forum.opennet.ru

"Серия уязвимостей в ядре OpenBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Серия уязвимостей в ядре OpenBSD"	–3 +/–
Сообщение от Comdiv (ok), 15-Июл-16, 23:18
С начала этого года я занялся улучшением безопасности сишных программ в нашем отделе, в первую очередь - программ для защиты данных. Главный продукт моей деятельности - это библиотека для "secure" кодирования на Си, которая должна стать стандартом для нашей компании. Вы очень грубы, но, в целом, я привык к подобному отношению со стороны коллег, которое, впрочем, они не высказывают в столь безобразной форме при личном общении. Поскольку безопасность кода на Си - это моя основная профессиональная забота, то приходится разбираться в вопросе. Уж извините, получилось так, что я понимаю о чём говорю. Вот смотрите, arisu, https://www.securecoding.cert.org/confluence/display/c/SEI+C... правила для "secure" кодирования на Си, написанные в результате анализа настоящих уязвимостей. Часть проблем, вроде целочисленного переполнения и порчи памяти решается довольно простыми средствами чисто на уровне языка. А это весомый кусок уязвимостей, как вы знаете. Причём, по большому счёту, 1-е опасно тем, что часто приводит ко 2-му. Где это используется? Вы наверно слышали, про уязвимости Stagefright в Android, которые нашумели в прошлом году? Вот код исправления одной из дырок, которая позволяла получить несанкционированный доступ к устройству https://android.googlesource.com/platform/frameworks/av/+/24...^!/#F0 Такая маленькая, а такая гадкая, и решается, повторюсь, на уровне языка. Так разумно ли для безопасных программ, в том числе ОС, использовать Си, arisu?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Серия уязвимостей в ядре OpenBSD, opennews, 15-Июл-16, 10:52 [смотреть все]

Так как дырки не ремотные, Тео в надписи ничего не поменяет, и все будет по преж, Продавец_кирпичиков, 15-Июл-16, 10:52 (1) //
- Попался как-то неуловимый Джо дворовым гопам Гопы были не в курсе, поэтому у Дж, Аноним, 15-Июл-16, 15:52 (19) //
  - Учитывая распространенность опенка в нашем мире, такой исход маловероятен , Аноним, 15-Июл-16, 16:19 (30)
- Судя по новости там в большинстве случаев валилось на assert-ах, но крах ядра ко, Stellarwind, 15-Июл-16, 17:03 (54) //
  - Обновление с 5 4 на 5 5 Там они сменили формат времени, порекомендовали все уда, Дегенератор, 15-Июл-16, 18:20 (68) //
    - Только дегенерат может считать OpenBSD неубиваемой или по другому надежной О, Zarat, 16-Июл-16, 00:49 (81)
      - Разве ненадежная система может быть безопасной Толку то с того что ты манов пер, Дегенератор, 16-Июл-16, 09:19 (92)
        
        Устойчивость и безопасность - это разные параметры , Goose, 16-Июл-16, 12:54 (97)
        Так это, безопасный 25 буква глаголицы это тот, который не встает, а не тот,, КО, 18-Июл-16, 08:51 (124)
    - Лишите Linux работоспособного sbin init так же, как вы это сделали с опёнком,, Аноним, 20-Июл-16, 00:38 (142)
      - В линуксах ориентированных на практические применения несколько менее стремные т, Аноним, 28-Июл-16, 05:34 (157)
  - Пока сервер ребутится, можно провернуть ip spoofing и провести атаку на другой х, anonymous, 15-Июл-16, 20:52 (74) //
    - Если атакующий может спуфить айпи в локалке, ему уже все-равно - запущен там сер, Аноним, 16-Июл-16, 03:00 (87)
Openbsd - это сама сесюрность Она не уязвима Не перед чем Никогда , Аноним, 15-Июл-16, 11:31 (4) //
- Сам по себе выбор языка Си для создания ОС уже говорит достаточно об отношеннии , Comdiv, 15-Июл-16, 11:45 (6) //
  - дебилу типа тебя завсегда что 8208 нибудь мешает то штаны, то язык 8230 , arisu, 15-Июл-16, 11:49 (7) //
    - Подожди, мы ему по секрету шепнем что фирмвари ABS и подушек безопасности в авто, Аноним, 15-Июл-16, 16:06 (21)
      - С одиннадцатью тысячами глобальных переменных Кстати, вспоминается недавняя ново, Аноним, 15-Июл-16, 16:14 (25)
        
        Так водитель ее тоже не увидел В яркий солнечный день, при контровом свете Так, АнонимХ, 15-Июл-16, 17:05 (55)
        
        Это лично Маск продолбался - он должен был заложить в конструкцию противометеори, Аноним, 15-Июл-16, 17:42 (61)
        Так водила Гарри Поттера смотрел в это время , mario, 15-Июл-16, 20:11 (71)
        
        Как там rust о маны справляются с 11К глобальных переменных - это мы еще будем п, Аноним, 15-Июл-16, 17:37 (60)
        
        Далеко не все ограничения MISRA C могут быть проверены автоматически, но тут гла, Comdiv, 16-Июл-16, 00:06 (80)
        
        Более того, согласно Тюрингу нельзя даже определить - повиснет программа или нет, Аноним, 18-Июл-16, 20:00 (126)
        
        Тут Rust не лучше и не хуже C И в C рантайм не копеечный, и в Rust не жирный, и, Comdiv, 18-Июл-16, 23:20 (127)
        
        Си достаточно простой и потому предсказуемый Его легко обрубить до минимально н, Аноним, 19-Июл-16, 03:55 (136)
        
        Не знаю, кого Вы имеете ввиду Мне Rust не нравится Почему нельзя Можно, но при, Comdiv, 19-Июл-16, 15:43 (141)
        
        Забыл упомянуть, что когда PHP не справляется с созданием уязвимостей собственны, Comdiv, 19-Июл-16, 01:45 (134)
        
        Действительно, ну не rust же На rust вообще либы которые к пыху подключить можн, Аноним, 19-Июл-16, 05:12 (137)
        
        На Rust можно писать обычные библиотеки, так что и к PHP его можно приладить Впр, Comdiv, 19-Июл-16, 14:11 (139)
        
        Прикольно наверное - изучить полдюжины ЯП, не зная нормально ни один из них в ре, Аноним, 28-Июл-16, 06:00 (158)
        Над чем иронизируем Go как раз разрабатывался с целью замены связки С , Java, , Comdiv, 28-Июл-16, 16:25 (165)
        Плюсы он, определенно, не заменит Хотя-бы потому что там GC вырубить нельзя, на, Аноним, 28-Июл-16, 18:08 (168)
        Надо уточнить - для задач Google заменит Go был спроектирован лучше Java - если , Comdiv, 28-Июл-16, 22:17 (169)
        
        Специалист-автоэлектронщик детекдет можна поинтересоватся, где живет фирмварь, продаватель_кирпичиков, 16-Июл-16, 15:23 (101)
      - Это довольно смешно, но у меня нет автомобиля из принципиальных соображений Но , Comdiv, 15-Июл-16, 23:52 (79)
        
        Самолетами и поездами тоже не пользуешься Далеко ходить не надо - загугли про м, Аноним, 18-Июл-16, 23:54 (130)
        
        На самолётах не летал Впрочем, насколько мне известно, в этой отрасли предпочит, Comdiv, 19-Июл-16, 00:38 (131)
        
        Ты вот прямо за всю начинку, от всех производителей расписываешься на чем они та, Аноним, 19-Июл-16, 06:47 (138)
        
        Если бы я сказал - я знаю точно, что в этой отрасли используют исключительно Ad, Comdiv, 19-Июл-16, 14:45 (140)
        
        Тут еще Эйрбас на днях засветился, в соседней новости про ядро Linux 4 7 С подд, Аноним, 28-Июл-16, 07:12 (159)
        
        Почему Вы не включаете в методики разработки язык программирования Это его важн, Comdiv, 28-Июл-16, 17:04 (166)
        
        Потому что большая часть этих методик нацелена на охоту на ошибки Человеческие , Аноним, 29-Июл-16, 07:31 (170)
        С каких пор Языки разрабатываются и совершенствуются в том числе для поиска чел, Comdiv, 30-Июл-16, 22:16 (171)
    - С начала этого года я занялся улучшением безопасности сишных программ в нашем от , Comdiv, 15-Июл-16, 23:18 (76)
      - Считаете, Тео, который взял ядро NetBSD, заявил об ориентации на безопасность, и, Zarat, 16-Июл-16, 01:20 (83)
        
        Между разумностью человека и разумностью поступка есть разница Для начала нужно, Comdiv, 16-Июл-16, 02:43 (85)
        
        Если человек последователен в поступках и поступок является частью последователь, Zarat, 16-Июл-16, 09:33 (93)
        
        Нельзя Во-первых, человек многогранен, и ошибка в одном вопросе не делает его д, Comdiv, 16-Июл-16, 14:06 (100)
        Установил OpenBSD, чтобы проверить наличие описанной мной проблемы PATH переменн, Comdiv, 16-Июл-16, 16:53 (103)
        
        Если Вы и впрямь не поняли, что только что сравнили тёплое с мягким -- попробуйт, Michael Shigorin, 16-Июл-16, 17:40 (106)
        
        Спасибо за совет, без Вас я бы ни за что не разобрался с тёплым и мягким Если Вы, Comdiv, 16-Июл-16, 19:07 (111)
        
        Вообще не понимаю, в чём проблема с sudo и прочими suid-утилитами, кроме получаю, Сырный дух, 17-Июл-16, 16:12 (119)
        
        По умолчанию во многих дистрибутивах, sudo требует пароль и позволяет выполнять , Comdiv, 17-Июл-16, 17:06 (121)
        
        не в тему треда, но в перманентного тему холивара на этой сайте голосом заз, Сырный дух, 17-Июл-16, 19:45 (122)
        И вставить rm -rf перед командными параметрами перед передачей настоящему s, Andrey Mitrofanov, 17-Июл-16, 20:07 (123)
        С повышенными правами - только административному пользователю который систему , Аноним, 18-Июл-16, 23:42 (129)
        
        И что не так Компьютеры сейчас действительно персональные Сам поставил - сам п, Comdiv, 19-Июл-16, 00:40 (132)
        Расскажи это хотя-бы тем же хостерам с их контейнерами и виртуалками , Аноним, 28-Июл-16, 07:18 (160)
        
        Всё так А вот здесь не так если, конечно, у вас не древний релиз Ключи уже ле, Аноним, 20-Июл-16, 00:46 (143)
        
        Ясно, спасибо за уточнение То есть, этой переменной задаётся адрес только одног, Comdiv, 20-Июл-16, 01:17 (147)
        
        В этой переменной, как и в etc pkg conf, можно задать любое количество репозито, Аноним, 24-Июл-16, 00:57 (150)
        
        А вообще давайте подумаем Если атакующий может положить свой файл в ФС а это тр, Аноним, 27-Июл-16, 01:03 (152)
        
        Вообще-то я писал об этом в заметке блога во 2-м пункте - необходимо сменить пол, Comdiv, 27-Июл-16, 01:24 (153)
        
        А это уже слишком неудобно Чрезмерно неудобное же будет проигнорировано 8212 , Аноним, 27-Июл-16, 03:18 (154)
        
        Что тут слишком неудобного Если сменили владельца на root, то usr bin sudo e, Comdiv, 28-Июл-16, 00:09 (155)
        gt оверквотинг удален , Comdiv, 28-Июл-16, 00:14 (156)
        
        Я не специалист по компьютерной безопасности вот что предлагает известный с, Michael Shigorin, 16-Июл-16, 17:11 (105)
        
        Это больше подходит для серверных ОС Безопасность нужна и на рабочих станциях , Comdiv, 16-Июл-16, 17:56 (108)
        В OpenBSD так же, HOME bin идёт в конце, поэтому просто перекрыть не получится , Аноним, 20-Июл-16, 00:50 (144)
        
        И многим со своей лёгкой возможностью уже подменили Как мы понимаем вас не затр, Анонимный Алкоголик, 17-Июл-16, 03:07 (115)
        
        Зачем Меня интересует конструктивная деятельность Я указал, что нужно сделать,, Comdiv, 17-Июл-16, 11:40 (117)
        
        Иди в винду, ламер , Led, 17-Июл-16, 15:38 (118)
        
        В феерической логике Вам не откажешь , Comdiv, 17-Июл-16, 17:00 (120)
        
        Грубо говоря, переключиться в режим хакера и подумать а как бы я это ломал - , Аноним, 18-Июл-16, 23:22 (128)
        
        Всего не предусмотришь, но что предусмотрел - стоит исправить , Comdiv, 19-Июл-16, 00:41 (133)
        Чтобы уметь предусматривать - надо понимать как системы атакуют и какие техники , Аноним, 28-Июл-16, 07:24 (161)
        Странная логика Если Вы знаете как системы атакуют - то они должны быть защищены, Comdiv, 28-Июл-16, 17:25 (167)
      - Знаете, даже у такого сишного чайника как я, на этом месте брови вверх поползли , Michael Shigorin, 16-Июл-16, 17:05 (104)
        
        Естественно нет, где Вы это увидели Но организационные методы, как ни странно,, Comdiv, 16-Июл-16, 18:26 (110)
        
        А вы поинтересуйтесь, например, почему разрабы LibreSSL и BoringSSL первым делом, Аноним, 20-Июл-16, 00:54 (145)
        
        Не знаю, что такое VMS, но судя по функциям timingsafe_memcmp, explicit_bzero, s, Comdiv, 20-Июл-16, 01:47 (148)
        
        https ru wikipedia org wiki OpenVMSДа, это фирменные наработки OpenBSD А вот т, Аноним, 24-Июл-16, 01:02 (151)
        
        Дреппер - это разработчик glibc Конечно, он прав, кто ж спорит Вот он прав http , Comdiv, 16-Июл-16, 19:55 (112)
      - То есть, мы в вас не ошиблись , dq0s4y71, 18-Июл-16, 19:19 (125)
        
        Судя по частому упоминанию оберона, это сектант , Аноним, 19-Июл-16, 02:28 (135)
        
        Логика феерическая На самом деле, люди постоянно спрашивают и ошибочно утвержда, Comdiv, 20-Июл-16, 01:59 (149)
  - Выбирая C ты со 99 уверенностью можешь сказать что то что ты написал, так и про, qeqwe, 15-Июл-16, 11:55 (8) //
    - Знал бы ты, чувак, сколько раз я писал в багзиллу gcc об багах в компиляторе Та, Аноним, 15-Июл-16, 12:35 (11)
      - Если rust ом кто-то всерьез начнет пользоваться для чего-то системного, а не оче, Аноним, 15-Июл-16, 15:58 (20)
      - Прежде, чем писать о баге в компиляторе - потрудитесь изучить компилируемый им я, Аноним, 15-Июл-16, 16:23 (34)
        
        Проблема цитат в интернете в том, что люди сразу верят в их истинность с В И , Аноним, 15-Июл-16, 16:46 (47)
        
        А в наще время верить никому нельзя Мне - можно С Мюллер, _, 15-Июл-16, 16:52 (51)
      - То что ты умеешь писать по крайней мере обнадёживает, да А у тебя хмм , _, 15-Июл-16, 16:48 (48)
    - Это смотря что писать Иногда и понимания протокола MOESI маловато будет , rob pike, 15-Июл-16, 14:25 (16)
    - К сожалению, нет Одна из фундаментальных проблем Си - это то, что интуитивное п, Comdiv, 15-Июл-16, 23:25 (77)
      - Это не фундаментальная проблема С, это проблема манагеров, верящих, что программ, Zarat, 16-Июл-16, 01:32 (84)
        
        Проблема сгладилась лишь там, где его перестали использовать Где присутствует С, Comdiv, 16-Июл-16, 02:57 (86)
        
        Мог бы вам посочувствовать, только думаю, что вам это не нужно Но опять же, эт, Zarat, 16-Июл-16, 09:41 (94)
        
        Эт когда Эт зачем Ничего, что тот же лисп немного старше, а понапридумывали ещ, Michael Shigorin, 16-Июл-16, 17:43 (107)
      - Но это потому что у этих многих отсутствует понимание C А не потому что оно у н, Анонимный Алкоголик, 16-Июл-16, 05:49 (90)
        
        Между этими утверждениями нет противоречия , Comdiv, 16-Июл-16, 13:49 (98)
        
        Вас это столь поразило, что вы не смогли не отметить сей факт отдельным коммента, Анонимный Алкоголик, 17-Июл-16, 02:39 (114)
        
        Увидел противоречие в противопоставлении непротиворечивых утверждений - указал н, Comdiv, 17-Июл-16, 11:35 (116)
      - Какой же это сюрприз если тут warning будет , Аноним, 16-Июл-16, 11:47 (95)
        
        По умолчанию - нет И многие ведут разработку, не обращая внимания на предупрежд, Comdiv, 16-Июл-16, 13:50 (99)
  - Язык программирования который собственными средствами не может вызвать крах сист, Аноним, 15-Июл-16, 12:34 (10) //
    - Полностью с Вами согласен , Аноним, 15-Июл-16, 13:09 (13)
    - То есть, нельзя вот так взять и написать ОС на баше Фанаты unix way скорбят , Аноним, 15-Июл-16, 16:21 (31)
      - Когда в баш добавят средства для записи в произвольные места памяти и научат асс, Аноним, 15-Июл-16, 16:46 (46)
        
        Эти возможности нарушают ключевые принципы философии UNIX - простота и прозрачн, Аноним, 15-Июл-16, 16:51 (50)
        
        UNIX предоставляет простота и прозрачность для пользователя Что там будет внутр, _, 15-Июл-16, 17:00 (53)
        
        Сдаётся мне, это был очередной виндостудент именно так с фиксацией на так и не, Michael Shigorin, 16-Июл-16, 17:56 (109)
    - Если Вы имеете ввиду необходимость средств для низкоуровневой работы с железом, , Comdiv, 15-Июл-16, 23:38 (78)
      - Всё хорошо в Обероне кроме его фанатов По сравнению с ними растеры это толерантн, rob pike, 16-Июл-16, 03:07 (88)
        
        Фанатизм везде плох , Comdiv, 16-Июл-16, 03:24 (89)
- Где тут отсутствие сесюрности OpenBSD правильно сработала в ущерб надежности, Zarat, 16-Июл-16, 00:58 (82)
всего пять опёнок всё 8208 таки очень хорош , arisu, 15-Июл-16, 11:43 (5) //
- Поэтому все облачные сервисы строятся именно на его основе , rob pike, 15-Июл-16, 14:27 (17) //
  - Чего , grsec, 15-Июл-16, 15:27 (18) //
    - sarcasm , rob pike, 15-Июл-16, 16:23 (33)
      - На форуме с буратиной не всегда понятно, где сарказм, а где человек искренне так, Аноним, 15-Июл-16, 16:32 (37)
  - Где-то прорвало черную дыру - у нас визитеры из другой вселенной , Аноним, 15-Июл-16, 16:13 (24) //
    - Вполне допускаю, что наш бедный буратино сделал себе на серваке под диваном обла, Аноним, 15-Июл-16, 16:16 (27)
      - Понятно, масштаб прорыва оказался преувеличен , Аноним, 15-Июл-16, 18:06 (65)
  - Это сарказм такой или ты хммм погорячился , _, 15-Июл-16, 16:50 (49)
Нашил - и спасибо Опенок стал еще безопаснее , Аноним, 15-Июл-16, 12:28 (9) //
- Нашил, пожалуйста , Аноним, 15-Июл-16, 13:09 (14)
- В линуксе с каждым релизом столько дырок устраняют, и что он уже лет десять как , Аноним, 15-Июл-16, 16:11 (22) //
  - Боюсь подумать на каком недостигаемом уровне тогда форточка 8-D, _, 15-Июл-16, 17:31 (59) //
    - в моем андроиде дыры все прибавляются залатать никак, секуребут, ваще печаль, Аноним, 16-Июл-16, 16:41 (102)
      - Так получи рута через дыры и обдури секурбут , Аноним, 28-Июл-16, 07:28 (162)
Надо глянуть, у них до сих пор попытка установить таймер с 0-й задержкой через k, Аноним, 15-Июл-16, 12:40 (12) //
- У фри есть юзерский тип фильтров, там наверное тоже Но проще сделать пайп, читаю, Ivan_83, 15-Июл-16, 13:43 (15) //
  - В опенке и в нет-е нет юзерского типа и в обоих не работают таймеры с 0-й задерж, Аноним, 15-Июл-16, 16:18 (29) //
    - Да, с произвольными идентами тамймеров это великое удобство kqueue , с epoll , Ivan_83, 15-Июл-16, 20:42 (73)
раньше было 5-10 патчей за год Сейчас 20 за 3 месяца Зато досрочно релизнули , Дегенератор, 15-Июл-16, 18:03 (64) //
- http ftp openbsd org pub OpenBSD patches 5 7 common 002_libxfont patch sigcd , Дегенератор, 15-Июл-16, 18:07 (66)
- Ускорение разработки в целых 8 раз, между прочим Только подумайте, 800 ускорен, Аноним, 15-Июл-16, 18:09 (67) //
  - У тебя ошибка 8 раз это 700 Пересчитай , ПолковникВасечкин, 16-Июл-16, 08:51 (91)
- На calomel org несколько лет назад были инструкции для OpenBSD типа установил и, Дегенератор, 15-Июл-16, 18:26 (69) //
  - AS400 себе детали сама заказывала на замену , rob pike, 15-Июл-16, 19:04 (70) //
    - почитал http www osp ru lan 1997 04 132698 Вот вещи делали , Дегенератор, 15-Июл-16, 20:28 (72)
      - Почитайте лучше Inside the AS 400 , она и на русский переводилась , rob pike, 15-Июл-16, 21:07 (75)
      - Никому не нужные - , Аноним, 16-Июл-16, 11:58 (96)
        
        Серия уязвимостей в ядре OpenBSD, rob pike, 17-Июл-16, 02:18 (113)
        
        Ну и где теперь MS, а где IBM и AS 400 А financial systems скоро будут одним сп, Аноним, 28-Июл-16, 07:35 (164)
    - Нашел чем удивить Скоро холодильники будут сами закавыать продукты , Аноним, 28-Июл-16, 07:31 (163)
  - Искренне советую на этом бросать читать Этот сайт 8212 сборище хаутушек с оп, Аноним, 20-Июл-16, 01:01 (146)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру