Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..., opennews (?), 05-Окт-15, (0) [смотреть все] Анализатором кода прошлись , grec (?), 10:48 , 05-Окт-15, (1) // Боюсь, что если по коду ядра и базовой системы OpenBSD пройтись анализатором, бо, Аноним (-), 12:17 , 05-Окт-15, (13) –7 // не бойся, пройдись , mma (?), 17:24 , 05-Окт-15, (29) –1 // не бугурть и пройдись сам, если фанбойство тебе мозги ещё не испортило, Яро Ш. Я. (?), 22:52 , 06-Окт-15, (54) проходятся, не волнуйтесь, б.б. (?), 06:37 , 07-Окт-15, (55) –1 Казалось бы чего там искать - сервер слушает SMTP-порт, принимает текстовые кома, manster (ok), 11:07 , 05-Окт-15, (2) –13   // ну во-первых как ты сам сказал сервер принимает команды - уже куча возможно, Pahanivo (ok), 13:05 , 05-Окт-15, (15) +2   читаем внимательно с выражением казалось бы , manster (ok), 13:12 , 05-Окт-15, (16) –3   // Слышу Слышу голос быдлокодера Казалось бы, подумаешь - прямо из веб-формы данн, www2 (ok), 16:43 , 05-Окт-15, (22) +8   // Хороший, годный комментарий , Аноним (-), 01:18 , 08-Окт-15, (56)   тихо, спокойно, принимаем лекарства и по палатам , Pahanivo (ok), 07:12 , 06-Окт-15, (47) +1   А дело бывает не только в инъекциях Вот пример того, как программа, написанная , Anonplus (?), 20:41 , 05-Окт-15, (41)   Дурилко, уязвимостей в разбиралках текстовых протоколов всегда больше Просто си, anonymous (??), 11:20 , 05-Окт-15, (3) // Вообще-то как с этим бороться - известно уже лет сорок Полный отказ от буферов , Crazy Alex (ok), 11:29 , 05-Окт-15, (4) +4 // Да не, все закономерно Это всегда так - чем больше показных понтов, тем меньше , Аноним (-), 12:19 , 05-Окт-15, (14) +3 // Аноним Да не, все закономерно Это всегда так - чем больше показных понтов, тем, st17 (ok), 23:06 , 08-Окт-15, (67) Crazy Alex В сущности, очень забавляет, что у BSD-шников, кичащихся своей безоп, st17 (ok), 22:53 , 08-Окт-15, (66) Да-да, берём насплошь двоичную картинку, перемножаем ширину картинки на высоту и, www2 (ok), 16:49 , 05-Окт-15, (23) +2 // Внезапно Oracle JVM написана на C , iZEN (ok), 20:39 , 05-Окт-15, (40) +2 Пишу из 2019 года У нас теперь этот список уязвимостей Exim постоянно перед гла, Аноним (74), 23:27 , 29-Сен-19, (74) Ой, они буфер разбора заголовка размещают в стэке В cтэке Где следом за этим б, Аноним (-), 11:40 , 05-Окт-15, (5) +2 // Кхм, ну и код С магическими константами, фиксированным буфером и отсутствием пр, Crazy Alex (ok), 13:37 , 05-Окт-15, (18) +1 // Это 65535 магическая константа И memmove нуждается в проверке , Wladmis (ok), 00:53 , 06-Окт-15, (43) –1 Считаю это гениальным решением Все сервисы по умолчанию вешать только на петлю , angra (ok), 11:40 , 05-Окт-15, (6) +14 // Да, в общем-то это известно, что неломаемость ОпенБЗД это на самом деле неуловим, Классический Анонимус (?), 11:56 , 05-Окт-15, (8) +6 // Простое объяснение есть фимозность некоего Тео В этом смысле он похож на некоег, Аноним (-), 12:16 , 05-Окт-15, (11) –1 angra Очень остроумный комментарий angra, у вас есть фактические возражения по к, st17 (ok), 23:14 , 08-Окт-15, (68) Непонятно зачем они в 2015 году пишут достаточно сложную прожку на СИ Взяли бы , Классический Анонимус (?), 11:51 , 05-Окт-15, (7) –5 // Клиника - это писать системные вещь на языке предназначенном для прикладного ПО , невидимка (?), 12:05 , 05-Окт-15, (9) –2 // Почтовик - это типа не системное ПО, а прикладное Breaking news, однако , Аноним (-), 12:14 , 05-Окт-15, (10) smtpd и есть прикладное ПО, работает исключительно в userspace, antitroll (?), 12:17 , 05-Окт-15, (12) +3 // Нуачо, давайте тогда уж и ядро на C писать Прикладное ПО - это ПО, с которым , www2 (ok), 16:58 , 05-Окт-15, (24) –1 Пробовали, каждый раз получалась какая-то хрень , Аноним (-), 20:14 , 05-Окт-15, (37) +3 Вы не понимаете иронии , www2 (ok), 18:48 , 08-Окт-15, (61) +1 Ядро работает в userspace Или ты просто не знаешь что это такое Ну и чисто для, angra (ok), 08:59 , 06-Окт-15, (48) Вы не понимаете иронии Про ядра на C я наслышан и не сказал бы что они очень , www2 (ok), 19:05 , 08-Окт-15, (62) Что за новости Расскажи-ка тогда, на каком таком языке пишутся системные вещи, , www2 (ok), 17:12 , 05-Окт-15, (27) // Rust через лет 5 , Аноним (-), 17:31 , 05-Окт-15, (30) –2 Не взлетит , Аноним (-), 20:09 , 05-Окт-15, (35) Не у всех глаза сияют переход с асма на си тоже не гладко шел , Аноним (-), 20:18 , 05-Окт-15, (38) Не будет никакого перехода , Аноним (-), 20:24 , 05-Окт-15, (39) +1 Вы еще предложите перейти с чистокровного Си на Обжектси , Аноним (-), 02:27 , 06-Окт-15, (44) который только для маков, fox_mulder (?), 13:05 , 06-Окт-15, (50) –1 Который уже всё, т к Swift , Аноним (-), 01:32 , 08-Окт-15, (57) Ну ты понимаешь, что ты меня повеселил , www2 (ok), 19:08 , 08-Окт-15, (63) –1 На любом В Линуксе принят Си только потому, что Торвальдс не любит не осилил , клоун (?), 18:27 , 05-Окт-15, (33) –1 Это очень, очень, очень плохая рекомендация , Аноним (-), 20:11 , 05-Окт-15, (36) +2 www2,Пара примеров, Представлена операционная система Redox, написанная на языке, st17 (ok), 23:39 , 08-Окт-15, (70) Ты, жабист, верно думаешь, что сипипи поддерживает уборку мусора, контроль выход, www2 (ok), 17:04 , 05-Окт-15, (25) +1 // Ты плюсы вообще видел std stringstd vectorauto iter v begin , Crazy Alex (ok), 19:46 , 05-Окт-15, (34) // Уборка мусора - это вот это вот Class a new Class delete a Контроль выход, www2 (ok), 19:21 , 08-Окт-15, (64) +1 Классический Анонимус, чем в данном контексте С отличаетася от C Но на СИ пис, st17 (ok), 23:21 , 08-Окт-15, (69) –1 Вообще-то это классика http www coresecurity com content open-bsd-advisorie , Нимано (?), 13:36 , 05-Окт-15, (17) +2 // Этот цирк называется маркетингом Достаточно написать где-нибудь, что мы счита, клоун (?), 18:23 , 05-Окт-15, (32) +1 // Как ни странно, соглашусь , Аноним (-), 01:34 , 08-Окт-15, (58) –1 Угу, свобода по FSF это жизнь в ограничениях , Аноним (-), 10:48 , 15-Окт-15, (73) локальное переполнение буфера Шёл 21 век Всё ещё находятся не слишком умные, Kodir (ok), 14:21 , 05-Окт-15, (19) –8 // Ну были бы у ошибок другие названия - что кардинально это бы изменило Причина о, клоун (?), 14:33 , 05-Окт-15, (20) +2 Пишущие на C На C, запомни это - не надо мешать эти языки в одну кучу ибо общег, Аноним (-), 14:33 , 05-Окт-15, (21) +5 // расскажешь, чем java не безопасней си , fox_mulder (?), 13:08 , 06-Окт-15, (51) –1 // В Си нет дырявой VM Очевидно , Andrey Mitrofanov (?), 13:48 , 06-Окт-15, (53) +2 Человек из 21 века, расскажи ка нам про уязвимости в JVM и дотнете Конечно, на , www2 (ok), 17:08 , 05-Окт-15, (26) +1 // Ещё один клоун Ты исходишь из собственной непогрешимости, списывая ошибки на п, клоун (?), 18:19 , 05-Окт-15, (31) –2 // Я не оспариваю тезис, что есть непогрешимые люди, которые никогда не допускают о, www2 (ok), 19:26 , 08-Окт-15, (65) +1 www2, Я оспариваю, что одним лишь выбором правильного языка можно внезапно изб, st17 (ok), 00:13 , 09-Окт-15, (72) –1 Давайте поговорим об ошибках в ядрах ОС и железе Ошибки в VM и рядом не валялис, Аноним (-), 01:36 , 08-Окт-15, (59) –1 http www opennet ru openforum vsluhforumID3 104987 html 69, st17 (ok), 00:03 , 09-Окт-15, (71) пошла их пиар компания далеко и на долго , Аноним (-), 21:30 , 05-Окт-15, (42) +1 // Компания 8211 это общество фирма организация группа людей Кампания 8211 эт, Аноним (-), 01:39 , 08-Окт-15, (60) В самом OpenBSD эту проблему эксплуатировать реально Или она затрагивает только, б.б. (?), 03:26 , 06-Окт-15, (45) –1 // Уже нет http ftp openbsd org pub OpenBSD patches 5 7 common 017_smtpd patch si, Wladmis (ok), 03:51 , 06-Окт-15, (46) –1 // Патч из cvs у меня накачен на 5 8 -stable, как я понимаю, 5 8 -release так и вы, б.б. (?), 09:29 , 06-Окт-15, (49) –1 // Верно Нужно или на 5 8 тоже накатывать патчи, или собирать 5 8-stable Вопрос пр, Wladmis (ok), 13:36 , 06-Окт-15, (52) –1 1,2,3,5,6,7,17,19,42,45

Сообщения

[Сортировка по времени | RSS]

2. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	–13 +/–
Сообщение от manster (ok), 05-Окт-15, 11:07
Казалось бы чего там искать - сервер слушает SMTP-порт, принимает текстовые команды ... Никаких инъекций ... Скорее всего проблема чудес в решете TCP-сервера ...
Ответить | Правка | Наверх | Cообщить модератору

	15. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+2 +/–
	Сообщение от Pahanivo (ok), 05-Окт-15, 13:05
	> Казалось бы чего там искать - сервер слушает SMTP-порт, принимает текстовые команды > ... > Никаких инъекций ... > Скорее всего проблема чудес в решете TCP-сервера ... ))))) ну во-первых как ты сам сказал сервер принимает команды - уже куча возможностей наклепать дыр с переполнением буфера и тд и тп. а во-вторых сервак тело письма не просто транзитом гонит - он его еще как бы и обрабатывает ... читает и пишет ... вообще глупым людям мир всегда кажется проще ))
	Ответить | Правка | Наверх | Cообщить модератору

	16. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	–3 +/–
	Сообщение от manster (ok), 05-Окт-15, 13:12
	читаем внимательно ... с выражением ... "казалось бы"
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	22. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+8 +/–
	Сообщение от www2 (ok), 05-Окт-15, 16:43
	Слышу! Слышу голос быдлокодера! Казалось бы, подумаешь - прямо из веб-формы данные подставляются в SQL-запрос... Казалось бы, подумаешь - какие-то "пинги" в OpenSSL проверяют доступность другой стороны... Казалось бы, подумаешь данные из заголовка веб-запроса передаются в CGI-скрипт как переменные окружения через bash... Казалось бы, подумаешь - перемножаем ширину картинки на высоту (получая целочисленное переполнение) и выделяем буфер под картинку...
	Ответить | Правка | Наверх | Cообщить модератору

	56. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+/–
	Сообщение от Аноним (-), 08-Окт-15, 01:18
	Хороший, годный комментарий.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+1 +/–
	Сообщение от Pahanivo (ok), 06-Окт-15, 07:12
	> читаем внимательно ... с выражением ... "казалось бы" тихо, спокойно, принимаем лекарства и по палатам.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	41. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+/–
	Сообщение от Anonplus (?), 05-Окт-15, 20:41
	А дело бывает не только в инъекциях. Вот пример того, как программа, написанная криворуким кодером, может спокойно отправить по сети то, что отправлять вообще никогда не планировалось http://habrahabr.ru/company/abbyy/blog/127259/
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема