https://www.opennet.ru/openforum/vsluhforumID3/11324.html Ошибка в реализации функции glob() в различных Си-библиотеках, например в glibc и BSD libc (http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2010-008.txt.asc), может быть использована удалённым атакующим, чтобы нарушить работу FTP/SFTP серверов. В связи с тем, что на многих серверах разрешён анонимный вход, ошибку легко эксплуатировать и многие программные продукты являются уязвимыми. В отчёте (http://securityreason.com/securityalert/7822) утверждается, что серверы даже таких крупных компаний, как Adobe и HP, подвержены этой проблеме.<br><br><br>Проблема возникла из-за того, что переменная GLOB_LIMIT, которую добавили в 2001 году для ограничения объёма памяти функцией glob() c целью защиты от аналогичной уязвимости (http://www.opennet.ru/base/netsoft/1007055482_116.txt.html), не эффективна. Проверка на совпадение (globbing) вызывает функцию glob(), чтобы сравнить список файлов с шаблоном и вернуть на выход список совпадающих файлов. В виду того, что GLOB_LIMIT не действует в сит...<br><br>URL: http://securit https://www.opennet.ru/openforum/vsluhforumID3/11324.html#93 Mon, 11 Oct 2010 06:35:42 GMT &gt;&gt; OpenSUSE(как релиз посмотреть - не знаю<br>&gt; Вроде, везде работает:<br>&gt; cat /etc/*release*<br><br># cat /etc/SuSE-release<br>SUSE Linux Enterprise Server 11 (x86_64)<br>VERSION = 11<br>PATCHLEVEL = 1<br><br> https://www.opennet.ru/openforum/vsluhforumID3/11324.html#92 Sat, 09 Oct 2010 20:08:28 GMT того и гляди злобные анонимусы будут ходить по серверам и их "тестировать"... а может и робота-обходчика подрядят...<br> https://www.opennet.ru/openforum/vsluhforumID3/11324.html#91 Sat, 09 Oct 2010 05:42:59 GMT &gt;&gt; что-то не получается у меня повесить proftpd под openbsd<br>&gt; Видимо, корректно обрабатываются ситуации с нехваткой памяти.<br>&gt; Я проверил на ksh &#8212; отожрало вплоть до лимита, выругалось на нехватку,<br>&gt; и начало постепенно отдавать память взад.<br><br>Фикс для OpenBSD таки закоммичен: http://marc.info/?l=openbsd-cvs&m=128657455002435&w=2<br> https://www.opennet.ru/openforum/vsluhforumID3/11324.html#90 Fri, 08 Oct 2010 20:02:51 GMT 2001-й год, 5 баллов! :)<br> https://www.opennet.ru/openforum/vsluhforumID3/11324.html#88 Fri, 08 Oct 2010 18:05:27 GMT &gt; несправедливо мс исключена из упоминания:<br>&gt;&gt;Affected Vendors (not verified):<br>&gt;&gt;- - Apple<br>&gt;&gt;- - Microsoft Interix<br>&gt;&gt;- - HP<br>&gt;&gt;- - more more more<br><br>not verified<br><br>P.S.<br>На генте х64 bash с такой строкой жрет проц, но память жрет только до 158 метров.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/11324.html#87 Fri, 08 Oct 2010 17:59:51 GMT &gt; Ну в редхате поддерживается только vsftpd, который "проблеме не подвержен", так что<br>&gt; наверное у них нет необходимости дергаться и резко латать проблему. Потихонечку<br>&gt; исправят.. Строго говоря, по оригинальной ссылке сказано, кто подвержен проблеме: netbsd/openbsd/freebsd/solaris,<br>&gt; системы adobe/hp/etc, а про редхат, дебиан и пр. ничего не сказано.<br><br>Скажите, а вы правда не знаете, что такое glibc?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/11324.html#86 Fri, 08 Oct 2010 17:54:46 GMT &gt; Вроде, везде работает:<br>&gt; cat /etc/*release*<br><br>Точно<br>cat /etc/*/../*/../*/../*/../*release<br> https://www.opennet.ru/openforum/vsluhforumID3/11324.html#85 Fri, 08 Oct 2010 17:47:20 GMT Решение для proftpd - вписать в proftpd.conf:<br> UseGlobbing off<br><br>ЗЫ: дежавю? http://bugs.proftpd.org/show_bug.cgi?id=1066<br> https://www.opennet.ru/openforum/vsluhforumID3/11324.html#84 Fri, 08 Oct 2010 15:17:56 GMT &gt; OpenSUSE(как релиз посмотреть - не знаю<br><br>Вроде, везде работает:<br>cat /etc/*release*<br>