The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от opennews (ok) on 30-Мрт-11, 13:03 
Несколько недавно обнаруженных уязвимостей:

-  В коде парсинга AFM-блоков в библиотеке t1lib обнаружена (http://secunia.com/advisories/43491/) возможность переполнения буфера. Данная библиотека используется в Linux-версии программы для просмотра PDF-файлов Xpdf, что делает данную программу уязвимой (http://www.kb.cert.org/vuls/id/376500) и позволяет организовать выполнение кода при открытии специально сформированных PDF-файлов. Уязвимость исправлена в версии Xpdf 3.02pl6;
-  В свободном пакете с реализацией протоколов маршрутизации Quagga 0.99.18 (http://www.quagga.net/news2.php?y=2011&m=3&d=21#id1300723200) исправлены две уязвимости (http://lists.debian.org/debian-security-announce/2011/msg000...): возможность разыменования NULL-указателя и вызова краха "bgpd" при отправке со стороны пира специально оформленного запроса; возможность обрыва BGP-сессий через отправку пакетов со специально оформленным блоком атрибутов AS_PATHLIMIT;
-  В Python-модулях urllib/urllib2 найде...

URL:
Новость: http://www.opennet.dev/opennews/art.shtml?num=30069

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  –4 +/
Сообщение от cmp (ok) on 30-Мрт-11, 13:03 
> в рамках проекта gresecurity PaX-патчах для Linux-ядра устранена уязвимость..

Уязвимость в системе поиска уязвимостей? А может замутить систему поиска уязвимостей в системе поиска уязвимостей, может там получится?.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +4 +/
Сообщение от vi_m (ok) on 30-Мрт-11, 13:14 
Не бывает кода без ошибок в мало-мальски крупных проектах.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  –6 +/
Сообщение от cmp (ok) on 30-Мрт-11, 14:29 
Это не повод делать их (проекты) еще больше, тем самым внося еще ошибки и суммарно увеличивая затраты на использование.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  –1 +/
Сообщение от User294 (ok) on 30-Мрт-11, 14:42 
> Уязвимость в системе поиска уязвимостей?

Ну нифига себе вы название придумали для укрепляющих патчей на ядро. Не, конечно уязвимость в защите - забавно, но она какая-то не особо страшная на вид.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +1 +/
Сообщение от deadless (ok) on 30-Мрт-11, 17:34 
ооо мёёд, просто мёёд, уязвимость в grsecurity! как же так? где ж твой друг paxuser, где его главная песнь?

да это наброс, хотя лучше на этом тред и закончить :) для меня в плане ядра линукса и всех эти "типа" патчей все давно понятно.
1) в ядре линя часто находят много дыр
2) исходя из 1 нужно придумать новый grsec, pax, и патчи
3) исходя из 1 и 2 один фиг нужно чуть ли не ежедневно накатывать патчи на ядро
4) исходя из 1,2,3 нужно придумать как меньше тратить времени на перезагрузки (ау ksplice, upstart, etc)
5) ждем новой дыры, и гото 1.

Скоро линь будет грузиццо за 0,5 секунды, а патчи на ядро применяться прозрачно, вот он профит! :))

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от коксюзер on 30-Мрт-11, 17:49 
> да это наброс, хотя лучше на этом тред и закончить :) для

Тред можно закончить на том, что это уязвимость к DoS.

> меня в плане ядра линукса и всех эти "типа" патчей все
> давно понятно.

Понятнее некуда.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +1 +/
Сообщение от User294 (ok) on 31-Мрт-11, 15:30 
> ооо мёёд, просто мёёд, уязвимость в grsecurity! как же так? где ж
> твой друг paxuser, где его главная песнь?

Я как-то совсем не уверен что paxuser считает меня своим другом, однако это не мешает мне считать что он довольно грамотен с технологической точки зрения. А вот такого жирного но при этом довольно глупого троллинга от тебя я что-то не ожидал. Мне казалось что если уж хочется потроллить, то можно это и менее топорно сделать :)

> да это наброс, хотя лучше на этом тред и закончить :)

Типа, пукнул и в кусты? Не, так не пойдет :)

> для меня в плане ядра линукса и всех эти "типа" патчей все давно понятно.

Лично мне понятно только то что в мире есть люди, которых безопасность волнует даже сильнее чем разработчиков ядра и они не против затянуть гайки. Я не вижу чего в этом плохого.

> 1) в ядре линя часто находят много дыр

А есть железная уверенность что у остальных качество кода - принципиально лучше, и проблем затрагивающих безопасность - меньше? А на основании чего эта уверенность возникает? Надеюсь на чем-то более серьезном чем на принципах неуловимого Джо?

> 2) исходя из 1 нужно придумать новый grsec, pax, и патчи

Ты так говоришь, как будто баги делают только линуксные програмеры. А остальные наверное супербоги и никогда не ошибаются. Ага. Очень убедительно. А мне почему-то кажется логичным предположить что квалификация програмеров в других проектах не отличается на порядки. А значит количество багов на кило кода - примерно одинаковое, плюс-минус ессно, но даже если их в 2 раза меньше, врядли тебя это сильно утешит если тебе через "в 2 раза более редкий" баг сплойт присвистит, а? :). Это раз. А два состоит в том что я могу тебе гарантировать что в системах с таким объемом кода просто не может не быть багов. Включая баги являющиеся проблемами безопасности. От этого особо никуда не денешься. Разве что заменить програмеров машинами, которые ощибаться не будут. Но машины то тоже делали люди, так что не прокатит это. Единственное что можно - постараться минимизировать количество багов, сделать практически полезную эксплуатацию сложной и минимизировать последствия в случае если плохие парни все-таки прорвутся. Есть какие-то реалистичные идеи лучше? Минимизация кода со своей стороны имеет обратную проблему: система которая ничего не умеет - никому нафиг не нужна. При этом как-то уже и не важно насколько там она будет секурная.

> 3) исходя из 1 и 2 один фиг нужно чуть ли не ежедневно накатывать патчи на ядро

На самом деле это вытекает из
1) Размера кода. Он большой. Это неизбежно. Кому не нравится - запретите выпускать сложное оборудование, а?! Или как ты себе представляешь например простой драйвер для видеокарт со спеками на 1000 страниц, который бы использовал весь функционал, а?КАк ты понимаешь, драйвер реализующий только галимый VGA 640x480х256цветов - нужен сильно меньшему количеству народа чем драйвер с акселерацией 2D, 3D и прочая.
2) Того что люди могут делать ошибки.
3) Из 1) и 2) следует что чем больше код, тем больше багов. Равно как и патовая ситуация состоящая в том что те кто хочет поддерживать все современное оборудование и его фичи, более-менее все протоколы, етц - не могут сделать код совсем без багов. Потому что времена ключа Морзе в котором негде возникнуть багам и одного тривиального протокола, который сложно реализовать неправильно - прошли. И не хотят вот теперь двуногие настукивать линейный код в линию самолично. Совсем обленились, сцуки - все на процессоры сбагрили! :).

> 4) исходя из 1,2,3 нужно придумать как меньше тратить времени на перезагрузки
> (ау ksplice, upstart, etc)

А? Чо? Батхерт по поводу отсутствия функционала при ядре сравнимого размера и сложности  а потому - наврядли меньшим числом багов там? Хаха, отжиг :). Еще можно упомянуть виртуализаторы и перемещение контейнеров/виртуалок между машинами. Кто там из теоретиков хотел процессы-странники? История прикололась и странниками становятся целые операционки :)

> 5) ждем новой дыры, и гото 1.

Кэп, скажи, а в твоей любимой системе этот алгоритм чем-о отличается? :)

> Скоро линь будет грузиццо за 0,5 секунды,

Если сильно захотеть - можно в космос полететь. Пруфлинк: нечто типа google://linux boot in second :)

> а патчи на ядро применяться прозрачно, вот он профит! :))

А что, красивая технология, созданная для жизни. Для людей. Идеальная система тратит минимум времени и ресурсов на служебные внутренние операции, мля. Загрузка системы - служебная операция по определению. Она не нужна пользователю, пользователю нужна система, программы в ней и то что они делают. И я затрудняюсь сказать что скажем рестарт допустим IP камеры видеоналюдения после заливки новой фирмвари за пару секунд вместо пары минут  - это плохо.Не, нифига, это - хорошо, правильно и так как и должно быть с самого начала :)

Hint: мой первый компьютер загружался на горячую из рамдиска в допиленный местными аборигенами вариант CP/M за ~пару секунд. И это при хилом 8080 проце на 3МГц, тормозной в хлам оперативке и прочая. Мне не понятно почему это стоит считать роскошью при том что мощности процессоров, даже маленьких и экономных выросли в тысячи раз, равно как и скорости оперативки и всех интерфейсов. Это не роскошь, это - нормально. Это так как должно быть, если систему делать не жопой к юзеру а лицом. Ы?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от deadless (ok) on 31-Мрт-11, 18:54 
молодец, возьми с полки пирожок. :)

Ты мне что-то пытаешься доказать? я уже неоднократно повторял, что _мне_ давно все понятно. Плотно работаю не только с линуксом но и с FreeBSD, OpenBSD и как не странно с Win2008R2, да бабло оно не пахнеть. :) Есть с чем сравнивать короче.
Написанное мной чистый сарказм, линукс не настолько безопасен насколько некоторые о нем думают, даже со всеми патчами он остается уязвимым. Да совсем ровных систем нет и даже в OpenBSD баги находят. Но там подход к разработке децл другой.

Скажу проще работая в FreeBSD бывает ловишь некоторые баги, не без них, раздражает но не сильно, переключаешься на линукс, начинаешь материццо гораздо громче, собираешь прошивку для какойнить железяки, тут конечно до 17 колена торвальдса доходит, в венде ковыряешься - так там вообще ужос и холокост, в OpenBSD не хватает мелочей что есть в FreeBSD, и в итоге у меня на десктопе стоит операционка которая меня меньше всего раздражает - фря.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от исчо_адын_аноним on 03-Апр-11, 11:47 
А чегй это ты так возбудился ? :)
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

17. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от Аноним (??) on 30-Мрт-11, 23:32 
>А может замутить систему поиска уязвимостей в системе поиска уязвимостей

You dawg! I herd u like vulnerabilities, so we decided to put a vulnerability in yo vulnerability so u can enjoy yo vulnerability while being vulnerable :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от ZloySergant (ok) on 30-Мрт-11, 14:20 
Мде а в slackware-current t1lib убрали еще во вторник. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от ZloySergant (ok) on 31-Мрт-11, 09:54 
Мде, а в четверг опять добавили. Патрег, однако.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  –1 +/
Сообщение от Аноним (??) on 30-Мрт-11, 14:42 
не недели без дырок в linux kernel.. что ж они сразу писать проверки в коде не могут?
куда смотрят мантайнеры ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от anonymous (??) on 30-Мрт-11, 16:27 
Ты такой смешной. Случаем, не заметил, что уязвимости в ядре вдруг находятся после выхода новой версии, которая их закрывает? Задавался вопросом, почему?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  –1 +/
Сообщение от Аноним (??) on 30-Мрт-11, 16:52 
По определению. Находят их разньше, а исправляют позже, чтобы красноглазых не запугивать. Такая мастурбация вприсядку, общепринятая, кстати.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  –1 +/
Сообщение от Аноним (??) on 30-Мрт-11, 20:14 
это любимая привычка линуксоидов - скрывать дырки до тех пор пока их исправят.
Если бы анонс о дырах был сразу при их обнаружении - то и дня бы не проходило без такого анонса.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +1 +/
Сообщение от arka on 30-Мрт-11, 17:46 
Если напрячься, то и в "Hello, world!" можно допустить ошибки...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от Гость on 30-Мрт-11, 20:04 
Да, сишка это позволяет.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от Andrew Kolchoogin on 31-Мрт-11, 13:57 
Предыдущий оратор, кстати, не указал, на чём именно он собирается писать "Hello, World!" :) В частности, такой экзампл есть, например, в Apache Tomcat 7. :))) И написан он совсем не на C. :)))
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от User294 (ok) on 31-Мрт-11, 15:31 
> Да, сишка это позволяет.

И не только сишка, что самое забавное :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от Гость on 01-Апр-11, 18:39 
Только в сишке это более вероятно. Видел интернет-статью с примером некорректного кода "Hello world!" из книги по обучению программированию на Си.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Уязвимости в Xpdf, Quagga, Google Chrome, urllib, Kerberos5,..."  +/
Сообщение от iZEN (ok) on 02-Апр-11, 16:52 
На FreeBSD обновление (chromium-courgette-redacted-10.0.648.204.tar.xz ~ 108МБ) для порта www/chromium от v.6.0.472.63 до v.10.0.648.204 пришло. Неожиданно как-то. Проект нанял разработчика порта.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру