forum.opennet.ru

"Серьезная локальная уязвимость во FreeBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Серьезная локальная уязвимость во FreeBSD"	+8 +/–
Сообщение от solardiz (ok), 29-Сен-11, 01:37
> Возможность бесконечного зацикливания или выполнения кода при распаковке командами compress и gzip специально оформленных поврежденных архивов. Интересно, что эта уязвимость очень старая - еще со времен 4.3BSD (1980-е годы), если не раньше. В upstream'ном gzip она, похоже, была исправлена не позже 1993-го года, а в FreeBSD'шном клоне gzip вот только сейчас. Помимо gzip, ей подвержено много других программ (думаю, такие есть и в поставках не-Unix систем - поддержка compress, gzip-сжатия, в том числе в сетевых протоколах, а также GIF-картинок). Некоторые были исправлены в дистрибутивах в этом августе (спасибо Red Hat, в том числе и за уведомления *BSD). А многие, вероятно, еще не идентифицированы (и, соответственно, не исправлены). Tomas Hoger (Red Hat): "As far as I can tell, FreeBSD gzip had the issues I reported, even though my mails said gzip is not affected. If Savannah gzip git is to be trusted, gzip had those issue addressed in the oldest version available there (1.2.4, 1993)" http://www.openwall.com/lists/oss-security/2011/09/28/5 Ссылка на уязвимый код в 4.3BSD-Reno: http://www.openwall.com/lists/oss-security/2011/09/28/7 Как я понимаю, исходно этот код был в public domain, и он попал и в 4.3BSD (под BSD-лицензию) и в gzip (под GPL).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Серьезная локальная уязвимость во FreeBSD, opennews, 28-Сен-11, 22:59 [смотреть все]

Corrected 2011-09-28 вот блин, 26 только обновился , freename, 28-Сен-11, 23:00 (2) //
- Мир пересобрал что ли а freebsd-update fetch install , kombat, 29-Сен-11, 06:34 (7) //
  - Не катит если система собрана из исходников и выпилино все не нужное, freename, 29-Сен-11, 16:13 (11)
Хорошо иметь -STABLE 8212 патчи прилетают мгновенно Да и злоумышленники н, iZEN, 28-Сен-11, 23:14 (4) //
- им этого знать и не нужно, попробуют всё - не жалко , all_glory_to_the_hypnotoad, 29-Сен-11, 13:09 (9) //
  - Зубки обломают , iZEN, 29-Сен-11, 13:25 (10) //
    - С такими ыкспертами как ты - никаких хакеров не надо, само сломается , yeah registered, 30-Сен-11, 18:20 (20)
- Не вполне понял мысль Ты обновляешься бинарно или из исходников Если из исход, AdVv, 30-Сен-11, 01:03 (13) //
  - Расскажите пожалуйста это какие проблеммы у вас при обновлении из исходниковP S , фклфт, 30-Сен-11, 06:23 (15) //
    - Сколько у тебя серверов 1 А если больше 10 Я охирею их каждый день руками , AdVv, 30-Сен-11, 12:58 (16)
      - у меня их больше 10и даже больше 20и что планировщик, свои скрипты - всё реш, Alex Keda, 30-Сен-11, 16:44 (17)
        
        Человеческий пакетный менеджер позволяет не заниматься подобными вещами , yeah registered, 30-Сен-11, 18:23 (21)
        
        в чём человечный в возможности поставить галку про автообновление тогда вам в с, Alex Keda, 30-Сен-11, 18:45 (23)
      - Лично для вас и умников из яндекса и рамблера Вообщето система обновляется , фклфт, 30-Сен-11, 20:23 (25)
        
        Ага, знайте что будет если сделать неатомарное обновление работающей системы чер, Аноним, 30-Сен-11, 20:43 (26)
        
        А ни кто и не говорит про обновление фряхи допустим с версии 7 0 на 8 2если не г, фклфт, 30-Сен-11, 20:56 (27)
что удивительно зашел на http security freebsd org и обнаружил что RELENG_9, , freename, 28-Сен-11, 23:28 (5)
Интересно, что эта уязвимость очень старая - еще со времен 4 3BSD 1980-е годы , , solardiz, 29-Сен-11, 01:37 (6)
Исправление называется смерть троянизированным Сдохли flash, skype и клиент C, QuAzI, 30-Сен-11, 00:10 (12) //
- и правда, сдохли вот печаль-то , nbspjr, 30-Сен-11, 17:10 (18) //
  - Не баг а фич , yeah registered, 30-Сен-11, 18:24 (22) //
    - ага фич, выявивший баг в линуксулятореhttp lists freebsd org pipermail free, nbspjr, 01-Окт-11, 09:25 (28)
      - Ну йопта, тоже мне решили проблему похерив линуксатор Придeтся пока отказаться , йцукен, 01-Окт-11, 18:52 (30)
- ожили пофиксили линуксулятор, nbspjr, 05-Окт-11, 17:48 (37)
angleton lord that bsd bug angleton it was known for quite some time drosenbe, paxuser, 30-Сен-11, 05:51 (14) //
- А это откуда такое Это где-то в IRC , yeah registered, 30-Сен-11, 18:19 (19) //
  - Да, IRC Не буду рекламировать канал, хоть он и публичный Поймите правильно вр, paxuser, 30-Сен-11, 18:47 (24) //
    - Ты ж мягко говоря не юзаешь фрю, но сидишь на ихних irc каналах интересно зачем, Strange, 02-Окт-11, 19:17 (32)
      - Это не их канал Просто там есть те, кто в курсе , paxuser, 03-Окт-11, 13:58 (33)
        
        ну что ж тактика знаю но никому ничего не скажу тоже имеет право на жизнь, в о, Strange, 04-Окт-11, 22:07 (36)
Уязвимость в ядре Ядро пересобирать надо, чтобы пропатчиться , metallic, 01-Окт-11, 16:37 (29) //
- почитайте оф секюрити сообщения по данным проблемам, ссылки на которые есть в д, Аноним, 03-Окт-11, 15:03 (34) //
  - Понятно, бага в ядре, достаточно ядро пересобрать, а мир не надо, metallic, 03-Окт-11, 15:05 (35)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру