The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.10.2017 09:27  Выпуск стандартной Си-библиотеки Musl 1.1.17 с устранением уязвимости

Представлен релиз стандартной Си-библиотеки Musl 1.1.17, предоставляющей реализацию libc, которая подходит для применения как на стационарных ПК и серверах, так и на мобильных системах, сочетая полноценную поддержку стандартов (как в Glibc) с небольшим размером, низким потреблением ресурсов и высокой производительностью (как в uClibc, dietlibc и Android Bionic). Имеется поддержка всех обязательных интерфейсов C99 и POSIX 2008, а также частично C11 и набор расширений для многопоточного программирования (POSIX threads), управления памятью и работы с локалями. Код Musl поставляется под свободной лицензией MIT.

В новой версии устранена уязвимость (CVE-2017-15650) в коде разбора ответов от DNS-сервера, которая может потенциально привести к выполнению кода при использовании функции getaddrinfo(), в случае если злоумышленник контролирует работу DNS-сервера, указанного в resolv.conf, или может вклиниться в трафик (MITM). В качестве обходного пути защиты можно запустить собственный локальный кэширующий DNS-сервер и указать его в resolv.conf.

Из новых возможностей можно выделить поддержку отложенной привязки символов (deferred symbol binding) в компоновщике (эмуляция RTLD_LAZY), опцию для переопределения значения argv[0] при запуске программы через ldso, поддержку запуска новых сеансов при помощи posix_spawn (POSIX_SPAWN_SETSID), возможность определения активной для потока локали (расширение _NL_LOCALE_NAME), улучшение совместимости с приложениями, платформами и сборочными системами.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Выпуск стандартной Си-библиотеки Musl 1.1.16
  3. OpenNews: Выпуск стандартной Си-библиотеки Musl 1.1.15
  4. OpenNews: Проект OpenWRT перешел на использование Musl в качестве libc по умолчанию
  5. OpenNews: В системной библиотеке Musl устранена удалённая уязвимость
  6. OpenNews: Представлена стандартная Си-библиотека Musl 1.0.0, развиваемая в качестве альтернативы Glibc
Лицензия: CC-BY
Тип: Программы
Ключевые слова: musl, libc
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Фуррь, 10:14, 20/10/2017 [ответить] [смотреть все]
  • +/
    Хм, интересно, будет ли прирост быстродействия на моём нетбуке, если перекатиться на это с glibc?
     
     
  • 2.2, llllllllll, 10:32, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Нет. http://www.etalabs.net/compare_libcs.html
     
     
  • 3.5, Игорь, 11:34, 20/10/2017 [^] [ответить] [смотреть все]
  • –1 +/
    нашли кого слушать а ниче что это данные многолетней давности да и сравнение н... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 16:10, 20/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    У musl простой код и малое потребление ресурсов Но это не способствует рекордно... весь текст скрыт [показать]
     
     
  • 5.34, Аноним, 20:22, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Посмотрим, сколько еще дыр найдется в этом простом коде ... весь текст скрыт [показать]
     
  • 2.4, mma, 11:15, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    оно не для прироста а для сокращения объема
     
  • 2.7, anonimus, 12:19, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не то спрашиваете Нужно спрашивать, а можно ли нетбук перекатить на это вообще ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 12:58, 20/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Это почему это? Накатить на него Alpine, всё будет работать.
     
     
  • 4.28, Аноним, 17:01, 20/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    не знаю почему. генту собрать не удалось.
     
     
  • 5.48, Аноним, 11:20, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    https wiki gentoo org wiki Project Hardened_musl Новые библиотеки игнорируют с... весь текст скрыт [показать]
     
  • 1.3, Аноним, 10:49, 20/10/2017 [ответить] [смотреть все]  
  • –3 +/
    Еще пол года ждать пока LEDE обновится?
     
     
  • 2.8, Иван, 12:27, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Я правильно понимаю, что, если LEDE использует Musl, значит, мой провайдер может... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Аноним, 12:47, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Теоретически может На практике это пока не доказано Но да, обновляться надо ... весь текст скрыт [показать]
     
  • 3.44, twilight, 07:54, 21/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы так говорите, как будто это что-то плохое ... весь текст скрыт [показать]
     
  • 2.11, Аноним, 12:40, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Предыдущие два фикса вышли оперативно Но при такой тенденции им придётся каждую... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 13:54, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Они и так очень часто релизятся.
     
     
  • 4.33, Аноним, 20:20, 20/10/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Надо бы им перейти на хромовскую систему непрерывной нумерации Потому что xx yy... весь текст скрыт [показать]
     
  • 1.6, Аноним, 12:15, 20/10/2017 [ответить] [смотреть все]  
  • +/
    Чото она за последнее время два раза прилезла в обновлениях, а новость только од... весь текст скрыт [показать]
     
     
  • 2.10, Аноноим, 12:32, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Обычно второе обновление - это regression fix, когда в первом дыру закрыли так, ... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноноим, 12:31, 20/10/2017 [ответить] [смотреть все]  
  • +2 +/
    > В новой версии устранена уязвимость (CVE-2017-15650) в коде разбора ответов от DNS-сервера, которая может потенциально привести в выполнению кода при использовании функции getaddrinfo()

    Что характерно, автор Musl Рич Фелкер люто ненавидит Поттеринга, однако дыры у него беззастенчиво таскает.

     
     
  • 2.12, Аноним, 12:45, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Этого ашаурка любой недостаточно флегматичный человек ненавидит, а дыра небось и... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 14:08, 20/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    С годами это обычно проходит После восемнадцатого-двадцатого дня рождения уже к... весь текст скрыт [показать]
     
  • 3.20, Stax, 14:53, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    но в данном случае ситуация иная - Рич Фелкер вообще очень много чего ненавид... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 15:35, 20/10/2017 [^] [ответить] [смотреть все]  
  • –12 +/
    Меня больше впечатлила его техническая безграмотность Например, один из главных... весь текст скрыт [показать]
     
     
  • 5.24, Onanon, 16:25, 20/10/2017 [^] [ответить] [смотреть все]  
  • +7 +/
    > Меня больше впечатлила его техническая безграмотность. Например, один из главных его аргументов
    > в критике системды - что системда не умеет reexec на лету.
    > Чувак не удосужился даже минимально погуглить, не то что ман почитать. Инфу
    > про systemctl daemon-reexec даже мой хомяк может найти.

    Цитата:
    "With regards to upgrades, systemd's systemctl has a daemon-reexec command to make systemd serialize its state, re-exec itself, and continue uninterrupted. This could perhaps be used to switch to a new version without rebooting. Various programs already use this technique, such as the IRC client irssi which lets you /upgrade without dropping any connections. Unfortunately, this brings us back to the issue of PID 1 being special. For normal applications, if re-execing fails, the worst that happens is the process dies and gets restarted (either manually or by some monitoring process) if necessary. However for PID 1, if re-execing itself fails, the whole system goes down (kernel panic)."

    (http://ewontfix.com/14/)

    Кажется, про daemon-reexec он в курсе, это просто ты читать не умеешь.

     
     
  • 6.31, Аноним, 20:16, 20/10/2017 [^] [ответить] [смотреть все]  
  • –6 +/
    Это он уже потом жoпкой вилять начал Сначала было sysvinit может reexec, а sys... весь текст скрыт [показать]
     
     
  • 7.38, Onanon, 22:01, 20/10/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Где он такое писал Можно ссылку В мэиллистах busybox, из которых родился его п... весь текст скрыт [показать]
     
  • 5.27, Аноним, 16:44, 20/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ашаурок не осилил читать логи и написал жорналдэ, это гораздо круче... весь текст скрыт [показать]
     
     
  • 6.32, Аноним, 20:18, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Разработчики Ъ юниксов Solaris HP-UX AIX придумали бинарные логи задолго до не... весь текст скрыт [показать]
     
     
  • 7.45, Аноним, 08:45, 21/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Знаю, и потому очень сильно озабочен грядущей смертью обычного мейснтримного лин... весь текст скрыт [показать]
     
  • 4.22, Аноним, 15:37, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    А можно какие-то примеры публичных высказываний Рича про удобства производительн... весь текст скрыт [показать]
     
     
  • 5.29, Stax, 18:27, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Можно погуглить рассылки mplayer где-нибудь 10-15 давности, он много кода там ре... весь текст скрыт [показать]
     
     
  • 6.42, Аноним, 01:22, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Так почему бы не погуглить, если можно Ты, в отличие от меня, хотя бы примерно ... весь текст скрыт [показать]
     
     
  • 7.43, Stax, 04:38, 21/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Нет, более детально выискивать пруфы я не собираюсь - писал он в mplayer-dev в... весь текст скрыт [показать]
     
     
  • 8.56, Аноним, 20:28, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Так и запишем мир, дверь, мяч Я не то чтобы верю или не верю Просто сам я у н... весь текст скрыт [показать]
     
  • 4.25, Аноним, 16:43, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ты про какое железо сейчас, про роутеры ... весь текст скрыт [показать]
     
  • 4.26, Аноним, 16:43, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    прикольный чувак, успехов ему
     
  • 2.14, Аноним, 12:52, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Шта Поттеринг-то тут каким боком ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Andrey Mitrofanov, 12:54, 20/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Он теперь Главнюк по DNS-ам BIND фсйо ... весь текст скрыт [показать]
     
     
  • 4.19, Аноним, 14:09, 20/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    BIND еще поставить надо А resolved musl обычно идет из коробки на разных систе... весь текст скрыт [показать]
     
  • 4.55, Аноним, 17:18, 21/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А это слово, точно и емко характеризующее Горшечника, точно с л пишется ... весь текст скрыт [показать]
     
  • 1.30, Васян, 19:36, 20/10/2017 [ответить] [смотреть все]  
  • +/
    Друзья, а подскажите пожалуйста, с этой либой если вместо glibc всё линкуется, то меньше памяти занимают программы и быстрее работают?

    Извините за глупый может вопрос.

     
     
  • 2.35, Аноним, 20:24, 20/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В некоторых случаях действительно могут занимать меньше места Но абсолютное бол... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Аноним, 21:24, 20/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    На самом деле абсолютно все библиотеки в таком случае прийдётся линковать с musl... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 21:42, 20/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Во-первых, вы и грыш и придётся Во-вторых, нет никакой разницы, с какой lib... весь текст скрыт [показать]
     
     
  • 5.47, Аноним, 11:06, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Если Вы захотите в дистрибутиве, где используется одна libc-библиотека использов... весь текст скрыт [показать]
     
     
  • 6.51, Аноним, 13:26, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Не знаю, где ты нашёл какие-то проблемы code ldd hello_glibc linux-vdso so... весь текст скрыт [показать]
     
     
  • 7.53, Аноним, 15:21, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    И Я не вижу использования какой-либо библиотеки, зависимой от libc у Вас в hell... весь текст скрыт [показать]
     
     
  • 8.58, Аноним, 23:43, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Библиотеки, разумеется, тоже надо будет пересобрать А видеть надо было не их ис... весь текст скрыт [показать]
     
     
  • 9.61, Аноним, 11:41, 22/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ага, а теперь подумаем дальше Предположим Вам требуется фреймворк какой-то, ну ... весь текст скрыт [показать]
     
     
  • 10.64, Аноним, 14:22, 22/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Если ты не понял из приведённого выше примера, я использую дистрибутив, разработ... весь текст скрыт [показать]
     
     
  • 11.65, Аноним, 15:08, 22/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну, если только на пересборке N-й библиотеки...
     
  • 4.39, asdasdasd, 23:07, 20/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Только вот в той-же libc есть математическая библиотека, где используется вектор... весь текст скрыт [показать]
     
     
  • 5.40, asdasdasd, 23:08, 20/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А ну еще выравнивание памяти сильно память отъедает, только вот в скорости выигр... весь текст скрыт [показать]
     
     
  • 6.46, Zarat, 11:05, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну есть мнение, что выравнивание за счет увеличения памяти, на архитектурах с вн... весь текст скрыт [показать]
     
  • 2.41, angra, 01:09, 21/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    В случае _статической_ линковки занимают меньше места, работают в среднем чуть м... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Аноним, 11:26, 21/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы, наверное, ошиблись, - занимают больше места Потому как вероятность, что дру... весь текст скрыт [показать]
     
     
  • 4.50, angra, 12:58, 21/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Еще раз для особо одаренных Оно не для замены glibc в ваших дистрах, оно совсем... весь текст скрыт [показать]
     
     
  • 5.54, Аноним, 15:27, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Я Вам не про замену, а про статическую линковку говорил Для каждого приложения ... весь текст скрыт [показать]
     
     
  • 6.57, angra, 23:26, 21/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Спасибо, кэп, я же за двадцать лет опыта программистом ни за что не догадался бы... весь текст скрыт [показать]
     
     
  • 7.59, Led, 00:40, 22/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Во-первых, в alpine по прежнему есть glibc

    Нет.

     
     
  • 8.60, angra, 04:47, 22/10/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Посмотрел, действительно уже нет Приходится людям с какой-нибудь из реп на гитх... весь текст скрыт [показать]
     
     
  • 9.63, Аноним, 12:00, 22/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Зачем Посмотрел, вроде поддерживаются GNU-расширения языка Поэтому никто даже ... весь текст скрыт [показать]
     
     
  • 10.68, angra, 09:39, 23/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Для использования бинарников, слинкованных с glibc.


     
     
  • 11.69, Аноним, 21:03, 23/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Подразумевается скачанных? ln может всё-таки?
     
     
  • 12.71, Аноним, 21:26, 23/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Прошу прощения, ляпнул не подумавши, здесь моих текущих знаний недостаточно Каж... весь текст скрыт [показать]
     
  • 9.66, Led, 16:30, 22/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > Приходится людям с какой-нибудь из реп на гитхабе ставить ее.

    Нет.

     
  • 7.62, Аноним, 11:57, 22/10/2017 [^] [ответить] [смотреть все]  
  • +/
    У Вас может быть и есть 20 лет опыта, но я не вижу профессионализма То, что Вы ... весь текст скрыт [показать]
     
     
  • 8.67, angra, 09:38, 23/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > То, что Вы не можете признавать свои ошибки и спокойно это воспринимать (попытки доказать, что всё равно были правы, но Вам неправильно поняли)

    И где же у меня ошибка, кроме как с наличием glibc в современном alpine, которую я признал?

    > а также не задаёте вопросов в духе "имелось в виду это, либо это?" и "почему?"

    Если ТЫ не понимаешь, о чем я говорю, то это ТЫ должен задавать мне такие вопросы, а не наоборот. Я могу спросить лишь другое: "ты домашнее задание по поиску usecase для статической линковки выполнил?"

     
     
  • 9.70, Аноним, 21:15, 23/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Мне было интереснее узнать ответ на свой последний вопрос Насчёт merge request ... весь текст скрыт [показать]
     
     
  • 10.72, angra, 03:50, 24/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Молодец, следуешь правилам демагога, когда нечего ответить по сути, надо либо переходить на личности, либо срываться в словоблудие. Вот только меня спор ради спора не интересует. Гуляй.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor