forum.opennet.ru

"Обновление libpng 1.6.27 с устранением уязвимости"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

"Обновление libpng 1.6.27 с устранением уязвимости"	+/–
Сообщение от opennews (??), 30-Дек-16, 10:54
В очередной серии обновлений библиотеки libpng (http://www.libpng.org/pub/png/libpng.html) 1.6.27, 1.5.28, 1.4.20, 1.2.57 и 1.0.67 устранена (http://openwall.com/lists/oss-security/2016/12/29/2) уязвимость, которая может привести к разыменованию нулевого указателя (в современных системах приводит к краху приложения), при определённых манипуляциях с PNG-изображениями. Примечательно, что вызывающая уязвимость ошибка присутствует в коде libpng более 20 лет, с 26 июня 1995 года. Проблема вызвана разыменованием нулевого указателя и проявляется при использовании в программах функции png_set_text_2(), позволяющей манипулировать содержащимися в метаданных текстовыми блоками. Подобная функция не используется в firefox, imagemagick, graphicsmagick, pngcrush и просмотрщиках изображений, и применяется только в некоторых графических редакторах. Более того, для эксплуатации уязвимости приложение должно загрузить блок текста в структуру PNG, задем удалить весь текст, а затем добавить другой блок текста в туже самую структуру, что делает атаку маловероятной. URL: http://openwall.com/lists/oss-security/2016/12/29/2 Новость: https://www.opennet.ru/opennews/art.shtml?num=45786
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление libpng 1.6.27 с устранением уязвимости, opennews, 30-Дек-16, 10:54 [смотреть все]

Какой смысл пять версий либы поддерживать , Аноним, 30-Дек-16, 10:54 (1) //
- Популярность старых версий и несовместимость API, turbo2001, 30-Дек-16, 11:13 (4) //
  - спасибо за ликбез , paulus, 30-Дек-16, 11:36 (9)
- Мне кажется что поддерживают две, а для остальных выпустили обновление по особом, Аноним, 30-Дек-16, 22:45 (51)
- Купил iPhone 6, вышел iPhone 7, всех младше надо банить, нефиг на старье работат, pavlinux, 04-Янв-17, 20:51 (77) //
  - Погодите пару лет и посмотрите как у Вас сначала аккуртненько не шлют обновления, Аноним, 06-Янв-17, 03:28 (78)
Вот тебе и безопасный си , Аноним, 30-Дек-16, 11:10 (2) //
- Опасная бритва -- это опасная бритва, если Вам её кто-то впаривал как безопасную, Michael Shigorin, 30-Дек-16, 11:16 (5) //
  - Нужно просто, чтобы был человек, который идеально обращается с опасной бритвой , Аноним, 30-Дек-16, 11:18 (7) //
    - Это путь сперва специализации, а затем деградации -- ну, когда надо писать в рук, Michael Shigorin, 30-Дек-16, 11:39 (10)
      - Специализация - это цивилизация Отсутствие специализации было во времена жизни , Аноним, 30-Дек-16, 12:07 (14)
        
        нужно заметить что специализация и универсализация одновременно существуют ну к, Куяврег, 30-Дек-16, 12:57 (16)
        
        Шигорин чутка позабыл о том, что весь UNIX построен на принципе специализации п, Аноним, 30-Дек-16, 13:10 (19)
        
        Не весь , Andrey Mitrofanov, 30-Дек-16, 13:17 (22)
        
        Согласен, 99 999 100 , Аноним, 30-Дек-16, 13:19 (23)
        
        На каникулах возьми TAOUP и проштудируй на предмет помянутой выше универсализаци, Andrey Mitrofanov, 30-Дек-16, 13:46 (24)
        
        так я и включил его в 0 001 Или вы сложение еще не проходили , Аноним, 30-Дек-16, 14:08 (25)
        
        и тут же А я и не знал, что JVM -- это такой менеджер памяти, B и только , Michael Shigorin, 30-Дек-16, 14:59 (30)
        
        Рассматривай JVM как coreutils Отдельные компоненты JVM как и coreutils вполн, С того же адреса, 30-Дек-16, 15:31 (35)
        
        А какой B именно B из них отвечает в JVM только за работу с памятью PS re 37, Michael Shigorin, 30-Дек-16, 15:53 (36)
        
        Тот, который отвечает только за работу с памятью А какой ты ожидал ответ Назв, Аноним, 30-Дек-16, 15:57 (37)
        
        Да-да 8230 ты это современным работодателям на территории exUSSR расскажи 823, Аноним, 30-Дек-16, 22:08 (48)
        
        Где exUSSR и где цивилизация Те, кто с Западом плотно работают - до тех доходит, Crazy Alex, 31-Дек-16, 01:18 (54)
        
        вот те и знают, что там за цивилизация заикнулся, что денег впритык на жил, Michael Shigorin, 31-Дек-16, 02:31 (55)
        
        Что за богатая фантазия Но вообще - сюрприз - твой доход определяется твоей пол, Crazy Alex, 31-Дек-16, 17:57 (64)
        Нет, конечно, намного правильнее когда некоторые очень нужные и полезные люди фо, Аноним, 01-Янв-17, 01:26 (69)
        
        А Valve почему-то нрвятся T-shaped people Наверное специализация должна быть ка, Аноним, 31-Дек-16, 23:40 (67)
        Любой человек должен уметь менять пелёнки, планировать вторжения, резать свиней,, iZEN, 01-Янв-17, 00:39 (68)
      - Ну не скажи Бизнес-логику очень сложно мешать с низкоуровневыми вызовами Да и , Илья, 30-Дек-16, 14:18 (26)
        
        Сперва да, а затем у нас БУЗИНЕС, шо вы со своей безопасностью впёрлись до п, Michael Shigorin, 30-Дек-16, 15:28 (33)
        
        Бывает и другой полюс, как в том рассказе про хакера и столовую Когда все ресур, Аноним, 01-Янв-17, 01:39 (70)
      - Засуживают как раз не деграданты, а злоумышленники, находящие уязвимости в юриди, Comdiv, 30-Дек-16, 14:58 (29)
    - Ознакомься с основами явы, потом уже рот раскрывай , ы, 30-Дек-16, 23:48 (52)
- Безопасный язык программирования Что дальше Глютенфри микроволновка , Отражение луны, 30-Дек-16, 11:17 (6)
- Вот тебе и безопасная Java Вот тебе и безопасный C Вот тебе и безопасный Py, Аноним, 30-Дек-16, 11:51 (12) //
  - Это вряд ли бот -- скорее человек, который купился на тыканье в проблемы вполне, Michael Shigorin, 30-Дек-16, 12:00 (13) //
    - Можете чуть конкретней рассказать про лукавую рекламу Где её видели, когда и ка, Comdiv, 30-Дек-16, 15:02 (32)
      - Например, когда играют на предположениях и логичных выводах когда рассказываю, Michael Shigorin, 30-Дек-16, 15:29 (34)
- Пример небольшого ошибочного кода int x printf Введите первое число scanf , Аноним, 30-Дек-16, 14:22 (27) //
  - Отсутствие обработки ошибок scanf в частности, кривого ввода , интовое переполн, Crazy Alex, 30-Дек-16, 14:52 (28) //
    - Слишком большое введённое число - это частный случай обработки ошибок ERANGE h, Аноним, 30-Дек-16, 17:15 (39)
      - Да Что это я, в самом деле Но тогда не представляю, какая там третья ошибка , Crazy Alex, 30-Дек-16, 19:50 (44)
        
        Решил таки проверить - а вот таки есть подвох, не зря мне мерещилось Вот это r , Crazy Alex, 30-Дек-16, 20:11 (46)
        
        Насчёт трёх ошибок Вы правильно определили Да, их всего там было 3 Пропущено д, Аноним, 31-Дек-16, 09:34 (58)
        Кстати, устанавливать errno в данном случае в 0 было абсолютно бессмысленно, т к, Аноним, 31-Дек-16, 09:44 (60)
        
        include stdio h include errno h int main void -- int x, r, err -- printf , Crazy Alex, 31-Дек-16, 18:08 (65)
        
        Да, действительно, прошу прощения, не прочёл документацию до конца, этой функцие, Аноним, 31-Дек-16, 19:08 (66)
  - Но вообще все давно в курсе, что scanf - не идеал ни разу, и обычно лучше примен, Crazy Alex, 30-Дек-16, 14:59 (31) //
    - Не идеал, если требуется распарсить строку согласно форматированию, либо если вв, Аноним, 30-Дек-16, 17:29 (40)
      - Разумеется - читаем в буфер, токенизируем а то и полноценный разбор , потому пр, Crazy Alex, 30-Дек-16, 20:01 (45)
        
        Вот в этом то и вся суть Об этой особенности мало кто знает Подобные ситуации , Аноним, 31-Дек-16, 09:41 (59)
        
        Может, попробовать в рамках http rosettacode org Примеры там уже есть, оста, Michael Shigorin, 31-Дек-16, 14:40 (61)
        
        Я лишь подаю идеи, моего энтузиазма и свободного времени хватает пока только на , Аноним, 31-Дек-16, 15:34 (62)
        Интересные советы там даются по написанию кода под Эльбрус Из них можно сделать, Аноним, 31-Дек-16, 17:41 (63)
- Ну, понимаешь, либы на бидоне спросом не пользуются Хотя-бы потому что кроме , Аноним, 30-Дек-16, 19:13 (43) //
  - Казалось бы, причем тут бидоны, но кто о чем, а подгорающий о своем, о неоси, Аноним, 30-Дек-16, 21:05 (47) //
    - Предлагаешь на любой чих таскать за собой питон и бороться с его версиями , Crazy Alex, 31-Дек-16, 00:54 (53)
    - Судя по вашему коменту - вам виднее И все бы это замечательно, но это - не сишна, Аноним, 01-Янв-17, 01:43 (71)
      - То либа на бидоне кроме как из бидона ниоткуда не вызывается, то это вдруг уже н, Аноним, 01-Янв-17, 04:47 (73)
        
        Я не знаю как еще понятнее тебе объяснить что сишники такой либой пользоваться, Аноним, 01-Янв-17, 14:38 (74)
        
        Видишь ли, о великий знаток всего и вся, не будут и не смогут - две большие , Аноним, 01-Янв-17, 16:25 (75)
какая то странная уязвимость , больше похоже на баг , Аноним, 30-Дек-16, 11:34 (8)
Круто Как нашли баг , Ящ, 30-Дек-16, 11:41 (11) //
- нужно было прятать код - это точно решает все проблемы, Куяврег, 30-Дек-16, 12:59 (17)
- 21, Аноним, 30-Дек-16, 13:11 (20)
- А libpng, кстати, и этой вашей проприетарной pvs-studio проверяли, и как-то упус, anonimous, 30-Дек-16, 13:14 (21)
Когда ждать deb ы для Trusty 14 04 LTS поддержка же вроде бы до 2019 года долж, Аноним, 30-Дек-16, 13:08 (18)
На FreeBSD вчера обновили - http www freshports org graphics png , iZEN, 30-Дек-16, 17:10 (38) //
- И че В генту тоже вчера , Я. Р. Ош, 30-Дек-16, 22:42 (49) //
  - А где посмотреть список последних обновлений , iZEN, 30-Дек-16, 22:45 (50)
Не поверишь, eix-diff, Черный Властелин, 31-Дек-16, 03:40 (56)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру