The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Уязвимость в libpng, gnome-screensaver и языке Pyt..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Уязвимость в libpng, gnome-screensaver и языке Pyt..."  
Сообщение от opennews (??) on 15-Апр-08, 13:13 
В библиотеке libpng обнаружена (http://secunia.com/advisories/29792/) уязвимость, которая может привести к выполнению кода злоумышленника или получению доступа к области памяти приложения, в момент обработки специальным образом скомпонованного PNG изображения в программе, использующей функции png_set_read_user_chunk_fn()/ png_set_keep_unknown_chunks() библиотеки libpng. Проблема устранена в версиях libpng 1.0.33 и 1.2.27beta01 (http://libpng.sourceforge.net), релиз 1.2.27 будет выпущен 26 апреля.


Необходимым условием для удачного проведения атаки, является (http://libpng.sourceforge.net/Advisory-1.2.26.txt)  обязательность вызова в атакуемом приложении функции png_set_read_user_chunk_fn() или png_set_keep_unknown_chunks() при установленных флаговых значениях PNG_HANDLE_CHUNK_IF_SAFE или PNG_HANDLE_CHUNK_ALWAYS. Например, подобная конструкция используется в программах pngtest, pngcrush и ImageMagick (с версии 6.2.5 по 6.4.0-4).


Кроме того, можно обратить внимание на две другие у...

URL: http://secunia.com/advisories/29792/
Новость: http://www.opennet.dev/opennews/art.shtml?num=15312

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Аноним (??) on 15-Апр-08, 13:13 
странно, даже камментов нету, касалось бы это каким-то боком РНР, так сразу набежали бы и начали вонять...чего про питон никто ничего не пишет?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Sargis (??) on 15-Апр-08, 14:09 
>странно, даже камментов нету, касалось бы это каким-то боком РНР, так сразу
>набежали бы и начали вонять...чего про питон никто ничего не пишет?
>

Soglasen, esli bi bilo Java, shuma bilo bi pobolshe :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Бурзум on 15-Апр-08, 16:39 
>странно, даже камментов нету, касалось бы это каким-то боком РНР, так сразу
>набежали бы и начали вонять...чего про питон никто ничего не пишет?
>

Потому что чисто визуально ошибок в PHP обнаруживается больше. Логично предположить, что только потому что PHP используется гораздо чаще. Вот и складывается мнение, что, например, Python гораздо самый наиболее безопасный, чем PHP.

Надоедает по каждому багу видеть "в PHP обнаружена уязвимость..." - имхо такие вещи надо смотреть на сайтах о секьюрити через RSS.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от nuclight email(ok) on 16-Апр-08, 11:11 
>Потому что чисто визуально ошибок в PHP обнаруживается больше. Логично предположить, что
>только потому что PHP используется гораздо чаще.

Неверно. Апач используется на двух третях серверов интернета в отличие от IIS, который и до трети не дотягивает - и много ли багов? Потом, MySQL, тоже очень популярная вещь, как и PHP, опять же намного реже дырки обнаруживаются.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Оммм on 15-Апр-08, 13:26 
специально по заявкам телезрителей:
а ты думаеш что libpng в пыхе-то не юзаеццо ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Аноним (??) on 15-Апр-08, 14:39 
дык я и не спорю...и ещё наверно не только в РНР, но когда был пост про какую-то уязвимость, точно не помню какую, и там фигурировал РНР, как вариант использования уязвимости...

и понеслось поехало какой РНР галимый, дырявый и т.д...
здесь аналогичная ситуация с питоном...тишина...просто смешно =)

з.Ы. я нивкоем случае не защищаю РНР, просто в таких случаях начинаешь сомневаться в адекватности людей...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Georg (??) on 16-Апр-08, 05:49 
> здесь аналогичная ситуация с питоном...тишина...просто смешно =)

Сравните для начало количество критических ошибок найденых за последние пять в PHP, Python и Perl. Может после этого вам не будет так смешно.

Смеятся вы начнете после, когда заметите, что в PHP затыкаются одни и теже дыры. По несколько раз, при этом закрыв одну дыру, будет сделано две других в другом месте.

Я ничего не имею против языка PHP, каждый выбирает то что ему нравится, но одно я заметил точно, для администраторов хостингов PHP это сплошная головная боль, но для тех кто пишет на PHP это ведь неважно... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от гость on 15-Апр-08, 14:41 
Да не привык народ просто - в питоне-то это редкость, а у пых-пыха я даже не вспомню релиза в котором не залатывались бы очередные критические уязвимости.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Аноним (??) on 15-Апр-08, 14:56 
да нету дырки в питоне, это не баг в интерпретаторе а фича низкоуровневой функции. Суть в том что если через C api потребовать от питона вернуть pystring с отрицательной то произойдут неприятные вещи. В питоне много таких мест, если хочется чтобы этого не было укажите -DNDEBUG и assertы заработают. Я, как разработчик питоновских модулей, проблемы не вижу. Потому что если это считать дырой то тогда и всё остальное будет как решето.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Федя on 15-Апр-08, 16:02 
>-DNDEBUG и assertы заработают. Я, как разработчик питоновских модулей, проблемы не

вызывающе неверная информация - на самом деле все сточностью до наоборот.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в libpng, gnome-screensaver и языке Python"  
Сообщение от Exe (ok) on 16-Апр-08, 01:21 
перепутал, эмоции переполняли. Это явно провокация против языка. Я бы не стал это исправлять а просто задокументировал ибо так очень многие вещи работают.

На самом деле тут ошибка дизайна. Надо было делать unsigned переменную и всё.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру