The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.10.2017 23:47  Переполнение буфера в функции glob из состава Glibc

В системной библиотеке GNU C Library (glibc) выявлена уязвимость (CVE-2017-15670), которая может потенциально привести к выполнению кода злоумышленника при выполнения поиска имен файлов по шаблону при помощи функции glob(). Проблема проявляется при использование флага GLOB_TILDE (расширение GNU) в процессе обработки домашних директорий при помощи оператора "~", идущего после длинной строки (при обработке пути вида "~длинная_строка/a/b").

Проблема присутствует во всех версиях Glibc и исправлена в находящейся в разработке ветке 2.27. Для ветки 2.26 доступен патч. Обновления для дистрибутивов пока не доступны, проследить за появлением исправлений можно на следующих страницах: Arch Linux, Debian, RHEL, Fedora, SUSE, openSUSE, Ubuntu.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: glob, glibc
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, saahriktu, 02:24, 22/10/2017 [ответить] [смотреть все]    [к модератору]
  • +2 +/
    Патч для glibc 2.26: https://github.com/saahriktu/saahriktu-patchesandbugfixes/blob/master/glibc-2. .
     
     
  • 2.5, Zenitur, 07:24, 22/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +/
    А есть для 2.17?
     
     
  • 3.9, 0x0, 10:49, 22/10/2017 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    Для 2.17 патч не нужен.
     
     
  • 4.10, Zenitur, 10:57, 22/10/2017 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    "Проблема присутствует во всех версиях Glibc"
     
     
  • 5.11, 0x0, 11:02, 22/10/2017 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    > ...и исправлена в находящейся в разработке ветке 2.27
     
     
  • 6.47, Аноним, 19:25, 25/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    2.17 != 2.27 ;)
     
  • 5.12, 0x0, 11:05, 22/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Sorry Для 17 нужен -- в репозиториях своего дистра исправление подождать л... весь текст скрыт [показать]
     
     
  • 6.17, Аноним, 11:52, 22/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а для 2.4 будет?
     
     
  • 7.19, 0x0, 11:59, 22/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да, будет и, скорее всего, ещё много-много раз :))
     
  • 3.13, saahriktu, 11:12, 22/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да, есть https github com saahriktu saahriktu-patchesandbugfixes blob master ... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 18:37, 22/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Сишный код такой сишный Любители dst ptr src должны страдать Жаль, ч... весь текст скрыт [показать]
     
     
  • 5.26, Аноним, 19:40, 22/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    остальные могут взять свои остальные языки и написать на них свое ядро ос библио... весь текст скрыт [показать]
     
     
  • 6.33, fidaj, 15:59, 23/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    https://www.redox-os.org/
    так и сделали.
     
     
  • 7.34, dq0s4y71, 16:31, 23/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Очередная игрушечная ОС At this time, Redox supports All x86_64 CPUs ... весь текст скрыт [показать]
     
     
  • 8.36, Andrey Mitrofanov, 17:14, 23/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    У терминалки Торвальдса тоже было примерно так с железом поначалу И это ничего ... весь текст скрыт [показать]
     
  • 7.48, Аноним, 19:29, 25/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Так и пользуйся наздоровье Очередной ответ на все проблемы человечества, уже 42... весь текст скрыт [показать]
     
  • 5.28, pavlinux, 21:36, 22/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    dst ptr src От такого у тя должно порвать пукан ... весь текст скрыт [показать]
     
  • 5.29, Аноним, 23:19, 22/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Код как код, префиксный и постфиксный инкременты Во всех нормальных языках так ... весь текст скрыт [показать]
     
     
  • 6.40, пох, 15:15, 24/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    а вот смысл p - это особенность архитектуры PDP11, где оно транслировалось ... весь текст скрыт [показать]
     
     
  • 7.43, Аноним, 22:01, 24/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Идите уже в дворники, вас там ждут ... весь текст скрыт [показать]
     
  • 7.49, Аноним, 19:33, 25/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Оно и на современных процах так же зачастую А гугл почему-то наворачивает в сво... весь текст скрыт [показать]
     
  • 5.35, dq0s4y71, 16:37, 23/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Нет по ссылке такого кода, врать-то зачем Не хватало - 1 , такую ошибку можно ... весь текст скрыт [показать]
     
     
  • 6.41, пох, 15:39, 24/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    нет ножек - нет варенья Если язык не умеет работать с адресной арифметикой и пр... весь текст скрыт [показать]
     
     
  • 7.50, Аноним, 19:42, 25/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Но тогда и писать шустрые программы не получится Вместо перекидывания указателе... весь текст скрыт [показать]
     
     
  • 8.56, Аноним, 19:53, 26/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну да, ну да pass by reference value нигде тем более, даже в базиках не был... весь текст скрыт [показать]
     
     
  • 9.57, Аноним, 20:12, 26/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Pass by reference не позволит быстро флипнуть пару 20-меговых буферов, например ... весь текст скрыт [показать]
     
     
  • 10.59, Аноним, 23:19, 26/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Яснопонятно ... весь текст скрыт [показать]
     
  • 7.55, dq0s4y71, 17:46, 26/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я имел ввиду, забыть написать - 1 можно в любом языке И это будет ошибкой даж... весь текст скрыт [показать]
     
  • 2.7, 0x0, 10:08, 22/10/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Для F27 исправление готово, но пока не добавлено в тестовый репозиторий https ... весь текст скрыт [показать] [показать ветку]
     
  • 1.25, Аноноим, 19:38, 22/10/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Дебиан жжет напалмом.

    > [stretch] - glibc <no-dsa> (Minor issue)
    > [jessie] - glibc <no-dsa> (Minor issue)

    Not a bug © L.Poettering

     
     
  • 2.30, Аноним, 23:21, 22/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Леня же из клана красных колпаков, а не дебянов.

    p.s. It's not a bug.

     
     
  • 3.39, Аноним, 23:54, 23/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На самом деле, все линуксовые разработчики состоят в заговоре А кто не в загово... весь текст скрыт [показать]
     
  • 2.31, Аноним, 13:10, 23/10/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Так там перезапись одного байта за пределом буфера нулём Из этого в худшем случ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Аноним, 23:53, 23/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ну, у леньки тоже мега-проблема была - инит демонов от рута запускал, видите ли ... весь текст скрыт [показать]
     
     
  • 4.42, Аноним84701, 16:14, 24/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    От указанного в настройках пользователя А если указанный пользователь есть в си... весь текст скрыт [показать]
     
     
  • 5.61, Аноним, 18:24, 29/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А в sysvinit есть способ указать пользователя в настройках Раз уж мы про иниты ... весь текст скрыт [показать]
     
     
  • 6.63, Аноним84701, 19:44, 29/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Нет, что вы О том же daemon ize -u приходилось только мечтать, вплоть до явл... весь текст скрыт [показать]
     
  • 4.45, Аноним, 14:51, 25/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что тебе не так Никто, в отличие от Лёни, не говорит, что это не баг Баг, но д... весь текст скрыт [показать]
     
     
  • 5.62, Аноним, 18:25, 29/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Пользователь Аноним84701 выше пытается доказать, что эта мега-супер-дыра всех вр... весь текст скрыт [показать]
     
  • 1.37, Ordu, 18:42, 23/10/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Надо переписать glibc на rust.
     
     
  • 2.44, Аноним, 02:09, 25/10/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Ага, на C# еще скажи.
     
     
  • 3.46, Ordu, 16:31, 25/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > Ага, на C# еще скажи.

    Не. Про C# сам говори, если считаешь нужным.

     
  • 2.51, Аноним, 21:39, 25/10/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Тогда он не будет glibc А у rust и так есть своя стандартная библиотека ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, Ordu, 22:56, 25/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, название придётся сменить Есть даже очевидный вариант rlibc Стандартная б... весь текст скрыт [показать]
     
     
  • 4.53, Аноним, 23:51, 25/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Нахрен сишникам либа на Rust Либа которая сишным компилером даже не соберется у... весь текст скрыт [показать]
     
     
  • 5.54, Ordu, 03:01, 26/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какая им разница, на чём написана библиотека Ой, да ладно Откуда ты знаешь Ты... весь текст скрыт [показать]
     
     
  • 6.58, Аноним, 20:59, 26/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Типы данных, удобство сборки, а при необходимости и патчинга, etc Опенсорсом, п... весь текст скрыт [показать]
     
     
  • 7.60, Ordu, 01:43, 27/10/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Может ты и прав, для кого то его писанина и может выглядеть умно, наверное Да-д... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor