The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.09.2010 17:02  Релиз bzip2 и libbz2 1.0.6 с исправлением серьезной уязвимости

Mikolaj Izdebski обнаружил в функции BZ2_decompress целочисленное переполнение, способное привести к выполнению кода злоумышленника или отказу в обслуживании (denial of service) при обработке специально сформированного потока данных для распаковки.

Проблема устранена в вышедшем сегодня релизе bzip2 1.0.6, обновления с исправлениями также выпущены для Debian GNU/Linux (DSA-2112-1) и для FreeBSD. Статус выхода исправлений для других дистрибутивов: Slackware, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Ubuntu.

  1. Главная ссылка к новости (http://lists.debian.org/debian...)
Автор новости: Sylvia
Тип: Проблемы безопасности
Ключевые слова: bzip2
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Viliar, 17:23, 20/09/2010 [ответить] [смотреть все]     [к модератору]
  • –3 +/
    Вот как не програмист я удивляюсь, сколько же можно дырок-то напихать в таких,... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 17:35, 20/09/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну тут они хоть находятся и правятся, и шансов, что они юзаются годами в тихую м... весь текст скрыт [показать]
     
     
  • 3.3, аноним, 17:41, 20/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > что они юзаются годами в тихую меньше

    ага, пару дней назад была новость про уязвимость в 64-битных ядрах

     
     
  • 4.6, User294, 18:49, 20/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    >ага, пару дней назад была новость про уязвимость в 64-битных ядрах

    В винде обычно все колоритнее. Ну вот например немало разработчиков разного софта влинковывает какойнить там злиб в основной бинарь так что хрен заменишь, а если и не влинковывают то обновлять разбросанные по всей системе десятки копий либы - малореально. И если софт без исходников - авторы не будут поддерживать его вечно. В итоге у виндовых юзеров и по сей день можно что-нить с уязвимой злибой найти.

     
     
  • 5.9, fmad, 21:55, 20/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >по сей день можно что-нить с уязвимой злибой найти

    ну например?

     
     
  • 6.13, User294, 02:02, 21/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Пожалуйста. Вот так навскидку из того что под руку попадалось под хексэдитор. Игра Герои меча и магии. Скажем III и IV. Они есть, в них до сих пор играют (потому что прямых аналогов толком не сделали). Там злиба статически влинкована в бинарь и хрен ее такую заменишь. Какая версия была на момент выпуска какихнить там HMM III - понятно. А что веселее всего - там данные при игре по сети как раз злибом и жмутся. Нормально так, да? :) Ну и понятное дело что на обновление ископаемых версий героев производитель давно забил - они там заняты рубанием бабла, а проблемы негров шерифа не волнуют. А вот так поиграешь в игрушку по сети. И трояна как бонус получишь, например. При том наверняка такая же Ж и в других программах - поскольку у системы нельза попросить актуальную копию zlib.dll которую бы системный апдейтер поддерживал в исправном состоянии, каждый воротит кто на что горазд. И далеко не любой автор программы столь же дотошен в части security как майнтайнеры репов например и неленив для того чтобы следить за всеми дырами всех либ и написать апдейтер который еще и работать будет нормально. В итоге в винде валяются десятки копий либы, где-то влинкованых в блобятину, где-то в виде либ в разных каталогах, разных версий. И никто за этим супергадюшником разумеется не следит. Потому что нереально это. В линухах с их пакетными системами такое как-то сильно культурнее рюхается.
     
  • 3.4, Аноним, 18:04, 20/09/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    хорошо бы посмотреть как давно эта ошибка добавлена что-то мне говорит что он... весь текст скрыт [показать]
     
     
  • 4.5, Аноним, 18:10, 20/09/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Речь не о просто ошибках, а об _известных_ ошибках ... весь текст скрыт [показать]
     
     
  • 5.10, Аноним, 22:52, 20/09/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Хрень редьки не слаже Тут регулярно раздаются вопли что СПО содержит меньше оши... весь текст скрыт [показать]
     
     
  • 6.12, demo, 02:02, 21/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >Где же хваленое качество ?

    Что такое - "качество"? (подсказка: http://slovari.yandex.ru/качество/БСЭ/Качество/ ) Вы сами сформировали стереотип - "если свободное ПО, то оно будет бесплатно и при том не будет содержать ошибок", а теперь сердитесь на разрушение этого стереотипа? Выполните команду

    $bzip --version

    и насладитесь текстом, добавленным по рекомендации FSF ( http://www.gnu.org/copyleft/gpl.html#howto ): "This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE."

     
     
  • 7.20, nuclight, 22:54, 23/09/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вы плохо знаете русский язык Словосочетание хваленое качество однозначно указ... весь текст скрыт [показать]
     
  • 6.14, User294, 02:17, 21/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >Где же хваленое качество ?

    В СПО дырку можно запатчить по факту обнаружения. А как мне запатчить скажем древний zlib в какихнить героях меча и магии на которых производитель давно забил, не забыв влинковать проблемный код прямо в блоб? Что еще веселее - этот код потенциально работает с внешним миром по сети - вероятно можно раздолбать через него проблемную либу только так. А потом виндузятники удивляются - "ой, винлокеры". "Ой, спам!". "Ой, порнобаннер на десктопе!И кравивую аську увели!". Ну конечно, когда либу с дырой хрен обновишь - там что угодно будет, блин. Мне вот не нравится когда вместо системы - большая свалка приватных копий либ на которые всем наплевать.

     
  • 4.8, pavlinux, 19:51, 20/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > Как знаете где?

    Запятую куда?


     
     
  • 5.16, Andrey Mitrofanov, 10:27, 21/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >Запятую

    ,

    >куда?

     
  • 5.19, User294, 14:09, 21/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >Запятую куда?

    "Гусары, молчать!"

     
  • 2.11, demo, 01:31, 21/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > Вот как не програмист я удивляюсь, сколько же можно дырок-то "напихать" в таких, казалось бы, маленьких библиотеках как zlib, gzip, bzip

    Вот были-бы программистом, знали-бы как неожиданно просто делаются ошибки :)
    Для создания программы нужно учесть очень много подробностей [картинка: человек несёт большую охапку свёрточков и коробочек]. Так много, что иногда теряется физическая возможность их всех контролировать [картинка: что-то упало]. Безусловно, что пропажу ценных вещей замечают довольно скоро, а вот проблемы с редко используемыми вещами обнаруживаются позже [картинка: опять забыл зубную щётку]. В нулевом приближении как-то как...

     
  • 1.7, cvsup, 19:06, 20/09/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    FreeBSD-SA-10:08.bzip2
     
     
  • 2.15, Аноним, 03:19, 21/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ага, оперативно, пошли обновляться.
     
  • 1.17, Аноним, 10:30, 21/09/2010 [ответить] [смотреть все]     [к модератору]  
  • +/
    fetch http security FreeBSD org patches SA-10 08 bzip2 patch fetch http ... весь текст скрыт [показать]
     
     
  • 2.18, yopt, 11:56, 21/09/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    не для всех архитектур катит. но в целом верно, патчи уже есть.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor