https://www.opennet.me/openforum/vsluhforumID3/45258.html Обнаружена (http://secunia.com/Advisories/32773/) критическая уязвимость в библиотеке Libxml2 (http://xmlsoft.org/). Возможность целочисленного переполнения в функции "xmlSAX2Characters()" может привести к выполнению кода злоумышленника при обработке функциями библиотеки специально скомпонованного XML файла. Частично опасность уязвимости уменьшает тот факт, что для эксплуатации XML файл должен иметь огромный размер, но тем не менее проблеме присвоен уровень опасности "чрезвычайно критическая".<br><br><br>Уязвимость присутствует в Libxml2 2.7.2 и более ранних версиях, официальное обновление (http://xmlsoft.org/news.html) с исправлением проблемы пока не вышло, необходимо использовать патч (https://bugzilla.redhat.com/show_bug.cgi?id=470466) или обновление пакета от разработчиков Linux дистрибутивов. <br><br><br>Особую опасность представляет, то что Libxml2 используется для парсинга XML во многих популярных приложениях, например, GNOME, Abiword, Evolution, KDE, OpenOffice.org, Bluez, Compiz, Gedit, Gp...<br><br>URL: http://secunia https://www.opennet.me/openforum/vsluhforumID3/45258.html#46 Thu, 20 Nov 2008 06:17:51 GMT &gt;А что вы на XML то все накинулись...?! Хороший способ представления структурированной <br>&gt;информации во многих приложениях. <br>&gt;<br>&gt;Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование <br>&gt;любого продукта хромает <br><br>Согласен! Не стоит в чём то порицать средство - нужно порицать тех, кто его криво использует!<br> https://www.opennet.me/openforum/vsluhforumID3/45258.html#45 Thu, 20 Nov 2008 02:52:44 GMT А что вы на XML то все накинулись...?! Хороший способ представления структурированной информации во многих приложениях. <br><br>Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование любого продукта хромает<br> https://www.opennet.me/openforum/vsluhforumID3/45258.html#44 Wed, 19 Nov 2008 22:00:55 GMT &gt; RSS сказать что такое?<br><br>RSS это не прикладуха. Это вместе с Web оставим.<br><br>&gt; RPC-XML? DocBook? Jabber? DBUS?<br><br>А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.<br> https://www.opennet.me/openforum/vsluhforumID3/45258.html#43 Wed, 19 Nov 2008 21:53:37 GMT &gt; никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml<br><br>C++ еще универсальней! А лучше Java!! Будем писать конфиги на Java!<br> https://www.opennet.me/openforum/vsluhforumID3/45258.html#42 Wed, 19 Nov 2008 21:50:57 GMT &gt; RSS сказать что такое?<br><br>RSS это не прикладуха. Это вместе с Web оставим.<br><br>&gt; RPC-XML? DocBook? Jabber? DBUS?<br><br>А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.<br> https://www.opennet.me/openforum/vsluhforumID3/45258.html#41 Wed, 19 Nov 2008 17:28:57 GMT &gt;Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI.<br><br>Только вот в libtasn1 бывают баги не менее неприятные, которые имели стандарт в виду...<br><br>&gt;И кто теперь им пользуется в юзерспейсе? <br><br>TLS?<br> https://www.opennet.me/openforum/vsluhforumID3/45258.html#40 Wed, 19 Nov 2008 17:23:25 GMT &gt;Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml? <br><br>По сравнению CVE-2007-0099 и патча для CVE-2008-4226 (в обоих случаях возможен memory corruption, только у MS вследствие race condition, а в libxml2 -- integer overflow) мне так не показалось, хотя тайминг действительно интересный получился...<br> https://www.opennet.me/openforum/vsluhforumID3/45258.html#38 Wed, 19 Nov 2008 17:12:02 GMT &gt;Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и <br>&gt;вернуться где-то к нижней её части "на жиле". <br><br>С маленькой поправкой: не на всяком мобильнике эта фишка работает, нужна поддержка ОС. :(<br> https://www.opennet.me/openforum/vsluhforumID3/45258.html#36 Wed, 19 Nov 2008 16:33:55 GMT Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и вернуться где-то к нижней её части "на жиле".<br>