forum.opennet.ru

"Уязвимость в libssh, приводящая к переполнению буфера"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

"Уязвимость в libssh, приводящая к переполнению буфера"	+/–
Сообщение от opennews (??), 28-Авг-21, 08:31
В библиотеке libssh (не путать с libssh2), предназначенной для добавления клиентской и серверной поддержки протокола SSHv2 в программы на языке Си, выявлена уязвимость (CVE-2021-3634), приводящая к переполнению буфера при инициировании процесса смены ключа (rekey) с использованием механизма обмена ключами, применяющего другой алгоритм хэширования. Проблема устранена в выпуске 0.9.6... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55698
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в libssh, приводящая к переполнению буфера, opennews, 28-Авг-21, 08:31 [смотреть все]

Ну сколько можно без радикального переписывания не обойтись , Аноним, 28-Авг-21, 08:50 (5) //
- Не ной, займись этим, замаял уже , Иваня, 28-Авг-21, 08:59 (6)
- Согласен, слишком много фрактальных недостатков накопилось , Аноньимъ, 28-Авг-21, 09:07 (8) //
  - hotfixed, Аноним, 28-Авг-21, 10:11 (12) //
    - Здесь вам не тут , hohax, 28-Авг-21, 17:02 (31)
      - Тут вам не здесь , Аноним, 28-Авг-21, 20:56 (40)
- хитрый какой анон всем известного стоп-слова нет - жаловаться модеру нет основа, СеменСеменыч77, 29-Авг-21, 21:07 (57) //
  - Вот кто тут значит настукивает, Fedd, 30-Авг-21, 15:31 (71) //
    - и не скрываю по-моему я всех предупредил кто не внял - ССЗБ , СеменСеменыч777, 31-Авг-21, 07:53 (88)
Обычно уязвимости приводят к взлому системы А тут к переполнению буфера А в стар, Аноньимъ, 28-Авг-21, 09:02 (7) //
- Убийство привело к смерти жертвы , Какаянахренразница, 28-Авг-21, 20:50 (39)
- В школу собирайся, а не вспоминай про старые добрые времена , Аноним, 28-Авг-21, 23:05 (47)
- Новость надо читать полностью, а не по диагонали Так как в буфере размещается к, ptr128, 30-Авг-21, 10:50 (61)
Может просто указать размер буфера по максимально длинному хэшу в системе Это с, Аноним, 28-Авг-21, 09:33 (10) //
- А ещё можно просто проверять в коде поступающее снаружи Аксиома со школы, но мно, And, 28-Авг-21, 10:45 (14) //
  - Ну, вы если бы писали подобное, я уверен предприняли все необходимые проверки и , ыы, 28-Авг-21, 10:58 (15) //
    - Это на какой такой галере люди пашут 24 7 , Урри, 28-Авг-21, 15:13 (27)
      - Ну что вы, что вы, хозяин добр - на большинстве галер рабы могут пару часиков по, пох., 29-Авг-21, 00:15 (51)
  - Не, не, не, ты что, нельзя так делать Такие проверки лишние, они только жрут це, Аноним, 28-Авг-21, 11:23 (16) //
    - Толи дело электрон вот в нем все хорошо он просто не запускается на говне м, ыы, 28-Авг-21, 11:29 (17)
      - А причем тут электрон Вам религия не позволяет прописать нужные флаги при компи, Аноним, 28-Авг-21, 11:36 (18)
        
        Откуда такая большая цифра На фоне подсчета самого хеша, проверка размера буфер, Аноним, 28-Авг-21, 12:07 (19)
        
        Потому что писать меньше одного процента как-то некомильфо У этих ребят https , Аноним, 28-Авг-21, 13:58 (26)
  - Во-первых ключ меняется самой библиотекой, а не приходит снаружи Но надеюсь в, Аноним, 29-Авг-21, 06:24 (52)
Переполнения, переполнения, переполнения Эээх А ведь есть просто решение На, Аноним, 28-Авг-21, 12:19 (20) //
- Так уже написаны библиотеки и на Rust Просто тут речь про другую библиотеку В , anonymous, 28-Авг-21, 12:42 (21) //
  - Он предлагает всё везде заменить на раст Не взирая ни на что Любой ценой , Гость, 28-Авг-21, 13:27 (24) //
    - Но ведь раст в FF и Редох показал, что растаманы тоже ошибаются при проверке инд, Аноним, 28-Авг-21, 16:15 (29)
      - Лучше упасть на переполнении сразу, чем heartbleed, Аноним, 28-Авг-21, 17:01 (30)
    - Он, вроде, такого не говорил Этот риторический приём называется соломенное чуче, anonymous, 30-Авг-21, 11:44 (62)
- LibSSH работает на всех почти платформах Ваш любимый язык, к сожалению, покры, Урри, 28-Авг-21, 15:16 (28) //
  - А почему свет раста есть не на всех платформах Ллвм разве не это самое , Аноним, 28-Авг-21, 17:07 (32) //
    - Конечно нет, llvm или сам тулчейн раста вполне может не поддерживать какую-то бо, Аноним, 28-Авг-21, 17:36 (33)
      - Одна архитектура, одна система, один владелец Где-то я это уже слышал, не напом, Аноним, 28-Авг-21, 18:53 (36)
        
        Хаха, щютка на уровне Петросяна Впрочем глупо было ожидать большего Архитект, Аноним, 28-Авг-21, 20:18 (37)
      - Вы не видите разницы между собирается и работает Сходите на https doc rust, Урри, 29-Авг-21, 21:35 (59)
        
        1 Это враньё, там куча поддерживаемых платформ 2 Гарантированная работа тулзоф, Аноньимъ, 30-Авг-21, 12:08 (63)
        
        Понятно Значит разницы между работать и компилироваться растишечка таки не , Урри, 30-Авг-21, 13:32 (68)
        
        Именно что ты не можешь Потом что для GCC написано то же самое secondary platfo, Аноним, 30-Авг-21, 16:03 (72)
        
        Растообиженка вертится как угорь на сковороде Приятно посмотреть , Урри, 30-Авг-21, 18:39 (78)
        
        Ахаха, ну ты даешь Ты вкинул в тему цифру про пять процентов и ушел от ответа с, Аноним, 30-Авг-21, 19:09 (81)
        
        где просьба Ну и кроме того - что, своих мозгов не хватает по картинке оценит, Урри, 30-Авг-21, 19:30 (82)
        
        к твоему сообщение написан текст и там даже знак вопроса что же это может быт, Аноним, 30-Авг-21, 19:45 (83)
        Ааааа Да все, что не 5 Начиная с iot, пробегая через мобильные девайсы и зака, Урри, 30-Авг-21, 20:02 (84)
        
        Внезапно да, на одной конкретной платформе не собирается миллиард строк кода от , Аноньимъ, 30-Авг-21, 18:22 (74)
        
        И что же у вас за платформа такая , Урри, 30-Авг-21, 18:37 (77)
        
        Хайку ос на эльбрусе , Аноньимъ, 31-Авг-21, 00:17 (86)
        
        Я то разницу вижу А вот вы подменяете понятия, тир 2 это то же поддержка Ит то, , Аноньимъ, 30-Авг-21, 18:29 (75)
        
        Че, реально А-ха-ха-ха-ха-ха Впрочем не хотите купить у меня программу, кото, Урри, 30-Авг-21, 18:36 (76)
  - Да ну, аж интересно что же такое важное и значимое не поддерживается на уровне T, Аноним, 28-Авг-21, 17:49 (35) //
    - Для хрустобоя все что не поддерживается - неважное и незначимое ожидание - списо, пох., 28-Авг-21, 20:23 (38)
      - Разумеется, потому что 32бит в тиер2 Мамонтам там и место - последний интеловый, Аноним, 28-Авг-21, 21:03 (41)
        
        Даже в консервативной фре - ожидаемый по умолчанию класс ЦПУ теперь i686 и вообщ, Бздун, 28-Авг-21, 21:32 (43)
        
        Но 3d-party си-компилятор для нее, как видишь - пока еще не сломали Потому что , пох., 28-Авг-21, 21:55 (45)
        
        значит хрустикам вскоре найдется место на помойке - вместе с модными еще в прошл, пох., 28-Авг-21, 21:53 (44)
        
        Э гугль или гугль Винды и винды Дед, ты опять забыл таблетки выпить Но дело , Аноним, 28-Авг-21, 22:31 (46)
        
        ну так под платформы, одобряемые гуглем и да, это винда - ему же нужно чтоб у р, пох., 29-Авг-21, 00:13 (50)
        
        Да вы профи А ну брысь в школу, каникулы уже кончились , нах.., 29-Авг-21, 21:09 (58)
      - https gcc gnu org install binaries htmlУ GCC нет тир 1 и 2 как явления , Аноньимъ, 30-Авг-21, 12:13 (64)
        
        бть какие ж вы все же ди-лы У gcc есть tier1 и 2 Как раз тем и отличаются,, пох., 30-Авг-21, 12:18 (65)
        
        Это прекрасно Я прямо заворожен и лишился слов Так вот Это не то, что под тир 1, Аноньимъ, 30-Авг-21, 12:27 (66)
        
        кем подразумевается - хрустиками Вы и из этого новую религию сделали P S еще, пох., 30-Авг-21, 13:20 (67)
        
        Ну и зачем вы так с разбегу в лужу садитесь сразу https docs freebsd org en ar, Аноньимъ, 30-Авг-21, 18:58 (80)
      - пох, ты конечно идиот Но здесь отлично выступил Зацени как у народца подгорает-, Урри, 30-Авг-21, 13:34 (69)
        
        Ну а какие ещё платформы нужны, вот по-честному Кроме икс 86-64 и арм Лигаси п, Аноним, 30-Авг-21, 17:57 (73)
        
        Растишечным хелловорлдам, действительно, и одного windows x86_64 хватать должно , Урри, 30-Авг-21, 18:51 (79)
        
        А не хелловордам Ну хоть одна платформа не лигаси и не нишевая есть , Аноним, 31-Авг-21, 03:12 (87)
- В продакшн версиях приложений на расте нет никаких проверок переполнения , Аноним, 29-Авг-21, 09:52 (53) //
  - Откуда инфа В расте вроде проверки никто вменяемый не выключает в сейф коде, Аноним, 30-Авг-21, 02:04 (60)
Переполненые буфера - это прекрасно , Аноним, 28-Авг-21, 21:23 (42)
а кто юзал полноценно и libssh b libssh2 Первый я покурил хорошо, написал класс, СССР, 28-Авг-21, 23:14 (48) //
- Расскажите, как ограничить возможность их использования в системе по максимуму, , Аноним, 29-Авг-21, 20:03 (56) //
  - Вероятно, пора перевестись в класс умственно отсталых по информатике и ВТ , BorichL, 30-Авг-21, 14:46 (70)
  - Не совсем понимаю вопрос вам для чего их удалять Просто отключите сервис в сис, СССР, 31-Авг-21, 00:09 (85)
В качестве запасного метода защиты можно ограничить список поддерживаемых метод, СССР, 28-Авг-21, 23:18 (49) //
- Можно перейти на telnet внутри vpn , Аноним, 29-Авг-21, 09:52 (54)
Кто вообще придумал такое переобувание в полете , Аноним, 03-Сен-21, 07:39 (89)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру