https://www.opennet.ru/openforum/vsluhforumID3/74055.html Обзор недавно обнаруженных уязвимостей:<br><br><br>- В пакете для работы в анонимной сети Tor 0.2.1.29 (https://www.torproject.org/download/download.html.en#source) устранена критическая уязвимость (http://archives.seul.org/or/announce/Jan-2011/msg00000.html), которая может привести к организации атаки по удаленному выполнению кода. Примечательно, что похожая уязвимость (https://blog.torproject.org/blog/tor-02128-released-security-patches) была устранена в версии 0.2.1.28, выпущенной в конце декабря.<br>- В программе для просмотра документов GNOME Evince обнаружено четыре уязвимости (http://secunia.com/advisories/42769/), которые могут привести к выполнению кода злоумышленника при открытии специальным образом оформленного DVI-файла;<br>- В централизованной системе управления версиями Apache Subversion 1.6.15 устранены две уязвимости (http://secunia.com/advisories/42780/), которые можно использовать для удаленного инициирования краха mod_dav_svn или исчерпания доступной памяти при выполнении к...<br><br>URL: <br>Новость: http https://www.opennet.ru/openforum/vsluhforumID3/74055.html#31 Wed, 19 Jan 2011 10:46:44 GMT Значительная часть уязвимостей-выполнение кода с помощью специально сформированного файла. Здорово! Выложил невинный файлик в инет, все его открыли и заразились!<br><br>Вопрос:<br>1. не слишком ли странно, что уязвимости с открытием файлом ещё не решена и продолжается много лет?<br>2. возможны были бы такие уязвимости, если бы программировали не на С/С++, а на паскале?<br> https://www.opennet.ru/openforum/vsluhforumID3/74055.html#30 Tue, 18 Jan 2011 22:34:37 GMT не всегда, у них больное место - freetype, месяцами копят перед тем как пропатчить,<br>хотя в целом DSA для stable достаточно оперативны, GLSA плохо работают, к сожалению,<br>могут вообще не исправлять отдельные вещи, ну а обычная политика - ждать пока обновится апстрим, далее в ~ и через некоторое время в stable. Цикл достаточно долгий, что разочаровывает.<br>идеала наверное и нет, я уж не знаю как в rhel дела обстоят<br> https://www.opennet.ru/openforum/vsluhforumID3/74055.html#28 Tue, 18 Jan 2011 15:54:08 GMT &gt; В винде ... господа пользователи винды, а вы хотя-бы знаете сколько и каких программ пользуют эту (довольно популярную) либу? И вы их все обновили? Вы можете ответить за все программы содержащие эту либу что они у вас уже исправленные и без дырок? А можете себе представить трах с обновлением всего этого зоопарка? Ну или как обычно - будете троянцев вычищать оптом? Пролезших через типа безобидные картиночки, хе-хе-хе :)<br><br>К ОС с репозиториями (вы ведь их противопоставляете Венде?) всё точно так же. Значительная часть программ статически компонуется с собственными копиями zlib, libpng и др.<br> https://www.opennet.ru/openforum/vsluhforumID3/74055.html#27 Tue, 18 Jan 2011 15:25:28 GMT я смотрела багзиллу, 2 месяца жуют закрытие предыдущих (!) уязвимостей,<br>г-н Рамос так и не смог решить проблему с версионированием символов в библиотеке,<br>а посему дыры в гентушной libxml2 живут еще с ноября, мою багу прикрыли, старую 2 месячной давности - обновили... то что обсуждают и двигаются это хорошо, но не с обновлениями безопасности так тянуть надо, тем более libxml2, которая вообще используется много чем, реальная альтернатива ей - expat, но expat используется гораздо реже.<br><br>Вообщем тянуть для генты исходники из Дебиана, где давно все исправлено.... у меня чувство что что-то явно не так как хотелось бы<br> https://www.opennet.ru/openforum/vsluhforumID3/74055.html#26 Tue, 18 Jan 2011 12:14:19 GMT &gt; DVI-файлы... Я с ними намучился! Суть проблемы: поставил в системе use-флаг dvi, <br>&gt; думая, что это что-нибудь для мониторов.<br><br>Буду краток(с). Эпично!<br> https://www.opennet.ru/openforum/vsluhforumID3/74055.html#25 Tue, 18 Jan 2011 11:56:23 GMT &gt; http://www.debian.org/security/2010/dsa-2137 <br><br>Вот чего-чего а по части секурити дебианщики - практически всегда радуют. <br> https://www.opennet.ru/openforum/vsluhforumID3/74055.html#24 Tue, 18 Jan 2011 11:54:12 GMT &gt; &#8212; Epic Fail.<br><br>Напиши свой сканер который сможет жрать не меньше протоколов, будет не меньше фич и не будет аццки тормозить когда там хотя-бы 100Мбит вдруг полетят со всей дури. У меня есть подозрение что если это написать на яве - там для запуска потребуется купить отдельный сервак, с кучей ядер и много гигазов оперативы. Дыру в сканере это конечно не оправдывает, но и голословный пиндеж - тоже не рулит. А может ты у нас настолько крут что готов переписать еще и libpcap на яве? Ну так, чтобы нативный код не дай боже не имел дел с сетью :). Правда для пущей безопасности надо еще и драйвер сетевухи переписать. Ну и ядро. Хе-хе. А то вдруг в ядре окажется дырка? Мало ли чего. <br> https://www.opennet.ru/openforum/vsluhforumID3/74055.html#23 Tue, 18 Jan 2011 11:51:35 GMT У тебя гентушка, как я понимаю, так вот посмотри на багзилле: все эти баги давно обсуждают и двигаются к решению; патчи и, зачастую ебилды уже есть для всех желающих. GLSA всегда с задержкой выходит из-за того, что нужно стабилизировать новые пакеты с исправлениями.<br> https://www.opennet.ru/openforum/vsluhforumID3/74055.html#22 Tue, 18 Jan 2011 11:49:42 GMT &gt; Специально созданные картинки рушат систему безопасности. <br><br>Дык это... в твоей любимой яве дыреней в 100500 раз больше чем в любой libpng. Что, ты скажешь что она на нативном коде написана? Мля, ну так перепиши свою яву на яве, если ты такой умный :)))<br><br>И вообще - ругать других конечно круто, но почему-то жабисты не лезут писать околосистемные библы с базовым функционалом. Наверное потому что на яве это получается криво и тормозно. Нормально на ней получается всякий бизнес-крап, которому сервер менее чем с 8 процами и 128 гиг оперативы - вообще не компьютер. Ну еще бывают потуги городить гуйные проги на этом, но тормозные уроды с массой проблем почему-то пользователям не доставляют. <br>