forum.opennet.ru

"Уязвимость в Glibc, позволяющая поднять привилегии в системе"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+3 +/–
Сообщение от angra (ok), 13-Янв-18, 08:13
С++ это не memory managed язык. В нем доступна прямая адресная арфиметика и возможность выхода за границы буфера. Например в go такая ошибка не могла бы произойти, работа программы прервется как только произойдет выход за нижнюю границу буфера. А в perl вместо вылета или уязвимости было бы заворачивание к концу буфера.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в Glibc, позволяющая поднять привилегии в системе, opennews, 12-Янв-18, 23:39 [смотреть все]

Мне нравится этот красивый номер уязвимости , Аноним, 12-Янв-18, 23:39 (1) //
- CVE-2018-1000000 топчик, Багтрекер, 12-Янв-18, 23:54 (3) //
  - Да что ж такое-то, Meltdown Spectre не работают, тут опять подстава code s, pavlinux, 13-Янв-18, 17:09 (49) //
    - Подстава случилась тогда когда придумали относительные пути, со всякими и про, Аноним, 16-Янв-18, 23:36 (75)
Ну почему каждая третья уязвимость связана с этим , Аноним, 12-Янв-18, 23:45 (2) //
- С напряжением ждём уязвимости dev null, ы, 13-Янв-18, 01:26 (10) //
  - При обращении к dev null можно задудосить и без того багнутый Meltdown камень, ХипстерСпам, 13-Янв-18, 12:32 (33)
- Хайпонули немножечко, бывает Отключил, если вдруг не отключено по дефолту и заб, EHLO, 13-Янв-18, 02:29 (13) //
  - Первый раз отключил в августе 12-го года, что за уязвимость была не вспомню, но, backbone, 13-Янв-18, 08:46 (23) //
    - Ну и как, контейнеры работают , Аноним, 13-Янв-18, 19:04 (53)
      - Нет, а должны , backbone, 13-Янв-18, 19:15 (55)
  - Они шевелятся, ты не понял Они готовят user namespaces на царствование Когда к, Andrey Mitrofanov, 13-Янв-18, 09:55 (25)
Всем срочно переходить на musl , минонА, 13-Янв-18, 00:13 (6) //
- там пользователей из ад нету, как мы будем деньги микрософту платить , Аноним, 13-Янв-18, 12:23 (31)
- Можно подумать, в прочих либцах совсем нет уязвимостей , Аноним, 13-Янв-18, 19:09 (54)
- В нем тоже CVE случаются Переходить надо на другой глобус, где програмисты не о, Аноним, 16-Янв-18, 23:48 (76)
полный опасносте мирок стандартных библиотек , ыы, 13-Янв-18, 00:47 (8) //
- Полон опасностей Си-мирок то буфера переполнятся, то стеки слетают, то длину ст, Анонимчик, 13-Янв-18, 03:04 (14) //
  - Правда, тупило бы непредсказуемо, память жрало и имело бы свои классы ошибок -- , Crazy Alex, 13-Янв-18, 03:36 (15) //
    - Для Apple Lisa и Apple IIe большая часть программ написана на Pascal Apple Obje, iZEN, 13-Янв-18, 11:13 (29)
      - Всё переврали Там речь шла про скорость отклика в консольке В Apple IIe она был, h31, 13-Янв-18, 12:38 (34)
        
        Это все галимая теория, в реальных условиях, у пользователя на его смартфоне за , Адекват, 13-Янв-18, 14:52 (37)
      - Пчёлы iZEN против мёда , Аноним, 13-Янв-18, 19:17 (56)
        
        В Android нет Java Как язык высокого уровня используется, а как бинарный код - , iZEN, 13-Янв-18, 20:54 (60)
        
        Ты Мастер разбирающийся в сортах Tm Остальным пох, жаба она и в дройдах - жаба, _, 16-Янв-18, 17:22 (73)
        
        А вот интересно, как вы разделяете, Oracle Access Manager системное или несистем, iZEN, 16-Янв-18, 21:03 (74)
        
        Java может и нет А тормозное памятежручее г вно - есть Так какая разница P S , Аноним, 17-Янв-18, 18:05 (78)
        
        JVM написана на C Ничего уж тут не поделаешь , iZEN, 17-Янв-18, 18:34 (79)
      - Выводы Java - г-но , Led, 13-Янв-18, 22:51 (63)
    - Ну да, а то на C CPP софт не тупит, не течёт, сжирая гигабайты, и не падает Ну , RobotsCantPoop, 13-Янв-18, 14:37 (35)
    - Ну да, а в C CPP не расслабляются, прям так всё качественно контролируют, что со, RobotsCantPoop, 13-Янв-18, 15:14 (41)
    - Хипстота не в курсе существования нормальных языков и концептов Неудивительно , RobotsCantPoop, 14-Янв-18, 13:26 (67)
      - Фантастика на уровне АйФак 10 В вашей реальности хипстота на C пишет , щи, 15-Янв-18, 10:37 (70)
  - Ты внимательно читал описание бага Ну допустим это был бы С и getcwd возвра, Аноним, 13-Янв-18, 06:32 (17) //
    - Это слишком сложно для меня Я пишу на питоне совсем не что умен, а потому что п, Анонимчик, 13-Янв-18, 07:18 (18)
      - Ты хотел сказать, что ещё не дорос до проектов, на которых нужны настолько сложн, QuAzI, 13-Янв-18, 10:06 (26)
      - наводящий вопрос - а на чём написан интерпретатор байт-кода питона , Hellraiser, 13-Янв-18, 12:27 (32)
        
        А причём тут питон Да хоть на Java - jython, например - это не изменит его инте, iZEN, 13-Янв-18, 15:07 (39)
        
        jython не на Java язык программирования , а на байткоде, исполняемом JIT ядром , Вареник, 13-Янв-18, 21:34 (61)
        Да какая разница Валять дурака на левых входных данных можно и на питоне и на я, Аноним, 17-Янв-18, 00:43 (77)
      - А как вы решаете проблему зоопарка версий его величества питона , а то как не с, Адекват, 13-Янв-18, 14:54 (38)
        
        Две версии это да, дичайший зоопарк Очевидно, тоже гадает и правит заголовок фай, другой Аноним, 13-Янв-18, 15:07 (40)
        Пользуюсь 3 6 и игнорирую код, несовместимый с ней Ну примерно, как при сборке , Аноним, 13-Янв-18, 15:53 (44)
        
        Поставлю вопрос по другому, вы написали платную программу, но выложили в открыты, Адекват, 13-Янв-18, 16:44 (48)
        
        Ты как раз описал SublimeText К слову, нужная версия Питона там идёт в поставке, Sirob, 13-Янв-18, 17:17 (50)
        Так пиши на третьей версии Про вторую забывать уже пора, поддержка скоро законч, Аноним, 13-Янв-18, 19:27 (57)
        Фантазер , другой Аноним, 13-Янв-18, 20:38 (59)
      - Как раз именно поэтому , Led, 13-Янв-18, 22:46 (62)
    - С это не memory managed язык В нем доступна прямая адресная арфиметика и возм , angra, 13-Янв-18, 08:13 (22)
      - То, что она там доступна не означает, что ей обязательно нужно пользоваться В C, Аноним, 13-Янв-18, 10:57 (28)
        
        Ну осталось глянуть как именно реализован оператор в std string и что произо, angra, 13-Янв-18, 11:26 (30)
        
        Так и есть - в соответствии с принципом платить только за что, что используешь , Crazy Alex, 13-Янв-18, 15:25 (43)
      - Возможна, и это хорошо - есть случаи, когда это действительно нужно Но в повсед, Crazy Alex, 13-Янв-18, 15:14 (42)
Кто-то что-то понял из несвязнного набора слов в статье , Аноним, 13-Янв-18, 00:49 (9) //
- Мне пришлось таки сходить по ссылке и почитать вполне связный набор слов в англи, angra, 13-Янв-18, 07:49 (20)
Опять какое-то особое ядро надо иметь Особые настройки Рут , Аноним, 13-Янв-18, 07:40 (19) //
- Нет, всего лишь внимательно читать Для инициирования появления относительного п, angra, 13-Янв-18, 07:58 (21) //
  - Я внимательно прочитал sysctl управляет настройками в sys, там этой настройки , Аноним, 13-Янв-18, 08:54 (24) //
    - Я вообще-то про то, что в статье сказано о необходимости включения этого механиз, angra, 13-Янв-18, 10:55 (27)
    - в proc sys А так логика верная , EHLO, 13-Янв-18, 18:48 (52)
      - Уточню, потому что вдруг кто-то читает Верная логика относится к соответствию, EHLO, 14-Янв-18, 23:58 (69)
Странное дело в новости про NPM было цело состязание злословия и конкурс моделе, Аноним, 13-Янв-18, 16:06 (45) //
- Кому что болит, о том и говорит Тут, как видно, болит очень немногим, увы , Борщдрайвен бигдата, 13-Янв-18, 16:32 (46)
по ходу только переписывание glibc на rust спасёт ситуацию, Аноним, 14-Янв-18, 01:20 (64) //
- Тотальное выпиливание C CPP спасёт от 90 проблем с безопасностью и , RobotsCantPoop, 14-Янв-18, 13:21 (66)
- Как оно спасёт Все имеющиеся там функции должны делать ровно то, что они делают, Аноним, 15-Янв-18, 18:41 (71)
- Вы не понимаете, что значат буковки glibc , Michael Shigorin, 16-Янв-18, 14:29 (72)
Еще одна уязвимость, связанная с suid Ну, дело не новое, Аноним, 14-Янв-18, 17:15 (68)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру