Мрт-08, 17:14

Во FreeBSD 7.0/6.x и в NetBSD 4 обнаружена уязвимость (http://securityreason.com/achievement_securityalert/53), связанная с возможностью целочисленного переполнения в libc функции strfmon(). Уязвимость может привести к выполнению кода злоумышленника при передаче в функцию strfmon() непроверенных аргументов посредством сторонних программ, использующих данную функцию. Опасность уязвимость возрастает, так как функция используется в mod_php5, для которого уже создан (http://securityreason.com/achievement_securityalert/53) эксплоит, позволяющий выполнить код в системе, через php-скрипт в котором параметры пользователя без дополнительных проверок передаются в php функцию money_format(), работа которой основана на strfmon(). URL: http://secunia.com/advisories/29574/ Новость: http://www.opennet.dev/opennews/art.shtml?num=15012

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от drurus on 28-Мрт-08, 17:14

Less critical. Critical Level 2 of 5. ерунда :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от Teak on 28-Мрт-08, 17:57

а почему в cvsup для RELENG_6_3 ничего нового? Не пофиксили что ли?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от h on 28-Мрт-08, 20:24

И где вы там готовый иксплоед для mod_php5 увидели? """ Exploit Given : No """ и """ - --- 2. Exploit --- SecurityReason will not public official exploit for this issue. """

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от pavlinux (ok) on 29-Мрт-08, 16:40
	И чё, неможем придумать скриптик который вызовет strfmon()... =) Мдя... libc не php, - просто так не переустановишь... Вот вам, ребята БЗДята, работа на следующю недельку.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Аноним (??) on 30-Мрт-08, 04:51
	Святая правда! Это вам не линукс vmsplice ... где работы на две недельки :) pavlinux - ну не надо в каждом своём посту доказывать что ты дэ.! Мы на слово верим :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от Аноним (??) on 28-Мрт-08, 22:24

Эксплоита там нет, есть лишь расширенное описание уязвимости...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от leon55 (ok) on 28-Мрт-08, 22:45

правильно говорил мой знакомый: поставил рнр - сам себя хакнул. Говорил как в воду смотрел :). Я не понимаю менталитета тех людей, которые пишут после всяких таких новостей на рнр.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Дмитрий (??) on 28-Мрт-08, 22:50
	Потому что другого наверное не знают...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от max (??) on 28-Мрт-08, 22:58
	Не, ну понятное дело, не фиг писать. А когда появляется новость о деры в питоне - нефиг на питоне писать, руби - нафиг руби. И вообще нафиг все эти языки, все равно в них дыры находят, может лучше с таким подходом в ларек, пивом торговть? ЗЫ: а вообще казалось бы: при чем тут РНР, ведь дырку нашли в системе и в другой либе, так нет же, нашлись, которые приплели сюда "поставил РНР - хакнул сам себя" - бред сивой кобылы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Nick (??) on 28-Мрт-08, 23:02
	>Не, ну понятное дело, не фиг писать. А когда появляется новость о >деры в питоне - нефиг на питоне писать, руби - нафиг >руби. И вообще нафиг все эти языки, все равно в них >дыры находят, может лучше с таким подходом в ларек, пивом торговть? > >ЗЫ: а вообще казалось бы: при чем тут РНР, ведь дырку нашли >в системе и в другой либе, так нет же, нашлись, которые >приплели сюда "поставил РНР - хакнул сам себя" - бред сивой >кобылы 5 :) весьма трезвая оценка.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от leon55 (ok) on 28-Мрт-08, 23:14
	>Не, ну понятное дело, не фиг писать. А когда появляется новость о деры в питоне - нефиг >на питоне писать, руби - нафиг руби. И вообще нафиг все эти языки, все равно в них дыры >находят, может лучше с таким подходом в ларек, пивом торговть? >ЗЫ: а вообще казалось бы: при чем тут РНР, ведь дырку нашли в системе и в другой либе, >так нет же, нашлись, которые приплели сюда "поставил РНР - хакнул сам себя" - бред сивой >кобылы О чём Вы бредите, максим? Вы ставите ер ен ер в один ряд с питоном и руби? Вы почитайте для начала новости, связаные с рнр, а потом пенно кричите тут впротивовес правде. Постарайтесь оспорить "бред сивой кобылы", в том, что установив рнр вы сами себе создаёте брешь в системе, или как я написал "сам себя хакнул"?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Nick (??) on 28-Мрт-08, 23:28
	>Вы почитайте для начала новости, связаные >с рнр, а потом пенно кричите тут впротивовес правде. вы сначала ТЕКУЩУЮ новость почитайте. Она об ошибке в системной библиотеке, а не в PHP. PHP полагется на одну функцию и она оказалась дырявой. И при этом виноват PHP опять? Стереотипы...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Кондорий (ok) on 29-Мрт-08, 03:47
	Да, попадаются такие программисты, которые "полагаются..." Хорошо, что бОльшая часть из них ничего серьезного не пишет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от IIIenapg on 29-Мрт-08, 06:20
	В mod_php функция money_format() передает НЕПРОВЕРЕННЫЕ данные в фунцию strfmon(). Это ли пример безопасного программирования?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Nick (??) on 28-Мрт-08, 22:57
	>Я не понимаю менталитета тех людей, которые пишут после всяких таких новостей >на рнр. те, кто на нем пишут, не читают такие новости
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Almos on 28-Мрт-08, 23:32
	Есть :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Nick (??) on 28-Мрт-08, 23:35
	>Есть :) исключения везде есть ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Demimurych on 29-Мрт-08, 03:45
	Внимательно читаем новость. И обнаруживаем что пхп к уязвимости никакого отношения не имеет. А приведено как пример того где может использоваться узявимый код
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от mixadior (??) on 28-Мрт-08, 23:32

вот я тоже не пойму, причем тут php, если дыра совсем в другом приложении. А унылых лоровских мудаков-пхпненавистников уже встречали, обычно это люди довольно темные в вопросах пхп, а просто следуют общепринятому(среди красноглазых лоровских мудаков) мнению.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Дохтур on 29-Мрт-08, 00:33
	>А унылых лоровских мудаков-пхпненавистников уже встречали, обычно это люди довольно темные в вопросах пхп, а просто следуют общепринятому(среди красноглазых лоровских мудаков) мнению. давайте вы просто покажете как выглядит на php двумерный массив векторов? И особенно интересны операции по нахождению совпадающих векторов в этом массиве.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от painbringer on 29-Мрт-08, 02:08
	и нахрена человеку в здравом уме двумерный массив векторов в пхп скрипте? конкретную задучу можете привести? иначе это все разговор о сферическом коне в вакууме.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Дохтур on 29-Мрт-08, 02:24
	>и нахрена человеку в здравом уме двумерный массив векторов в пхп скрипте? конкретную задучу можете привести? иначе это все разговор о сферическом коне в вакууме. да банально градиентное поле отрисовать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от aTz on 29-Мрт-08, 02:28
	Как это нахрена? Да все веб-проекты только на этих векторах и держатся, особенно крупные и сильно нагруженные! Без двумерных массивов векторов в наше время никуда! Жаль вот что в пхп не сделали таких массивов, придётся переделывать все сайты на какой-нибудь векторный язык :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от digger (ok) on 29-Мрт-08, 03:17
	Холстяк что ни готовит, всегда получаются пельмени. На опеннете что ни начнут обсуждать, в итоге всегда php-отстой.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Дохтур on 29-Мрт-08, 18:32
	>Как это нахрена? >Да все веб-проекты только на этих векторах и держатся, особенно крупные и >сильно нагруженные! Без двумерных массивов векторов в наше время никуда! Жаль >вот что в пхп не сделали таких массивов, придётся переделывать все >сайты на какой-нибудь векторный язык :( не, я понимаю что большинству пхп-программеров хватает переменных $a..$f и ещё $i, $j, $k, но жисть на этом не заканчивается :) Неужели на таком простом языке как php так сложно реализовать такие простые и естественные вещи? Тем кому не нравятся вектора, могут заменить их на любую сложную структуру. например, описывающую клиента( напр: имя компании, юр. адрес, данные контактного лица итп).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от bobro on 29-Мрт-08, 03:13
	> вот я тоже не пойму, причем тут php, .... внимательно читаем новость: "Опасность уязвимость возрастает, так как функция __используется__ в mod_php5,.... для которого уже создан эксплоит, позволяющий выполнить код в системе, через php-скрипт в котором параметры пользователя без __дополнительных__проверок__передаются__в__php__функцию money_format(), работа которой основана на strfmon()." Мало "кодеров" на похапе пользуется данной функцией ? Да подавляющее большинство даже не задумается над допольнительными проверками для money_format(). Если встречаешь в коде перлы типа "берем параметр из GET и напрямую суём его  в SQL". Ну и какие проверки могут быть для money_format() у такого индивидуума ???
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Eye on 29-Мрт-08, 04:31
	>посредством сторонних программ, использующих данную функцию СТОРОННИХ ПРОГРАММ. А не конкретно пхп. Хватит цепляться лишь к одному конкретному примеру. Самим-то не смешно? Кто знает где еще используется эта библиотека... почему бы не в mod_perl? или в питоне где-нибудь? И кто знает в каких функциях и каким проверкам подвергают эти функции "индивидуумы"? Блин, вот такой истинный бред несете... На пхп все поголовно используют эту функцию и не делают проверок, тут вы за всех все знаете... аха..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от Аноним (??) on 29-Мрт-08, 07:13

> правильно говорил мой знакомый: поставил рнр - сам себя хакнул. Говорил как в воду смотрел :). это человек так говорил потому что php неасилили )))))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от leon55 (ok) on 29-Мрт-08, 10:08
	>> правильно говорил мой знакомый: поставил рнр - сам себя хакнул. Говорил как в воду смотрел :). > >это человек так говорил потому что php неасилили ))))) Вы правы. Тот человек пишет на perl и сайты и системные утилиты с биллингом. А ер ен ер ему ваш нафиг не сдался.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Dvorkin (??) on 29-Мрт-08, 17:44
	> Тот человек пишет на perl и сайты и системные утилиты с биллингом. слушайте, я когда был студентом игрушечный "биллинг" на BASH + expect (+немножко перла и ПХП) написал будучи теперь уже не студентом и узнав, что такое настоящие сертифицированные билинговые системы (не то г..но, конечно, называющееся TAbilling и иже с ними, покупаемое лишь для отмазки), я вам скажу, что его мнение вы тут написали вообще зря. и хватит все спихивать на ПХП. ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от pavlinux (ok) on 29-Мрт-08, 16:49

А причём тут неправильные программеры на PHP, есть и правильные... Например, нужно покоцать WEB страницу конкурента... Покупаем хостинг у того же хостера, 90% что там стоит BSD. :) И рисуем честный сайт, а там и ............

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от Аноним (??) on 30-Мрт-08, 05:21
	А всего лишь пару недель ты же утверждал что фришки нигде реально нет ... так когда же ты врал павлинчег, тогда или сейчас ? :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от pavlinux (ok) on 30-Мрт-08, 22:19
	>А всего лишь пару недель ты же утверждал что фришки нигде реально >нет ... так когда же ты врал павлинчег, тогда или сейчас >? :) Тсс, только некому.... Я ведь обещал не рассказывать о будущем, а меня предупреждали, "... - Люди не готовы к этому...".
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от tiger (??) on 30-Мрт-08, 11:29
	>Например, нужно покоцать WEB страницу конкурента... >Покупаем хостинг у того же хостера, 90% что там стоит BSD. :) > >И рисуем честный сайт, а там и ............ и что, простите, дальше? Если это не говноконторы, торгующие кондомами производства Китай то это будет как минимум дедик. p.s. думаю что больше 90%.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от pavlinux (ok) on 31-Мрт-08, 02:58
	Да хоть Б/У_шными зубочистками, если там деньги есть, значит есть враги!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от tiger (??) on 01-Апр-08, 14:31
	>Да хоть Б/У_шными зубочистками, если там деньги есть, значит есть враги! если там есть деньги и контора серьезная они КАК МИНИМУМ дедик брать будут. сколько можно врубать идиота и "не понимать" о чем тебе пытаются сказать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "OpenNews: Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от whyberg on 29-Мрт-08, 17:48

Странно, уязвимость уже сутки опубликована а на freebsd.org еще ни слова. очень странно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"

Сообщение от zingel on 30-Мрт-08, 22:01

рассылку прочитайте, там это за два дня до публикования уязвимости всё это обсуждалось.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от whyberg on 31-Мрт-08, 07:04
	URL если не сложно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимость во FreeBSD 6, 7 и NetBSD 4"
	Сообщение от nuclight (ok) on 01-Апр-08, 15:34
	>URL если не сложно? http://lists.freebsd.org/
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]