forum.opennet.ru

Составление сообщения

Исходное сообщение

"Подведены итоги аудита кода библиотеки GNU libmicrohttpd"
Отправлено opennews, 29-Май-17 10:20

Проект GNU опубликовал (http://www.mail-archive.com/info-gnu@gnu.org/msg02288.html) выпуск библиотеки libmicrohttpd 0.9.55 (http://www.gnu.org/software/libmicrohttpd/),  представляющей простой API для встраивания функциональности HTTP-сервера в приложения. Библиотека поддерживает протокол HTTP 1.1, TLS, инкрементальную обработку POST-запросов, basic- и digest-аутентификацию, IPv6, HOUTcast и различные методы мультиплексирования слединений (select, poll, pthread, thread pool). Среди поддерживаемых платформ: GNU/Linux, FreeBSD, OpenBSD, NetBSD, Android, macOS, Win32, Symbian и z/OS.

Выпуск примечателен исправлением недоработок, выявленных в результате  аудита (https://wiki.mozilla.org/MOSS/Secure_Open_Source/Completed#G...) безопасности кодовой базы, проведённого компанией Least Authority в рамках инициативы Mozilla по аудиту важных открытых проектов. В ходе аудита были выявлены четыре проблемы (https://wiki.mozilla.org/images/5/5f/Libmicrohttpd.pdf), одна из которых отнесена к умеренно опасным уязвимостям, две к неопасным и одна помечена как замечание. Из проблем отмечается использование функции форматирования строки sprintf без явного указания размера буфера (например sprintf(buf, "%s", str)), а также функции strcpy, вместо которых следовало применять snprintf и strncpy.
Также выявлены проблемы с обращением к файловому дескриптору до его инициализации при сборке в режиме "-Wall" и обработкой заголовков с пробелами, которые должны отбрасываться в соответствии с требованиями RFC 7230.
Из не связанных с безопасностью изменений отмечается устранение проблем со сборкой на Linux-системах без поддержки  epoll,  обеспечение поддержки опции MHD_OPTION_STRICT_FOR_CLIENT и информационной переменной MHD_CONNECTION_INFO_REQUEST_HEADER_SIZE, проведение чистки от устаревшего кода и оптимизация определения закрытия соединения keep-alive.
URL: http://www.mail-archive.com/info-gnu@gnu.org/msg02288.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=46612

Исходное сообщение
"Подведены итоги аудита кода библиотеки GNU libmicrohttpd" Отправлено opennews, 29-Май-17 10:20
Проект GNU опубликовал (http://www.mail-archive.com/info-gnu@gnu.org/msg02288.html) выпуск библиотеки libmicrohttpd 0.9.55 (http://www.gnu.org/software/libmicrohttpd/), представляющей простой API для встраивания функциональности HTTP-сервера в приложения. Библиотека поддерживает протокол HTTP 1.1, TLS, инкрементальную обработку POST-запросов, basic- и digest-аутентификацию, IPv6, HOUTcast и различные методы мультиплексирования слединений (select, poll, pthread, thread pool). Среди поддерживаемых платформ: GNU/Linux, FreeBSD, OpenBSD, NetBSD, Android, macOS, Win32, Symbian и z/OS. Выпуск примечателен исправлением недоработок, выявленных в результате аудита (https://wiki.mozilla.org/MOSS/Secure_Open_Source/Completed#G...) безопасности кодовой базы, проведённого компанией Least Authority в рамках инициативы Mozilla по аудиту важных открытых проектов. В ходе аудита были выявлены четыре проблемы (https://wiki.mozilla.org/images/5/5f/Libmicrohttpd.pdf), одна из которых отнесена к умеренно опасным уязвимостям, две к неопасным и одна помечена как замечание. Из проблем отмечается использование функции форматирования строки sprintf без явного указания размера буфера (например sprintf(buf, "%s", str)), а также функции strcpy, вместо которых следовало применять snprintf и strncpy. Также выявлены проблемы с обращением к файловому дескриптору до его инициализации при сборке в режиме "-Wall" и обработкой заголовков с пробелами, которые должны отбрасываться в соответствии с требованиями RFC 7230. Из не связанных с безопасностью изменений отмечается устранение проблем со сборкой на Linux-системах без поддержки epoll, обеспечение поддержки опции MHD_OPTION_STRICT_FOR_CLIENT и информационной переменной MHD_CONNECTION_INFO_REQUEST_HEADER_SIZE, проведение чистки от устаревшего кода и оптимизация определения закрытия соединения keep-alive. URL: http://www.mail-archive.com/info-gnu@gnu.org/msg02288.html Новость: https://www.opennet.ru/opennews/art.shtml?num=46612

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Проект GNU опубликовал (http://www.mail-archive.com/info-gnu@gnu.org/msg02288.html) 
> выпуск библиотеки libmicrohttpd 0.9.55 (http://www.gnu.org/software/libmicrohttpd/), 
>  представляющей простой API для встраивания функциональности HTTP-сервера в приложения. 
> Библиотека поддерживает протокол HTTP 1.1, TLS, инкрементальную обработку POST-запросов, 
> basic- и digest-аутентификацию, IPv6, HOUTcast и различные методы мультиплексирования 
> слединений (select, poll, pthread, thread pool). Среди поддерживаемых платформ: GNU/Linux, 
> FreeBSD, OpenBSD, NetBSD, Android, macOS, Win32, Symbian и z/OS.

> Выпуск примечателен исправлением недоработок, выявленных в результате  аудита (https://wiki.mozilla.org/MOSS/Secure_Open_Source/Completed#GNU_libmicrohttpd) 
> безопасности кодовой базы, проведённого компанией Least Authority в рамках инициативы 
> Mozilla по аудиту важных открытых проектов. В ходе аудита были выявлены 
> четыре проблемы (https://wiki.mozilla.org/images/5/5f/Libmicrohttpd.pdf), одна из 
> которых отнесена к умеренно опасным уязвимостям, две к неопасным и одна 
> помечена как замечание. Из проблем отмечается использование функции форматирования строки 
> sprintf без явного указания размера буфера (например sprintf(buf, "%s", str)), а 
> также функции strcpy, вместо которых следовало применять snprintf и strncpy.
> Также выявлены проблемы с обращением к файловому дескриптору до его инициализации при 
> сборке в режиме "-Wall" и обработкой заголовков с пробелами, которые должны 
> отбрасываться в соответствии с требованиями RFC 7230.

> Из не связанных с безопасностью изменений отмечается устранение проблем со сборкой на 
> Linux-системах без поддержки  epoll,  обеспечение поддержки опции MHD_OPTION_STRICT_FOR_CLIENT 
> и информационной переменной MHD_CONNECTION_INFO_REQUEST_HEADER_SIZE, проведение чистки 
> от устаревшего кода и оптимизация определения закрытия соединения keep-alive.

> URL: http://www.mail-archive.com/info-gnu@gnu.org/msg02288.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=46612

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру