Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..., opennews (?), 05-Окт-15, (0) [смотреть все] Анализатором кода прошлись , grec (?), 10:48 , 05-Окт-15, (1) // Боюсь, что если по коду ядра и базовой системы OpenBSD пройтись анализатором, бо, Аноним (-), 12:17 , 05-Окт-15, (13) –7 // не бойся, пройдись , mma (?), 17:24 , 05-Окт-15, (29) –1 // не бугурть и пройдись сам, если фанбойство тебе мозги ещё не испортило, Яро Ш. Я. (?), 22:52 , 06-Окт-15, (54) проходятся, не волнуйтесь, б.б. (?), 06:37 , 07-Окт-15, (55) –1 Казалось бы чего там искать - сервер слушает SMTP-порт, принимает текстовые кома, manster (ok), 11:07 , 05-Окт-15, (2) –13 // ну во-первых как ты сам сказал сервер принимает команды - уже куча возможно, Pahanivo (ok), 13:05 , 05-Окт-15, (15) +2 читаем внимательно с выражением казалось бы , manster (ok), 13:12 , 05-Окт-15, (16) –3 // Слышу Слышу голос быдлокодера Казалось бы, подумаешь - прямо из веб-формы данн, www2 (ok), 16:43 , 05-Окт-15, (22) +8 // Хороший, годный комментарий , Аноним (-), 01:18 , 08-Окт-15, (56) тихо, спокойно, принимаем лекарства и по палатам , Pahanivo (ok), 07:12 , 06-Окт-15, (47) +1 А дело бывает не только в инъекциях Вот пример того, как программа, написанная , Anonplus (?), 20:41 , 05-Окт-15, (41) Дурилко, уязвимостей в разбиралках текстовых протоколов всегда больше Просто си, anonymous (??), 11:20 , 05-Окт-15, (3)   // Вообще-то как с этим бороться - известно уже лет сорок Полный отказ от буферов , Crazy Alex (ok), 11:29 , 05-Окт-15, (4) +4   // Да не, все закономерно Это всегда так - чем больше показных понтов, тем меньше , Аноним (-), 12:19 , 05-Окт-15, (14) +3   // Аноним Да не, все закономерно Это всегда так - чем больше показных понтов, тем, st17 (ok), 23:06 , 08-Окт-15, (67)   Crazy Alex В сущности, очень забавляет, что у BSD-шников, кичащихся своей безоп, st17 (ok), 22:53 , 08-Окт-15, (66)   Да-да, берём насплошь двоичную картинку, перемножаем ширину картинки на высоту и, www2 (ok), 16:49 , 05-Окт-15, (23) +2   // Внезапно Oracle JVM написана на C , iZEN (ok), 20:39 , 05-Окт-15, (40) +2   Пишу из 2019 года У нас теперь этот список уязвимостей Exim постоянно перед гла, Аноним (74), 23:27 , 29-Сен-19, (74)   Ой, они буфер разбора заголовка размещают в стэке В cтэке Где следом за этим б, Аноним (-), 11:40 , 05-Окт-15, (5) +2 // Кхм, ну и код С магическими константами, фиксированным буфером и отсутствием пр, Crazy Alex (ok), 13:37 , 05-Окт-15, (18) +1 // Это 65535 магическая константа И memmove нуждается в проверке , Wladmis (ok), 00:53 , 06-Окт-15, (43) –1 Считаю это гениальным решением Все сервисы по умолчанию вешать только на петлю , angra (ok), 11:40 , 05-Окт-15, (6) +14 // Да, в общем-то это известно, что неломаемость ОпенБЗД это на самом деле неуловим, Классический Анонимус (?), 11:56 , 05-Окт-15, (8) +6 // Простое объяснение есть фимозность некоего Тео В этом смысле он похож на некоег, Аноним (-), 12:16 , 05-Окт-15, (11) –1 angra Очень остроумный комментарий angra, у вас есть фактические возражения по к, st17 (ok), 23:14 , 08-Окт-15, (68) Непонятно зачем они в 2015 году пишут достаточно сложную прожку на СИ Взяли бы , Классический Анонимус (?), 11:51 , 05-Окт-15, (7) –5 // Клиника - это писать системные вещь на языке предназначенном для прикладного ПО , невидимка (?), 12:05 , 05-Окт-15, (9) –2 // Почтовик - это типа не системное ПО, а прикладное Breaking news, однако , Аноним (-), 12:14 , 05-Окт-15, (10) smtpd и есть прикладное ПО, работает исключительно в userspace, antitroll (?), 12:17 , 05-Окт-15, (12) +3 // Нуачо, давайте тогда уж и ядро на C писать Прикладное ПО - это ПО, с которым , www2 (ok), 16:58 , 05-Окт-15, (24) –1 Пробовали, каждый раз получалась какая-то хрень , Аноним (-), 20:14 , 05-Окт-15, (37) +3 Вы не понимаете иронии , www2 (ok), 18:48 , 08-Окт-15, (61) +1 Ядро работает в userspace Или ты просто не знаешь что это такое Ну и чисто для, angra (ok), 08:59 , 06-Окт-15, (48) Вы не понимаете иронии Про ядра на C я наслышан и не сказал бы что они очень , www2 (ok), 19:05 , 08-Окт-15, (62) Что за новости Расскажи-ка тогда, на каком таком языке пишутся системные вещи, , www2 (ok), 17:12 , 05-Окт-15, (27) // Rust через лет 5 , Аноним (-), 17:31 , 05-Окт-15, (30) –2 Не взлетит , Аноним (-), 20:09 , 05-Окт-15, (35) Не у всех глаза сияют переход с асма на си тоже не гладко шел , Аноним (-), 20:18 , 05-Окт-15, (38) Не будет никакого перехода , Аноним (-), 20:24 , 05-Окт-15, (39) +1 Вы еще предложите перейти с чистокровного Си на Обжектси , Аноним (-), 02:27 , 06-Окт-15, (44) который только для маков, fox_mulder (?), 13:05 , 06-Окт-15, (50) –1 Который уже всё, т к Swift , Аноним (-), 01:32 , 08-Окт-15, (57) Ну ты понимаешь, что ты меня повеселил , www2 (ok), 19:08 , 08-Окт-15, (63) –1 На любом В Линуксе принят Си только потому, что Торвальдс не любит не осилил , клоун (?), 18:27 , 05-Окт-15, (33) –1 Это очень, очень, очень плохая рекомендация , Аноним (-), 20:11 , 05-Окт-15, (36) +2 www2,Пара примеров, Представлена операционная система Redox, написанная на языке, st17 (ok), 23:39 , 08-Окт-15, (70) Ты, жабист, верно думаешь, что сипипи поддерживает уборку мусора, контроль выход, www2 (ok), 17:04 , 05-Окт-15, (25) +1 // Ты плюсы вообще видел std stringstd vectorauto iter v begin , Crazy Alex (ok), 19:46 , 05-Окт-15, (34) // Уборка мусора - это вот это вот Class a new Class delete a Контроль выход, www2 (ok), 19:21 , 08-Окт-15, (64) +1 Классический Анонимус, чем в данном контексте С отличаетася от C Но на СИ пис, st17 (ok), 23:21 , 08-Окт-15, (69) –1 Вообще-то это классика http www coresecurity com content open-bsd-advisorie , Нимано (?), 13:36 , 05-Окт-15, (17) +2 // Этот цирк называется маркетингом Достаточно написать где-нибудь, что мы счита, клоун (?), 18:23 , 05-Окт-15, (32) +1 // Как ни странно, соглашусь , Аноним (-), 01:34 , 08-Окт-15, (58) –1 Угу, свобода по FSF это жизнь в ограничениях , Аноним (-), 10:48 , 15-Окт-15, (73) локальное переполнение буфера Шёл 21 век Всё ещё находятся не слишком умные, Kodir (ok), 14:21 , 05-Окт-15, (19) –8 // Ну были бы у ошибок другие названия - что кардинально это бы изменило Причина о, клоун (?), 14:33 , 05-Окт-15, (20) +2 Пишущие на C На C, запомни это - не надо мешать эти языки в одну кучу ибо общег, Аноним (-), 14:33 , 05-Окт-15, (21) +5 // расскажешь, чем java не безопасней си , fox_mulder (?), 13:08 , 06-Окт-15, (51) –1 // В Си нет дырявой VM Очевидно , Andrey Mitrofanov (?), 13:48 , 06-Окт-15, (53) +2 Человек из 21 века, расскажи ка нам про уязвимости в JVM и дотнете Конечно, на , www2 (ok), 17:08 , 05-Окт-15, (26) +1 // Ещё один клоун Ты исходишь из собственной непогрешимости, списывая ошибки на п, клоун (?), 18:19 , 05-Окт-15, (31) –2 // Я не оспариваю тезис, что есть непогрешимые люди, которые никогда не допускают о, www2 (ok), 19:26 , 08-Окт-15, (65) +1 www2, Я оспариваю, что одним лишь выбором правильного языка можно внезапно изб, st17 (ok), 00:13 , 09-Окт-15, (72) –1 Давайте поговорим об ошибках в ядрах ОС и железе Ошибки в VM и рядом не валялис, Аноним (-), 01:36 , 08-Окт-15, (59) –1 http www opennet ru openforum vsluhforumID3 104987 html 69, st17 (ok), 00:03 , 09-Окт-15, (71) пошла их пиар компания далеко и на долго , Аноним (-), 21:30 , 05-Окт-15, (42) +1 // Компания 8211 это общество фирма организация группа людей Кампания 8211 эт, Аноним (-), 01:39 , 08-Окт-15, (60) В самом OpenBSD эту проблему эксплуатировать реально Или она затрагивает только, б.б. (?), 03:26 , 06-Окт-15, (45) –1 // Уже нет http ftp openbsd org pub OpenBSD patches 5 7 common 017_smtpd patch si, Wladmis (ok), 03:51 , 06-Окт-15, (46) –1 // Патч из cvs у меня накачен на 5 8 -stable, как я понимаю, 5 8 -release так и вы, б.б. (?), 09:29 , 06-Окт-15, (49) –1 // Верно Нужно или на 5 8 тоже накатывать патчи, или собирать 5 8-stable Вопрос пр, Wladmis (ok), 13:36 , 06-Окт-15, (52) –1 1,2,3,5,6,7,17,19,42,45

Сообщения

[Сортировка по времени | RSS]

3. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+/–
Сообщение от anonymous (??), 05-Окт-15, 11:20
> Казалось бы чего там искать - сервер слушает SMTP-порт, принимает текстовые команды ... Дурилко, уязвимостей в разбиралках текстовых протоколов всегда больше. Просто сишечка никак не помогает при выделении кусков памяти произвольного размера, которые заранее неизвестны.
Ответить | Правка | Наверх | Cообщить модератору

	4. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+4 +/–
	Сообщение от Crazy Alex (ok), 05-Окт-15, 11:29
	Вообще-то как с этим бороться - известно уже лет сорок. Полный отказ от буферов фиксированного размера, обработка функциями, принимающими длину буфера, переаллокация при нужде... И библиотек, которые всё это делают - вагон, если руками лень. В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+3 +/–
	Сообщение от Аноним (-), 05-Окт-15, 12:19
	> В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские. Да не, все закономерно. Это всегда так - чем больше показных понтов, тем меньше для них реальных оснований.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+/–
	Сообщение от st17 (ok), 08-Окт-15, 23:06
	Аноним: "Да не, все закономерно. Это всегда так - чем больше показных понтов, тем меньше для них реальных оснований." Аноним, приведите пожалуйста "реальные основания" обосновывающие ваше неуважительное сообщение?
	Ответить | Правка | Наверх | Cообщить модератору

	66. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+/–
	Сообщение от st17 (ok), 08-Окт-15, 22:53
	Crazy Alex: "В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские." Использовали ли вы индукцию? Crazy Alex: "Вообще-то как с этим бороться - известно уже лет сорок. Полный отказ от буферов фиксированного размера" 28.07.2015 "Критическая уязвимость в Android, позволяющая получить контроль через отправку MMS... Причиной уязвимости является выход за границы буфера в библиотеке обработки мультимедийных данных" https://www.opennet.ru/opennews/art.shtml?num=42677 Crazy Alex: "И чего ради это проблема для людей на техническом форуме? наверняка патчи к прошивкам для большинства устройств появятся быстро" https://www.opennet.ru/opennews/art.shtml?num=42677#21 Crazy Alex, чтобы вы написали в ответе на это сообщение?
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	23. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+2 +/–
	Сообщение от www2 (ok), 05-Окт-15, 16:49
	Да-да, берём насплошь двоичную картинку, перемножаем ширину картинки на высоту и выделяем буфер. Не важно, что там целочисленное переполнение при перемножении случилось. Ни сишечка, ни один другой язык не может полностью заменить мозг. На что вы там молетесь? На жабку? Открываем список уязвимостей в жаба-машине, которая, на минуточку, тоже написана на жабе и видим ту же самую картину. А теперь открываем список уязвимостей Exim и Postfix и видим, как можно писать аккуратно без использования защитных мер, и видим как можно продумать архитектуру так, что защитные меры не позволяют воспользоваться потенциальными ошибками. Это результат использования мозга.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	40. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+2 +/–
	Сообщение от iZEN (ok), 05-Окт-15, 20:39
	> Открываем список уязвимостей в жаба-машине, которая, на минуточку, тоже написана на жабе Внезапно Oracle JVM написана на C++.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."	+/–
	Сообщение от Аноним (74), 29-Сен-19, 23:27
	> А теперь открываем список уязвимостей Exim и Postfix и видим, как можно писать аккуратно без использования защитных мер Пишу из 2019 года. У нас теперь этот список уязвимостей Exim постоянно перед глазами.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема