The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

07.06.2014 10:46  В системной библиотеке Musl устранена удалённая уязвимость

Доступны внеплановые выпуски стандартной Си-библиотеки (libc) Musl 1.0.3 и 1.1.2, в которых устранена критическая уязвимость (CVE-2014-3483), позволяющая организовать выполнение кода при обработке ответа от DNS-сервера. Уязвимость вызвана ошибкой в коде разбора DNS-запросов. Проблема выявлена разработчиками Musl в процессе переработки внутренних функций, связанных с резолвером.

Проблема присутствует начиная с выпуска Musl 0.9.13 и проявляется в приложениях, связанных с musl libc и осуществляющих DNS-запросы через штатные вызовы getaddrinfo, getnameinfo, gethostbyname, gethostbyaddr и т.п. Эксплуатация уязвимости возможна только в конфигурациях, в которых в числе DNS-серверов, используемых в качестве резолверов и прописанных в resolv.conf, присутствуют DNS-серверы, подконтрольные атакующему. Эксплуатация также возможна, если атакующий имеет возможность вклиниться в трафик и осуществить подстановку DNS-ответов по протоколу UDP. В качестве одного из обходных методов защиты называется использование локального резолвера, размещённого на том же компьютере.

Из дистрибутивов, в которых используется Musl, можно отметить Alpine Linux, OSv, Sabotage, LightCube OS, starchlinux, morpheus и Snowflake. Библиотека позиционируется, как универсальная реализация libc, подходящая для применения как на стационарных ПК и серверах, так и на мобильных системах. Musl сочетает полноценную поддержку стандартов (C99, POSIX 2008, частично C11 и Linux-расширения), свойственную для полновесных библиотек, таких как Glibc (GNU C library), с небольшим размером, низким потреблением ресурсов и высокой производительностью, свойственными специализированным вариантам libc для встраиваемых систем, таких как uClibc, dietlibc и Android Bionic.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Представлена стандартная Си-библиотека Musl 1.0.0, развиваемая в качестве альтернативы Glibc
  3. OpenNews: Вышел Alpine Linux 3.0, дистрибутив для сетевых шлюзов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: musl, libc
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.12, Аноним, 16:08, 07/06/2014 [ответить] [смотреть все]
  • +2 +/
    Ну вот, не успел вылупиться, а уже такие баги.
     
     
  • 2.14, Аноним, 17:55, 07/06/2014 [^] [ответить] [смотреть все] [показать ветку]
  • –2 +/
    иногда такие фичи но не баги - главная причина появления проектов и вложений ... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, pavlinux, 17:15, 07/06/2014 [ответить] [смотреть все]  
  • –3 +/
    x86_64 expand kernel stack to 16K https git kernel org cgit linux kernel git ... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 02:38, 08/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это не новость, это костыль для затыкания другого бага "по бырому".
     
  • 1.15, Crazy Alex, 20:35, 07/06/2014 [ответить] [смотреть все]  
  • –3 +/
    Ну вот потому и надо сто раз подумать прежде чем начинать делать очередную альт... весь текст скрыт [показать]
     
     
  • 2.16, rob pike, 21:40, 07/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Они подумали Вы тут видите слово secure ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 02:39, 08/06/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Да, а еще мы видим новость Что может быть хуже для тех кто козырял secure в э... весь текст скрыт [показать]
     
     
  • 4.22, arisu, 09:29, 08/06/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    где козыряли и где 171 облаж по крупному 187 да, баг требующий настолько ... весь текст скрыт [показать]
     
  • 2.21, arisu, 09:27, 08/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    действительно, как посмели кто разрешил не умеешь писать без ошибок 8212 ... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, rob pike, 21:42, 07/06/2014 [ответить] [смотреть все]  
  • +1 +/
    http://wiki.musl-libc.org/wiki/Bugs_found_by_musl
     
  • 1.25, Аноним, 19:03, 09/06/2014 [ответить] [смотреть все]  
  • +/
    Для скептиков, проект то новый и багу нашли, в отличие от баков которые например... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList