URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 45258
[ Назад ]

Исходное сообщение
"Критическая уязвимость в библиотеке Libxml2"

Отправлено opennews , 19-Ноя-08 00:33 
Обнаружена (http://secunia.com/Advisories/32773/) критическая уязвимость в библиотеке Libxml2 (http://xmlsoft.org/). Возможность целочисленного переполнения в функции "xmlSAX2Characters()" может привести к выполнению кода злоумышленника при обработке функциями библиотеки специально скомпонованного XML файла.  Частично опасность уязвимости уменьшает тот факт, что для эксплуатации XML файл должен иметь огромный размер, но тем не менее проблеме присвоен уровень опасности "чрезвычайно критическая".


Уязвимость присутствует в Libxml2 2.7.2 и более ранних версиях, официальное обновление (http://xmlsoft.org/news.html) с исправлением проблемы пока не вышло, необходимо использовать патч (https://bugzilla.redhat.com/show_bug.cgi?id=470466) или обновление пакета от разработчиков Linux дистрибутивов.


Особую опасность представляет, то что Libxml2 используется для парсинга XML во многих популярных приложениях, например, GNOME, Abiword, Evolution, KDE, OpenOffice.org, Bluez, Compiz, Gedit, Gp...

URL: http://secunia.com/Advisories/32773/
Новость: http://www.opennet.me/opennews/art.shtml?num=18979


Содержание

Сообщения в этом обсуждении
"Критическая уязвимость в библиотеке Libxml2"
Отправлено Анонимн , 19-Ноя-08 00:33 
XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Guest , 19-Ноя-08 01:16 
+100

К месту в прикладном ПО оно пока не применено нигде.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено anonymous , 19-Ноя-08 01:27 
>ПО оно пока не применено нигде.

полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Хелагар , 19-Ноя-08 01:38 
От криворуких кодеров, увы, избавиться можно только 2-я методами:

1) Отстреливая их.
2) Насильно обучая до приемлемого уровня.

Все остальные методы суть полумеры.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Осторожный , 19-Ноя-08 08:36 
>От криворуких кодеров, увы, избавиться можно только 2-я методами:
>
>1) Отстреливая их.
>2) Насильно обучая до приемлемого уровня.
>
>Все остальные методы суть полумеры.

Это не два метода - это один !
Их нужно применять одновременно :)


"Критическая уязвимость в библиотеке Libxml2"
Отправлено F , 19-Ноя-08 09:22 
> полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров

http://www.webdevout.net/articles/beware-of-xhtml


"Критическая уязвимость в библиотеке Libxml2"
Отправлено anonymous , 19-Ноя-08 08:17 
Лузеры оба. RSS сказать что такое? RPC-XML? DocBook? Jabber? DBUS?
Если вы упорно не замечаете, как XML вас окружает - то вы наивные юзеры.

"Критическая уязвимость в библиотеке Libxml2"
Отправлено одмин , 19-Ноя-08 08:21 
XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с парсингом сообщений.

Есть протоколы сериализации и получше xml.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено I , 19-Ноя-08 09:38 
Какие? Чем лучше? Прям таки лучше для абсолютно любых применений?

"Критическая уязвимость в библиотеке Libxml2"
Отправлено vitek , 19-Ноя-08 09:58 
в том то и дело, что все говорят о "любых применениях", но не об одном, частном.
Вы пакеты жабера xmleditor'ом ловить собираетесь?
при вменяемом api всё равно какой формат.

я не против xml, но пихать его во всё без разбора - маразм.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено F , 19-Ноя-08 10:21 
С этим согласен.

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Michael Shigorin , 19-Ноя-08 12:02 
sexp-ы, например.  Абсолютно для любых, хоть программы пиши.

"Критическая уязвимость в библиотеке Libxml2"
Отправлено anonymous , 19-Ноя-08 11:27 
Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI. И кто теперь им пользуется в юзерспейсе?

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Michael Shigorin , 19-Ноя-08 20:28 
>Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI.

Только вот в libtasn1 бывают баги не менее неприятные, которые имели стандарт в виду...

>И кто теперь им пользуется в юзерспейсе?

TLS?


"Критическая уязвимость в библиотеке Libxml2"
Отправлено User294 , 19-Ноя-08 19:30 
>  XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с
> парсингом сообщений.

Да уж, когда откровенно бинарные аватар или фото КОДИРУЮТ В ЮЮКИ только для того чтобы его можно было запихнуть в XMLку от чего и без того не мелкий файл пухнет на треть (это при том что гора XMLятины и так компактностью не страдает) - это называется defective by design на мою имху.Как посмотришь сколько траффика аська съедает и сколько жаббер при логине при прочих равных... уу... особенно с жпрс... =\


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Michael Shigorin , 19-Ноя-08 19:33 
Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и вернуться где-то к нижней её части "на жиле".

"Критическая уязвимость в библиотеке Libxml2"
Отправлено PereresusNeVlezaetBuggy , 19-Ноя-08 20:12 
>Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и
>вернуться где-то к нижней её части "на жиле".

С маленькой поправкой: не на всяком мобильнике эта фишка работает, нужна поддержка ОС. :(


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Guest , 20-Ноя-08 00:50 
> RSS сказать что такое?

RSS это не прикладуха. Это вместе с Web оставим.

> RPC-XML? DocBook? Jabber? DBUS?

А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Guest , 20-Ноя-08 01:00 
> RSS сказать что такое?

RSS это не прикладуха. Это вместе с Web оставим.

> RPC-XML? DocBook? Jabber? DBUS?

А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено PereresusNeVlezaetBuggy , 19-Ноя-08 01:43 
>XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для
>IPC перегружена.

А я не пью, мне противно :)


"Критическая уязвимость в библиотеке Libxml2"
Отправлено User294 , 19-Ноя-08 03:19 
>XML есть блоатваре,

+1 =) Хрен поспоришь-желание все и вся представить как XML, например как в жаббере очень похоже на маниакальное желание забить все и вся, от мебельного гвоздика до железнодорожного костыля пренепременно своим любимым микроскопом и никак иначе.

>ибо в конфигах нечитабельна,

При хорошем форматировании - сойдет но не более того.

>а для IPC перегружена.

Дык....


"Критическая уязвимость в библиотеке Libxml2"
Отправлено F , 19-Ноя-08 09:27 
> XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

XML полезен в некоторых случаях, но, к сожалению, применяется часто и не к месту.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Аноним , 19-Ноя-08 00:38 
увы, +1

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Аноним , 19-Ноя-08 06:00 
убунта уже обновилась...

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Alex , 19-Ноя-08 07:25 
Сам противник XML но при разумном подходе XML+HTML на больших объёмах позволяют достичь компактного результата.
Но порою как глянешь, что вытворяют различные генераторы, да некоторые умельцы, удивляешься тому что ещё есть чему удивляться...

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Nikolaos , 19-Ноя-08 07:28 
>> XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

Мощнее XML еще ничено не придумали, и никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Аноним , 19-Ноя-08 07:51 
На XML уже можно писать вирусы? А грабить корованы?

"Критическая уязвимость в библиотеке Libxml2"
Отправлено F , 19-Ноя-08 09:53 
>На XML уже можно писать вирусы? А грабить корованы?

XSLT, между прочим, полный по Тьюрингу :)


"Критическая уязвимость в библиотеке Libxml2"
Отправлено User294 , 19-Ноя-08 13:01 
>XSLT, между прочим, полный по Тьюрингу :)

Брэйнфак, кстати тоже.Давайте все резко начнем использовать брэйнфак в конфигах?Как бонус - враги и хакеры сойдут с ума при попытках разобраться со всем этим.Главное не сойти с ума самому :)


"Критическая уязвимость в библиотеке Libxml2"
Отправлено vitek , 19-Ноя-08 09:51 
а зачем Вам универсальность в "самопальном" cfg?
xml не добавит стабильности в работе ПО только потому, что на него перевели конфигурационный файл.
а ini файлы и так достаточно универсальны и просты.

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Зилибоба , 19-Ноя-08 10:13 
А главное Human Readable, что заложено в основу любой юникс системы. В unix way заложен принцип умопостижимости контекста, XML не отвечает этому принципу, соответственно XML - не unix way, хотя - пусть живет...

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Guest , 20-Ноя-08 00:53 
> никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml

C++ еще универсальней! А лучше Java!! Будем писать конфиги на Java!


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Аноним , 19-Ноя-08 10:38 
читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт :)

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Зилибоба , 19-Ноя-08 10:42 
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:) нет, в целом XML хорошь, но не проходит тест на unix way совместимость =)

"Критическая уязвимость в библиотеке Libxml2"
Отправлено ононим , 19-Ноя-08 12:55 
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:)

Цитата с ЛОР:
"И как-то вдруг неожиданно приехало:
Size: 931 KB
A security issue has been identified in Microsoft XML Core Services (MSXML) that could allow an attacker to compromise your Windows-based system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
More information for this update can be found at http://go.microsoft.com/fwlink/?LinkId=128803

Хммм..."

а вы говорите...


"Критическая уязвимость в библиотеке Libxml2"
Отправлено I , 19-Ноя-08 13:33 
Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?

"Критическая уязвимость в библиотеке Libxml2"
Отправлено Michael Shigorin , 19-Ноя-08 20:23 
>Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?

По сравнению CVE-2007-0099 и патча для CVE-2008-4226 (в обоих случаях возможен memory corruption, только у MS вследствие race condition, а в libxml2 -- integer overflow) мне так не показалось, хотя тайминг действительно интересный получился...


"Критическая уязвимость в библиотеке Libxml2"
Отправлено User294 , 19-Ноя-08 15:01 
>A security issue has been identified in Microsoft XML Core Services (MSXML)

Господи, это в который раз то уже?Там по жизни полная ... с дырами.А на паре машин апдейтер вообще сломался - считает своим долгом после накатывания этого апдейта предложить его еще раз.Наверное для надежности, чтобы уж наверняка.При том не понятно как его все-таки убедить что этот апдейт уже установлен.MS - ахтунгисты покруче любых опенсорцников...


"Критическая уязвимость в библиотеке Libxml2"
Отправлено anonymous , 19-Ноя-08 14:44 
>читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
>:)

Konechno eto proiski MS. Ili vy imeete na primete esche kogo nit'? :)

PS: Vsemu svoe mesto. XML v instant messenger'ah, i v config'ah - zlo.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено anonymous , 19-Ноя-08 16:40 
>PS: Vsemu svoe mesto. XML v instant messenger'ah... - zlo.

Свой нарисуй.


"Критическая уязвимость в библиотеке Libxml2"
Отправлено Аноним , 19-Ноя-08 16:39 
А почему такой флейм, я обновился еще в 7:00 МСК

"Критическая уязвимость в библиотеке Libxml2"
Отправлено grgdvo , 20-Ноя-08 05:52 
А что вы на XML то все накинулись...?! Хороший способ представления структурированной информации во многих приложениях.

Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование любого продукта хромает


"Критическая уязвимость в библиотеке Libxml2"
Отправлено RedStalker_Mike , 20-Ноя-08 09:17 
>А что вы на XML то все накинулись...?! Хороший способ представления структурированной
>информации во многих приложениях.
>
>Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование
>любого продукта хромает

Согласен! Не стоит в чём то порицать средство - нужно порицать тех, кто его криво использует!