forum.opennet.ru

"Критическая уязвимость в Glibc, которая может привести к уда..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Критическая уязвимость в Glibc, которая может привести к уда..."	+/–
Сообщение от Аноним (-), 29-Янв-15, 18:41
> Чтобы поддерживать ALSR они должны специально собиратся -fPIC или -fPIE и линковатся -pie: Так динамическую либу проблематично собрать НЕ как позиционно независимый код. Потому что когда загружается программа - совсем не факт что дефолтные адреса на которые образ либы изначально собран вообще будут свободными. Поэтому IIRC все динамические либы подразумевают что их можно перемещать в другие адреса. > Кроме того надо PAX ядро которое собственно и осуществит рандомизацию. ALSR уже довольно много где реализован. > И в скольких дистрах это всё уже реализовано? ALSR и NX - довольно много где. И прочие fortify source'ы, relro/bind now и что там еще. Даже у слоупочных дебианщиков ну и убунтуев - скрипт hardening-check сто лет как есть. И не для красоты, заметим.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в Glibc, которая может привести к уда..., opennews, 27-Янв-15, 21:25 [смотреть все]

прелесть-то какая и букавки интересные какие приведены, которые не смогли ASLR, тигар, 27-Янв-15, 21:28 (3) //
- Прелестная, угу -- но в альте год как исправлено http git altlinux org gears , Michael Shigorin, 28-Янв-15, 16:46 (87) //
  - без указания на то, что исправленная ошибка имеет отношение к серьёзным проблем, Andrey Mitrofanov, 28-Янв-15, 17:40 (95) //
    - Ровно потому, что на момент исправления это не было известно Не, в альте возможн, Michael Shigorin, 31-Янв-15, 23:02 (148)
  - На самом деле раздули из мухи слона Опасность Опасность apache, nginx и все , crypt, 28-Янв-15, 20:51 (101) //
    - Малоиспользуемые и ненужные функции из популярной блоатвари оказались бекдорами , EHLO, 28-Янв-15, 22:19 (103)
      - Эк ты glibc-то сурово и нет это функция _не экзима , Andrey Mitrofanov, 29-Янв-15, 09:36 (115)
        
        Правдоруб khule Дали повод , EHLO, 29-Янв-15, 12:03 (127)
- Недолго кисо злорадствовало http www opennet ru opennews art shtml num 4156, Аноним, 29-Янв-15, 11:16 (122)
Ох уж эти минное поля Совсем не то, что нормальные, стабильные, безопасные дистр, Аноним, 27-Янв-15, 22:45 (18) //
- Это Вы про BSD Unix , nbrk, 27-Янв-15, 23:56 (22) //
  - Осталось только найти этот мифический BSD Unix А что, хоть один BSD смог сертиф, Аноним, 28-Янв-15, 00:07 (23) //
    - МакОС кажется с 10-й версии 100 Unix Compatible Ядро там вроде как BSD или поч, Аноним, 28-Янв-15, 09:41 (52)
      - Ядро не BSD, ДяДя, 28-Янв-15, 10:26 (54)
      - ---https ru wikipedia org wiki OS_XOS X значительно отличается от предыдущи, iZEN, 28-Янв-15, 10:28 (55)
        
        В результате получился некий самопальный гибрид Который как таковой и не микроя, Аноним, 29-Янв-15, 06:25 (104)
        
        Лолка У мамы своей спроси, что такое подстилка , Гость, 29-Янв-15, 10:16 (120)
        
        Что такое У проприерасовского холуя взыграла гордость и он решил доказать всему, Аноним, 29-Янв-15, 11:18 (123)
        
        а у раба RMS - взыграла обида что кто-то более свободен чем он , Аноним, 29-Янв-15, 11:34 (125)
        
        А ну бы его нафиг - свободу поработительствовать, западлостроительствовать и дел, Аноним, 29-Янв-15, 18:16 (135)
        
        А красно-шляпников уже что, победили Больше не пытаются надуть сообщество напря, Аннаним, 29-Янв-15, 17:10 (134)
        
        Не знаю кого там кто победил, но GPLнутый код из линя бздельники уже накопипасти, Аноним, 29-Янв-15, 18:28 (136)
        
        Пруфцы будут Или опять -- наглые бдуны содрали принцип загрузги кмс-драйверов, , Аннаним, 29-Янв-15, 21:19 (138)
        
        Всему свое время Вы или сами найдете пруфы по хорошему , потратив свое время и, Аноним, 30-Янв-15, 22:34 (142)
        
        Ух ты, помнить тот случай с опененком и отмазками Тео оказывается верх компетенц, Аннаним, 31-Янв-15, 01:29 (144)
        
        В данном случае, компетенция - это разбираться в том что вы копипи3дите, хотя-бы, Аноним, 01-Фев-15, 10:00 (150)
        
        Ты читать умеешь http www webcitation org 6187NYSIzMacOS X сертифицирована ка, Яблоковод, 01-Фев-15, 06:24 (149)
    - Не у спецов, а у разработчика, не безопасности базы с ведром т е собственно сам, anonymice, 29-Янв-15, 13:18 (129)
  - Нет, это точно не про BSD Во фре, например, буквально вчера прикрыли фееричный , Аноним, 28-Янв-15, 14:56 (84) //
    - Конкретнее http svnweb freebsd org base view revision sortby date revision 27, iZEN, 28-Янв-15, 15:20 (85)
- Когда открывают уязвимости, которым не подвержены старые версии, вы почему-то ту, Аноним, 28-Янв-15, 07:23 (44) //
  - Если подвержены только новые версии, то а уязвимость существовала недолго шанс, Аноним, 28-Янв-15, 11:32 (66)
ASLR, PIE, NX - костыли Их внедрение - глупость Хороший спец их обходит на раз, Аноним, 27-Янв-15, 22:50 (19) //
- Замки и двери - глупость Хороший специалист справляется даже с хорошим замком и, Аноним, 28-Янв-15, 00:08 (24) //
  - Врядли ASLR, NX, PIE можно сравнивать с основным замком и тем более дверями Под, Аноним, 28-Янв-15, 00:24 (26) //
    - Ну так замки и двери тоже защита от дypaка Рота автоматчиков охраняет объект , Аноним, 28-Янв-15, 00:50 (28)
      - Это так Если у вас что-то есть и это кому то известно и очень нужно - ограбят , Аноним, 28-Янв-15, 01:11 (29)
        
        Если народ считает себя святее апстрима - ну наверное они должны свою крутизну д, Аноним, 28-Янв-15, 07:45 (47)
        
        Предполагаю, что проблема а широте охвата уязвимости Уязвимость с 2000 года Ка, Аноним, 28-Янв-15, 08:59 (51)
        
        Наоборот, разглашение при наличии патча НЕОБХОДИМО иначе куча хомячков сидящих н, Аноним, 28-Янв-15, 10:43 (57)
        
        Для начала какое-нибудь кардерье скупит на черном рынке дырку и ненавязчиво собе, Аноним, 29-Янв-15, 09:13 (114)
        
        И шо теперь, замочите эту француженку , Michael Shigorin, 28-Янв-15, 16:59 (91)
        
        Жаль что подобные действия нельзя квалифицировать как халатность Так же в свое , Аноним, 28-Янв-15, 18:59 (98)
        
        Пользователи Microsoft должны страдать Что они выбрали - на то и имеют право , Аноним, 28-Янв-15, 20:48 (100)
        
        Кто то выбирает Linux, а кто то Windows Нельзя однозначно сказать, что Linux - , Аноним, 28-Янв-15, 21:29 (102)
        
        Действительно За год вполне можно либу обновить А если кто полез патчить круче, Аноним, 29-Янв-15, 09:09 (113)
        Ты бы про этику ещё местным детям рассказал , Гость, 29-Янв-15, 10:25 (121)
        
        Древность оборудования мало мешает обновлению этой либы самой по себе Ну разве , Аноним, 29-Янв-15, 08:59 (109)
  - Мои слова - личное мнение Можно сказать - догадка Не являюсь экспертом в облас, Аноним, 28-Янв-15, 00:32 (27)
- Ты абсолютно ничего не понимаешь в этих технологиях По поводу NX Основное правил, Аноним, 28-Янв-15, 11:10 (60) //
  - Для пых-пых скриптов не работает Не работает Есть легаси-софт, который не может, anonymuse, 28-Янв-15, 16:53 (88) //
    - А твой пых-пых такой кому нужен Есть разрабы которые упорто выделяют память RWXи, Аноним, 28-Янв-15, 17:25 (92)
    - Этот вопрос тоже решается сменой програмистов, на тех которые умеют писать позиц, Аноним, 28-Янв-15, 17:36 (93)
      - Дело в том, что достаточно одной такой либы-костыля в вирт -аддр пространстве п, anonymuse, 28-Янв-15, 18:21 (96)
        
        Насколько я понимаю, все либы билдуются как position-independent, просто потому , Аноним, 29-Янв-15, 09:07 (112)
        
        У меня да, ибо я их собрал с gcc pie file lib libc-2 19 so lib libc-2 19 so , Аноним, 29-Янв-15, 16:07 (131)
        Чтобы поддерживать ALSR они должны специально собиратся -fPIC или -fPIE и линков, Аноним, 29-Янв-15, 16:43 (133)
        
        Так динамическую либу проблематично собрать НЕ как позиционно независимый код П , Аноним, 29-Янв-15, 18:41 (137)
        
        Дебианщики и paxtest написали Но paxtest и hardening-check относятся к Адамант, Аноним, 31-Янв-15, 10:26 (147)
        
        Кроме одной мелочи - все сетевые сервисы как-то так собираются нынче с наработ, Аноним, 01-Фев-15, 10:16 (151)
        
        Это они на будущие, без PAX ядра смысла в pie нет Мне кажется что в данном случа, Аноним, 04-Фев-15, 09:49 (153)
        
        Ну как, как - легаси, вестимо Насколько я помню, нужен флэг поддержки аслр -, Аннаним, 29-Янв-15, 21:42 (139)
        
        имелись в виду либы антивирей и огнестен , Аннаним, 29-Янв-15, 21:44 (140)
        Для начала - либа никогда не может надеяться на то что ее в Base вгрузят Потому, Аноним, 30-Янв-15, 22:46 (143)
        
        Я в общем-то не спорю хотя видел либы с выпилинными реалоками - т е какие то сп, Аннаним, 31-Янв-15, 03:37 (145)
        
        Тьфу, сабж -- это в соседний тред clamav , Аннаним, 31-Янв-15, 04:05 (146)
        Если утонченно извращаться - возможны фокусы поинтереснее Вон например сабжевую, Аноним, 01-Фев-15, 11:07 (152)
  - Я разве спрашивал как оно работает Более-менее понимаю суть работы данных механ, Аноним, 28-Янв-15, 18:49 (97) //
    - PaX и ASLR очень мощные и нужные средства защиты Они защищают в большинстве слу, Аноним, 29-Янв-15, 08:58 (108)
      - Замена, блин Так то uclibc сто лет есть В мелочевке всякой используется Но он, Аноним, 29-Янв-15, 11:22 (124)
уже вышло для Centos http lists centos org pipermail centos-announce 2015-Janu, suberjin, 28-Янв-15, 06:59 (43)
Переведите, пожалуйста , Аноним, 28-Янв-15, 07:56 (49)
Отголоски дырявых последних двух лет 2013-2014 дают о себе знать даже сейчас , Xaionaro, 28-Янв-15, 08:02 (50) //
- Ага, особенно эта уязвимость с 2000 года , pkdr, 28-Янв-15, 10:35 (56) //
  - Критическая уязвимость в Glibc, которая может привести к уда..., Xaionaro, 29-Янв-15, 08:09 (105) //
    - И Ты поехавший, ты в курсе , Аноним, 29-Янв-15, 09:44 (116)
Что-то мне подсказывает, что это касается 100 эмбедовки дальше следуют 100к, PnDx, 28-Янв-15, 13:33 (78) //
- Там обычно другой libc , EHLO, 28-Янв-15, 14:54 (83) //
  - uclibc, playnet, 28-Янв-15, 16:53 (89) //
    - А кроме всего прочего удакам выпускающим прошивки пора выбросить свой окаменелый, Аноним, 29-Янв-15, 09:04 (111)
      - Да вы еще оптимист с 4 3 Под контроллеры MOXA сейчас ничем новее 3 4 не собере, Владимир, 29-Янв-15, 11:36 (126)
        
        Нечто такое было в прошивке какой-то китайчины Видимо из вендырского sdk Зато в, Аноним, 29-Янв-15, 12:22 (128)
- Во первых, в эмбедовке glibc используют редко Во вторых, если кто считает что о, Аноним, 29-Янв-15, 09:02 (110)
интересно, маршрутизаторы часто пользуют glibc , MPEG LA, 28-Янв-15, 15:46 (86) //
- Слава Ктулху - нет , Аноним, 28-Янв-15, 17:38 (94) //
  - Ну вообще-то, не факт, что в uClibc нет уязвимостей ещё не обнаруженных , Аноним, 29-Янв-15, 13:26 (130)
Для debian squeeze интересно когда выпустят , Аноним, 28-Янв-15, 19:45 (99) //
- Весной, Аноним, 29-Янв-15, 08:45 (106) //
  - Всмысле debian squeeze выпустят весной, а патч для для него не нужен, в нём уже , Аноним, 29-Янв-15, 08:46 (107) //
    - Милейший, Вы перепутали вот-вот,но ещё не выпущенный, jessie с oldstable-lts squ, Andrey Mitrofanov, 29-Янв-15, 09:54 (118)
- Для squeeze никогда, а для squeeze-lts 1 неофициальные пакеты https lists deb, Andrey Mitrofanov, 29-Янв-15, 09:53 (117) //
  - Поправочка уже, https lists debian org debian-lts-announce 2015 01 msg00012 h, Andrey Mitrofanov, 29-Янв-15, 09:58 (119)
что-то уровня многолетнего бага в WMF в винде, anonchik, 30-Янв-15, 11:31 (141)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру