The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в библиотеке Libxml2"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в библиотеке Libxml2"  
Сообщение от opennews on 19-Ноя-08, 00:33 
Обнаружена (http://secunia.com/Advisories/32773/) критическая уязвимость в библиотеке Libxml2 (http://xmlsoft.org/). Возможность целочисленного переполнения в функции "xmlSAX2Characters()" может привести к выполнению кода злоумышленника при обработке функциями библиотеки специально скомпонованного XML файла.  Частично опасность уязвимости уменьшает тот факт, что для эксплуатации XML файл должен иметь огромный размер, но тем не менее проблеме присвоен уровень опасности "чрезвычайно критическая".


Уязвимость присутствует в Libxml2 2.7.2 и более ранних версиях, официальное обновление (http://xmlsoft.org/news.html) с исправлением проблемы пока не вышло, необходимо использовать патч (https://bugzilla.redhat.com/show_bug.cgi?id=470466) или обновление пакета от разработчиков Linux дистрибутивов.


Особую опасность представляет, то что Libxml2 используется для парсинга XML во многих популярных приложениях, например, GNOME, Abiword, Evolution, KDE, OpenOffice.org, Bluez, Compiz, Gedit, Gp...

URL: http://secunia.com/Advisories/32773/
Новость: http://www.opennet.dev/opennews/art.shtml?num=18979

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Анонимн on 19-Ноя-08, 00:33 
XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Guest (??) on 19-Ноя-08, 01:16 
+100

К месту в прикладном ПО оно пока не применено нигде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от anonymous (??) on 19-Ноя-08, 01:27 
>ПО оно пока не применено нигде.

полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Хелагар (ok) on 19-Ноя-08, 01:38 
От криворуких кодеров, увы, избавиться можно только 2-я методами:

1) Отстреливая их.
2) Насильно обучая до приемлемого уровня.

Все остальные методы суть полумеры.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Осторожный (ok) on 19-Ноя-08, 08:36 
>От криворуких кодеров, увы, избавиться можно только 2-я методами:
>
>1) Отстреливая их.
>2) Насильно обучая до приемлемого уровня.
>
>Все остальные методы суть полумеры.

Это не два метода - это один !
Их нужно применять одновременно :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от F on 19-Ноя-08, 09:22 
> полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров

http://www.webdevout.net/articles/beware-of-xhtml

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от anonymous (??) on 19-Ноя-08, 08:17 
Лузеры оба. RSS сказать что такое? RPC-XML? DocBook? Jabber? DBUS?
Если вы упорно не замечаете, как XML вас окружает - то вы наивные юзеры.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от одмин on 19-Ноя-08, 08:21 
XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с парсингом сообщений.

Есть протоколы сериализации и получше xml.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от I on 19-Ноя-08, 09:38 
Какие? Чем лучше? Прям таки лучше для абсолютно любых применений?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от vitek (??) on 19-Ноя-08, 09:58 
в том то и дело, что все говорят о "любых применениях", но не об одном, частном.
Вы пакеты жабера xmleditor'ом ловить собираетесь?
при вменяемом api всё равно какой формат.

я не против xml, но пихать его во всё без разбора - маразм.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от F on 19-Ноя-08, 10:21 
С этим согласен.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Michael Shigorin email(ok) on 19-Ноя-08, 12:02 
sexp-ы, например.  Абсолютно для любых, хоть программы пиши.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от anonymous (??) on 19-Ноя-08, 11:27 
Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI. И кто теперь им пользуется в юзерспейсе?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Michael Shigorin email(ok) on 19-Ноя-08, 20:28 
>Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI.

Только вот в libtasn1 бывают баги не менее неприятные, которые имели стандарт в виду...

>И кто теперь им пользуется в юзерспейсе?

TLS?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от User294 (??) on 19-Ноя-08, 19:30 
>  XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с
> парсингом сообщений.

Да уж, когда откровенно бинарные аватар или фото КОДИРУЮТ В ЮЮКИ только для того чтобы его можно было запихнуть в XMLку от чего и без того не мелкий файл пухнет на треть (это при том что гора XMLятины и так компактностью не страдает) - это называется defective by design на мою имху.Как посмотришь сколько траффика аська съедает и сколько жаббер при логине при прочих равных... уу... особенно с жпрс... =\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Michael Shigorin email(ok) on 19-Ноя-08, 19:33 
Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и вернуться где-то к нижней её части "на жиле".
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 19-Ноя-08, 20:12 
>Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и
>вернуться где-то к нижней её части "на жиле".

С маленькой поправкой: не на всяком мобильнике эта фишка работает, нужна поддержка ОС. :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Guest (??) on 20-Ноя-08, 00:50 
> RSS сказать что такое?

RSS это не прикладуха. Это вместе с Web оставим.

> RPC-XML? DocBook? Jabber? DBUS?

А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Guest (??) on 20-Ноя-08, 01:00 
> RSS сказать что такое?

RSS это не прикладуха. Это вместе с Web оставим.

> RPC-XML? DocBook? Jabber? DBUS?

А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 19-Ноя-08, 01:43 
>XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для
>IPC перегружена.

А я не пью, мне противно :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от User294 (ok) on 19-Ноя-08, 03:19 
>XML есть блоатваре,

+1 =) Хрен поспоришь-желание все и вся представить как XML, например как в жаббере очень похоже на маниакальное желание забить все и вся, от мебельного гвоздика до железнодорожного костыля пренепременно своим любимым микроскопом и никак иначе.

>ибо в конфигах нечитабельна,

При хорошем форматировании - сойдет но не более того.

>а для IPC перегружена.

Дык....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от F on 19-Ноя-08, 09:27 
> XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

XML полезен в некоторых случаях, но, к сожалению, применяется часто и не к месту.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Аноним (??) on 19-Ноя-08, 00:38 
увы, +1
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Аноним (??) on 19-Ноя-08, 06:00 
убунта уже обновилась...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Alex (??) on 19-Ноя-08, 07:25 
Сам противник XML но при разумном подходе XML+HTML на больших объёмах позволяют достичь компактного результата.
Но порою как глянешь, что вытворяют различные генераторы, да некоторые умельцы, удивляешься тому что ещё есть чему удивляться...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Nikolaos on 19-Ноя-08, 07:28 
>> XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

Мощнее XML еще ничено не придумали, и никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Аноним (??) on 19-Ноя-08, 07:51 
На XML уже можно писать вирусы? А грабить корованы?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от F on 19-Ноя-08, 09:53 
>На XML уже можно писать вирусы? А грабить корованы?

XSLT, между прочим, полный по Тьюрингу :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от User294 (ok) on 19-Ноя-08, 13:01 
>XSLT, между прочим, полный по Тьюрингу :)

Брэйнфак, кстати тоже.Давайте все резко начнем использовать брэйнфак в конфигах?Как бонус - враги и хакеры сойдут с ума при попытках разобраться со всем этим.Главное не сойти с ума самому :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от vitek (??) on 19-Ноя-08, 09:51 
а зачем Вам универсальность в "самопальном" cfg?
xml не добавит стабильности в работе ПО только потому, что на него перевели конфигурационный файл.
а ini файлы и так достаточно универсальны и просты.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Зилибоба on 19-Ноя-08, 10:13 
А главное Human Readable, что заложено в основу любой юникс системы. В unix way заложен принцип умопостижимости контекста, XML не отвечает этому принципу, соответственно XML - не unix way, хотя - пусть живет...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Guest (??) on 20-Ноя-08, 00:53 
> никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml

C++ еще универсальней! А лучше Java!! Будем писать конфиги на Java!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Аноним (??) on 19-Ноя-08, 10:38 
читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Зилибоба on 19-Ноя-08, 10:42 
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:) нет, в целом XML хорошь, но не проходит тест на unix way совместимость =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от ононим on 19-Ноя-08, 12:55 
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:)

Цитата с ЛОР:
"И как-то вдруг неожиданно приехало:
Size: 931 KB
A security issue has been identified in Microsoft XML Core Services (MSXML) that could allow an attacker to compromise your Windows-based system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
More information for this update can be found at http://go.microsoft.com/fwlink/?LinkId=128803

Хммм..."

а вы говорите...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от I on 19-Ноя-08, 13:33 
Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Michael Shigorin email(ok) on 19-Ноя-08, 20:23 
>Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?

По сравнению CVE-2007-0099 и патча для CVE-2008-4226 (в обоих случаях возможен memory corruption, только у MS вследствие race condition, а в libxml2 -- integer overflow) мне так не показалось, хотя тайминг действительно интересный получился...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от User294 (ok) on 19-Ноя-08, 15:01 
>A security issue has been identified in Microsoft XML Core Services (MSXML)

Господи, это в который раз то уже?Там по жизни полная ... с дырами.А на паре машин апдейтер вообще сломался - считает своим долгом после накатывания этого апдейта предложить его еще раз.Наверное для надежности, чтобы уж наверняка.При том не понятно как его все-таки убедить что этот апдейт уже установлен.MS - ахтунгисты покруче любых опенсорцников...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от anonymous (??) on 19-Ноя-08, 14:44 
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:)

Konechno eto proiski MS. Ili vy imeete na primete esche kogo nit'? :)

PS: Vsemu svoe mesto. XML v instant messenger'ah, i v config'ah - zlo.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от anonymous (??) on 19-Ноя-08, 16:40 
>PS: Vsemu svoe mesto. XML v instant messenger'ah... - zlo.

Свой нарисуй.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от Аноним (??) on 19-Ноя-08, 16:39 
А почему такой флейм, я обновился еще в 7:00 МСК
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от grgdvo on 20-Ноя-08, 05:52 
А что вы на XML то все накинулись...?! Хороший способ представления структурированной информации во многих приложениях.

Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование любого продукта хромает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Критическая уязвимость в библиотеке Libxml2"  
Сообщение от RedStalker_Mike (??) on 20-Ноя-08, 09:17 
>А что вы на XML то все накинулись...?! Хороший способ представления структурированной
>информации во многих приложениях.
>
>Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование
>любого продукта хромает

Согласен! Не стоит в чём то порицать средство - нужно порицать тех, кто его криво использует!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру