Обнаружена (http://secunia.com/Advisories/32773/) критическая уязвимость в библиотеке Libxml2 (http://xmlsoft.org/). Возможность целочисленного переполнения в функции "xmlSAX2Characters()" может привести к выполнению кода злоумышленника при обработке функциями библиотеки специально скомпонованного XML файла. Частично опасность уязвимости уменьшает тот факт, что для эксплуатации XML файл должен иметь огромный размер, но тем не менее проблеме присвоен уровень опасности "чрезвычайно критическая".
Уязвимость присутствует в Libxml2 2.7.2 и более ранних версиях, официальное обновление (http://xmlsoft.org/news.html) с исправлением проблемы пока не вышло, необходимо использовать патч (https://bugzilla.redhat.com/show_bug.cgi?id=470466) или обновление пакета от разработчиков Linux дистрибутивов.
Особую опасность представляет, то что Libxml2 используется для парсинга XML во многих популярных приложениях, например, GNOME, Abiword, Evolution, KDE, OpenOffice.org, Bluez, Compiz, Gedit, Gp...URL: http://secunia.com/Advisories/32773/
Новость: http://www.opennet.me/opennews/art.shtml?num=18979
XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.
+100К месту в прикладном ПО оно пока не применено нигде.
>ПО оно пока не применено нигде.полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров
От криворуких кодеров, увы, избавиться можно только 2-я методами:1) Отстреливая их.
2) Насильно обучая до приемлемого уровня.Все остальные методы суть полумеры.
>От криворуких кодеров, увы, избавиться можно только 2-я методами:
>
>1) Отстреливая их.
>2) Насильно обучая до приемлемого уровня.
>
>Все остальные методы суть полумеры.Это не два метода - это один !
Их нужно применять одновременно :)
> полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров
Лузеры оба. RSS сказать что такое? RPC-XML? DocBook? Jabber? DBUS?
Если вы упорно не замечаете, как XML вас окружает - то вы наивные юзеры.
XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с парсингом сообщений.Есть протоколы сериализации и получше xml.
Какие? Чем лучше? Прям таки лучше для абсолютно любых применений?
в том то и дело, что все говорят о "любых применениях", но не об одном, частном.
Вы пакеты жабера xmleditor'ом ловить собираетесь?
при вменяемом api всё равно какой формат.я не против xml, но пихать его во всё без разбора - маразм.
С этим согласен.
sexp-ы, например. Абсолютно для любых, хоть программы пиши.
Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI. И кто теперь им пользуется в юзерспейсе?
>Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI.Только вот в libtasn1 бывают баги не менее неприятные, которые имели стандарт в виду...
>И кто теперь им пользуется в юзерспейсе?
TLS?
> XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с
> парсингом сообщений.Да уж, когда откровенно бинарные аватар или фото КОДИРУЮТ В ЮЮКИ только для того чтобы его можно было запихнуть в XMLку от чего и без того не мелкий файл пухнет на треть (это при том что гора XMLятины и так компактностью не страдает) - это называется defective by design на мою имху.Как посмотришь сколько траффика аська съедает и сколько жаббер при логине при прочих равных... уу... особенно с жпрс... =\
Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и вернуться где-то к нижней её части "на жиле".
>Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и
>вернуться где-то к нижней её части "на жиле".С маленькой поправкой: не на всяком мобильнике эта фишка работает, нужна поддержка ОС. :(
> RSS сказать что такое?RSS это не прикладуха. Это вместе с Web оставим.
> RPC-XML? DocBook? Jabber? DBUS?
А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.
> RSS сказать что такое?RSS это не прикладуха. Это вместе с Web оставим.
> RPC-XML? DocBook? Jabber? DBUS?
А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.
>XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для
>IPC перегружена.А я не пью, мне противно :)
>XML есть блоатваре,+1 =) Хрен поспоришь-желание все и вся представить как XML, например как в жаббере очень похоже на маниакальное желание забить все и вся, от мебельного гвоздика до железнодорожного костыля пренепременно своим любимым микроскопом и никак иначе.
>ибо в конфигах нечитабельна,
При хорошем форматировании - сойдет но не более того.
>а для IPC перегружена.
Дык....
> XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.XML полезен в некоторых случаях, но, к сожалению, применяется часто и не к месту.
увы, +1
убунта уже обновилась...
Сам противник XML но при разумном подходе XML+HTML на больших объёмах позволяют достичь компактного результата.
Но порою как глянешь, что вытворяют различные генераторы, да некоторые умельцы, удивляешься тому что ещё есть чему удивляться...
>> XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.Мощнее XML еще ничено не придумали, и никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml.
На XML уже можно писать вирусы? А грабить корованы?
>На XML уже можно писать вирусы? А грабить корованы?XSLT, между прочим, полный по Тьюрингу :)
>XSLT, между прочим, полный по Тьюрингу :)Брэйнфак, кстати тоже.Давайте все резко начнем использовать брэйнфак в конфигах?Как бонус - враги и хакеры сойдут с ума при попытках разобраться со всем этим.Главное не сойти с ума самому :)
а зачем Вам универсальность в "самопальном" cfg?
xml не добавит стабильности в работе ПО только потому, что на него перевели конфигурационный файл.
а ini файлы и так достаточно универсальны и просты.
А главное Human Readable, что заложено в основу любой юникс системы. В unix way заложен принцип умопостижимости контекста, XML не отвечает этому принципу, соответственно XML - не unix way, хотя - пусть живет...
> никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xmlC++ еще универсальней! А лучше Java!! Будем писать конфиги на Java!
читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт :)
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:) нет, в целом XML хорошь, но не проходит тест на unix way совместимость =)
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:)Цитата с ЛОР:
"И как-то вдруг неожиданно приехало:
Size: 931 KB
A security issue has been identified in Microsoft XML Core Services (MSXML) that could allow an attacker to compromise your Windows-based system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
More information for this update can be found at http://go.microsoft.com/fwlink/?LinkId=128803Хммм..."
а вы говорите...
Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?
>Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?По сравнению CVE-2007-0099 и патча для CVE-2008-4226 (в обоих случаях возможен memory corruption, только у MS вследствие race condition, а в libxml2 -- integer overflow) мне так не показалось, хотя тайминг действительно интересный получился...
>A security issue has been identified in Microsoft XML Core Services (MSXML)Господи, это в который раз то уже?Там по жизни полная ... с дырами.А на паре машин апдейтер вообще сломался - считает своим долгом после накатывания этого апдейта предложить его еще раз.Наверное для надежности, чтобы уж наверняка.При том не понятно как его все-таки убедить что этот апдейт уже установлен.MS - ахтунгисты покруче любых опенсорцников...
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:)Konechno eto proiski MS. Ili vy imeete na primete esche kogo nit'? :)
PS: Vsemu svoe mesto. XML v instant messenger'ah, i v config'ah - zlo.
>PS: Vsemu svoe mesto. XML v instant messenger'ah... - zlo.Свой нарисуй.
А почему такой флейм, я обновился еще в 7:00 МСК
А что вы на XML то все накинулись...?! Хороший способ представления структурированной информации во многих приложениях.Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование любого продукта хромает
>А что вы на XML то все накинулись...?! Хороший способ представления структурированной
>информации во многих приложениях.
>
>Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование
>любого продукта хромаетСогласен! Не стоит в чём то порицать средство - нужно порицать тех, кто его криво использует!