URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 56969
[ Назад ]

Исходное сообщение
"Критическая уязвимость в коде DHCP-клиента"

Отправлено opennews , 16-Июл-09 12:22 
В стандартном DHCP-клиенте (dhclient) обнаружена (https://www.isc.org/node/468) критическая уязвимость, позволяющая выполнить на машине клиента злонамеренный код с правами суперпользователя при обращении к размещенному в локальной сети DHCP серверу злоумышленника.  Проблеме подвержены все ветки пакета ISC DHCP 4.1.x, 4.0.x , 3.1.x, 3.0.x и 2.0.x. Ошибка устранена в версиях 4.1.0p1, 4.0.1p1 и 3.1.2p1, ветки 3.0.x и 2.0.x официально уже не поддерживаются, для них необходимо вручную применить специальный патч.

DHCP клиент консорциума ISC является эталонной реализацией и применяется во многих сторонних продуктах, наличие данной уязвимости в  который можно отследить через данную страницу (http://www.kb.cert.org/vuls/id/410676).

URL: https://www.isc.org/node/468
Новость: http://www.opennet.me/opennews/art.shtml?num=22622


Содержание

Сообщения в этом обсуждении
"Критическая уязвимость в коде DHCP-клиента"
Отправлено Аноним , 16-Июл-09 12:22 
Это вообще ахтунг! Пользуйтесь OpenBSD, программисты уже давно переписали эти поделки ISC

"Критическая уязвимость в коде DHCP-клиента"
Отправлено Vitaly_loki , 16-Июл-09 12:33 
Ну во FreeBSD, к примеру, начиная с 5.4 OpenBSDшный клиент

"Критическая уязвимость в коде DHCP-клиента"
Отправлено User294 , 16-Июл-09 21:27 
> Пользуйтесь OpenBSD,

Летайте самолетами Аэрофлота :)


"Критическая уязвимость в коде DHCP-клиента"
Отправлено klalafuda , 17-Июл-09 00:32 
>> Пользуйтесь OpenBSD,
> Летайте самолетами Аэрофлота :)

некорректное, кстати, сравнение. AFAIU сегодня Аэрофлот эксплуатирует точно такие же самолёты, что и остальные топ-конторы РФ. по крайней мере летая в т.ч. на нём я не нашел каких-то существенных различий в их аэробусах.

ps: дада, я помню рекламку 'надёжно и быстро без лишних хлопот вас похоронит аэрофлот!'. но IMHO сегодня он ни чем не хуже [и не лучше] остальных контор.

// wbr


"Критическая уязвимость в коде DHCP-клиента"
Отправлено szh , 17-Июл-09 00:39 
читать учись анонимус:
По словам одного из разработчиков SUSE Linux, данный дистрибутив, а также дистрибутивы основанные на коде Fedora и Red Hat Enterprise Linux, не подвержены данной уязвимости, так как код DHCP клиента собран с использованием опции FORTIFY_SOURCE,

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Аноним , 16-Июл-09 12:28 
вот так сюрприз.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено поцанчик , 18-Июл-09 03:09 
не ссы, в нормальных сетях, если будешь флудить по дхцп, то тебя просто заблокируют на роутере

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Уноним , 16-Июл-09 12:56 
ндя, в опенсусе меня эту уязвимость закрыли вчера (т.е. в течении часа с открытия)

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено mike lee , 16-Июл-09 12:57 
интересно dhcpcd тоже подвержен?

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено 1 , 16-Июл-09 18:58 
Чему подвержен? Вы сами поняли что спросили?

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено zhus , 16-Июл-09 13:40 
Интересно, а почему ВСЕ не используют опцию FORTIFY_SOURCE в критичных приложениях?

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Aleksey , 16-Июл-09 14:14 
Наверное чтобы transaction per seconds было максимальным

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено zhus , 16-Июл-09 14:45 
Помнится, много-много лет назад, когда у соседей стало нехватать tps, они не стали снижать уровень контроля входных параметров, а поставили второй минивакс, хотя критичность их программы была пониже DHCP-сервера.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Warhead Wardick , 16-Июл-09 17:53 
Ну ты сравнил! Тогда всем управляли люди с головой, а сейчас "[д]эффективные манагеры" ...

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено User294 , 16-Июл-09 21:38 
>Помнится, много-много лет назад,

Ключевой момент.Много-много лет назад софт писали мозговитые програмеры, которые старались отвечать за свой труд и его качество так же как архитектор отвечает за построенное по его проекту здание.А потому старались делать на совесть.А потом кто попало уже понабежал на это поприще почуяв что там можно подзаработать.Правда вот в те времена не было толп хакеров и потому переполнениям буфферов уделяли меньше внимания.

И кстати так не только в софтостроении.Вот скажите, почему в блоке питания от 286 обычный 80мм кулер не сдох за добрый десяток лет работы?А современные аналоги - мрут как мухи за пару лет.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено XoRe , 16-Июл-09 23:34 
>И кстати так не только в софтостроении.Вот скажите, почему в блоке питания
>от 286 обычный 80мм кулер не сдох за добрый десяток лет
>работы?А современные аналоги - мрут как мухи за пару лет.

Потому что тогда на этом _ещё_ не делали деньги, как сейчас.
А одноразовые продажи дешевых товаров никому не интересны.

Кстати, насколько я знаю, есть хороший пример - гибкие (5,25) и твердые (3,5) дискеты.
Все накупили гибких дискет и довольны.
А они не ломаются (ну хотя бы не так, как 3,5 дискеты).
Что делать?
Надо изобрести, что будет "меньше по размеру, но больше по вместительности!" (а ещё чаще ломаться).
Вот и изобрели.
Вот и внедрили.
И целое поколение еб*лось с косяками дискет.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено PhoeniX , 17-Июл-09 19:05 
Есть такое понятие, как избыточное качество. Ну переплати вдвое за домашний десктоп, и пусть железо у тебя прослужит десять лет.
Малоактуальным оно правда станет уже года через три.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено IGX , 19-Июл-09 13:21 
> Вот скажите, почему в блоке питания от 286 обычный 80мм кулер не сдох за добрый десяток лет работы?А современные аналоги - мрут как мухи за пару лет.

А ты не ставь noname за 5 копеек.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено GateKeeper , 16-Июл-09 20:51 
Ага, это ж только представить! За 1 секунду надо успеть опросить десятки тысяч DHCP-серверов, выбрать самый качественный LEASE, перезапросить его, осведомиться, не появилось ли у кого чего посвежее, а потом окончательно применить его на сетевой стек. И так каждую секунду.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено pahan , 16-Июл-09 15:28 
А на кой выставлять DHCP на всенародное обозрение? Это должно быть внутри корпоративной сети.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Антон , 16-Июл-09 17:57 
А как біть с городскими локальніми сетями?

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Warhead Wardick , 16-Июл-09 17:58 
Моск не жмет? Найдётся и в твоей сети пионер с загрузочной флэшкой ... и поставит "[д]эффективного админа" раком :) Воевать на подлодке с дырами - удовольствие еще то! Так что обновляйся - латай дыры.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено _umka_ , 16-Июл-09 18:37 
Боюсь это уже существует. Не так давно в сети завелось 2 виндовых машинки которые пытались прикидываться dhcp сервером. причем не одной штатной службы которая бы вела себя так - не было.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено deepwalker , 17-Июл-09 05:51 
Используйте коммутаторы с защитой dhcp, те же кошки к примеру. И плевать будет на подставные dhcp сервера в сети.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Michael Shigorin , 17-Июл-09 17:56 
>Используйте коммутаторы с защитой dhcp, те же кошки к примеру.
>И плевать будет на подставные dhcp сервера в сети.

Или же хотя бы https://roguedetect.bountysource.com.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено klalafuda , 16-Июл-09 17:58 
--- cut ---
While generating a subnet number from the server-supplied leased address and subnet-mask 'dhclient' copies the information into a field without verifying if the length of the information exceeds the length of the field.

Theoretically this allows a rogue DHCP server to execute arbitrary commands as root on the affected system through stack return subversion.
--- cut ---

т.е., как уже было указано выше, проблема не в сервере, проблема в клиенте. дальше уже дело техники - встроить в виря простейший эмулятор DHCP сервера ровно до стадии раздачи эксплойта. и в скором времени вся локалка, работающая под бесконечно защищённым линуксом, будет являть собою обычный ботнет.

// wbr


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено klalafuda , 16-Июл-09 18:01 
>[оверквотинг удален]
>root on the affected system through stack return subversion.
>--- cut ---
>
>т.е., как уже было указано выше, проблема не в сервере, проблема в
>клиенте. дальше уже дело техники - встроить в виря простейший эмулятор
>DHCP сервера ровно до стадии раздачи эксплойта. и в скором времени
>вся локалка, работающая под бесконечно защищённым линуксом, будет являть собою обычный
>ботнет.
>
>// wbr

ps: ну и поскольку в каждой сети нет нет да дайдётся одна машинка под виндой атаку можно начинать с неё[их]. дальше уже подминая под себя всё стадо. это к ответу на возможный вопрос 'а откуда в сети возьмётся вирь?'.

// wbr


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено User294 , 16-Июл-09 21:47 
>DHCP сервера ровно до стадии раздачи эксплойта. и в скором времени
>вся локалка, работающая под бесконечно защищённым линуксом, будет являть собою обычный
>ботнет.

Если посмотреть на список дистров которые уже обновились - если такое и будет то только у долбо... которые на обновления забили.А т.к. линух не страдает проблемами с пираси и в апдейтах не приезжает всякая шваль начинающая рассказывать что вы пират - там апдейты обычно ставят все-таки.А у некоторых других сорцы с fortify_source собраны, опять же - небольшой сюрприз хацкерам.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено XoRe , 16-Июл-09 23:48 
>[оверквотинг удален]
>root on the affected system through stack return subversion.
>--- cut ---
>
>т.е., как уже было указано выше, проблема не в сервере, проблема в
>клиенте. дальше уже дело техники - встроить в виря простейший эмулятор
>DHCP сервера ровно до стадии раздачи эксплойта. и в скором времени
>вся локалка, работающая под бесконечно защищённым линуксом, будет являть собою обычный
>ботнет.
>
>// wbr

Ну... для этого нужно представить, что никто не обновляет свой домашний линукс)
А это мало вероятно.
Ну а даже если кто-то не обновляет, петух в лоб ткнет (похакают) - включит обновление.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено klalafuda , 17-Июл-09 00:19 
> Ну... для этого нужно представить, что никто не обновляет свой домашний линукс) А это мало вероятно.

а мне почему то кажется, что с вероятностью >>50%. независимо от дистрибутива. стоит у меня, допустим, средней старости cent, debian или кто-то ещё. работает себе и кушать не хочет. нафига в нём что-то обновлять? 'солнце всходит? и заходит? вот и не трогай!' (с) анекдот. внезапная поломка системы после стотыщьного обновления может стоить конкретному пользователю существенно больше. тем более, что на раз плюнуть всё сломать под корень :-/

> Ну а даже если кто-то не обновляет, петух в лоб ткнет (похакают) - включит обновление.

поздно будет уже пить боржом. тем более, что, собственно, нужно ещё обнаружить, что на машину проставили руткит.

// wbr


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено XoRe , 17-Июл-09 10:02 
Сразу предупреждаю, что мы говорим про домашний комп с линуксом, не серверный.

> нафига в нём что-то обновлять? 'солнце всходит? и заходит? вот и не трогай!' (с)

Нафига?
Ну вот _хотя бы_ потому что (см. текст новости).
Теперь вы знаете, к чему может привести отсутствие обновлений.
Поэтому аргумент "а нафига" уже не работает.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Kaiser , 17-Июл-09 14:40 
> а мне почему то кажется, что с вероятностью >>50%. независимо от дистрибутива. стоит у меня, допустим, средней старости cent, debian или кто-то ещё. работает себе и кушать не хочет. нафига в нём что-то обновлять?

Потому что есть репозитарии с обновлениями, где публикуют патчи. Можно ставить только security fix, если так боишься обновлений. Я уже несколько лет ставлю и патчи с пометкой recomended - не ломается.

Для средней старости Debian, Cent OS и т.п. так же исправно выходят патчи как и для свежих.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Kaiser , 17-Июл-09 14:43 
Если вдруг непонятно высказался по поводу репозитария с патчами в предыдущем посте. Security fix не обновляет пакет новыми функциональными возможностями, а только исправляет уязвимость. Так что при их установки ничего не ломается.

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено User294 , 16-Июл-09 21:55 
>А на кой выставлять DHCP на всенародное обозрение? Это должно быть внутри
>корпоративной сети.

И что?Воткнет кто-то из сотрудников "хакерский" DHCP и порутает окружающие его машины... не больно то приятно.Если кто на ручнике, дыра - в *клиенте*.А не в сервере.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено поцанчик , 18-Июл-09 03:14 
>А на кой выставлять DHCP на всенародное обозрение? Это должно быть внутри
>корпоративной сети.

Понимаешь товарищ, в наши нелёгкие времена, опасность может подстерегать с обеих сторон.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Vcoder , 16-Июл-09 15:47 
Интересно, а всякие железки типа wi-fi роутеров тоже подвержены этой уязвимости?

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено klalafuda , 16-Июл-09 18:04 
>Интересно, а всякие железки типа wi-fi роутеров тоже подвержены этой уязвимости?

ну если они выступают в роли DHCP клиента и крутят линуксу то с бОльшей вероятностью - да. впрочем, если во второе я охотно могу поверить, то первое же вызывает некоторые сомнения. бо нафига :-?

// wbr


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено XoRe , 16-Июл-09 23:44 
>>Интересно, а всякие железки типа wi-fi роутеров тоже подвержены этой уязвимости?
>
>ну если они выступают в роли DHCP клиента и крутят линуксу то
>с бОльшей вероятностью - да. впрочем, если во второе я охотно
>могу поверить, то первое же вызывает некоторые сомнения. бо нафига :-?
>
>
>// wbr

Нафига роутеру быть dhcp клиентом на wan интерфейсе?
Потому что много кто раздает сетевые настройки по dhcp.
Купил роутер, подключил к провайдеру - сразу подцепились настройки.
А роутер раздает свой dhcp внутрь квартирной сети.
В идеале в настройки вообще не надо лезть.

Кстати dhcp клиентом выступают не только роутеры, но и всякие voip приблуды (sip клиенты), всякие сетевые факсы/принтеры/сканеры/телефоны/wifi точки и т.д.
Так что это очень неприятная уязвимость - список оборудования получается большой.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено klalafuda , 17-Июл-09 00:23 
>Нафига роутеру быть dhcp клиентом на wan интерфейсе?
>Потому что много кто раздает сетевые настройки по dhcp.
>Купил роутер, подключил к провайдеру - сразу подцепились настройки.
>А роутер раздает свой dhcp внутрь квартирной сети.
>В идеале в настройки вообще не надо лезть.

да, с этим соглашусь. мой DI-804 действительно умеет строить себя в WAN по DHCP и, охотно верю, этот путь может быть весьма востребован в определённых окружениях.

>Кстати dhcp клиентом выступают не только роутеры, но и всякие voip приблуды
>(sip клиенты), всякие сетевые факсы/принтеры/сканеры/телефоны/wifi точки и т.д.
>Так что это очень неприятная уязвимость - список оборудования получается большой.

хорошее, кстати, замечание. линукса - это не только SOHO маршрутизаторы. это ещё и целый зоопарк прочих полезных девайсов, которые как раз с бОльшей вероятностью строятся через DHCP. корпоративный сетевой принтер как точка раздачи всякого Г по интранету - чем не вариант? :)

// wbr


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено XoRe , 17-Июл-09 10:05 
>[оверквотинг удален]
>>Кстати dhcp клиентом выступают не только роутеры, но и всякие voip приблуды
>>(sip клиенты), всякие сетевые факсы/принтеры/сканеры/телефоны/wifi точки и т.д.
>>Так что это очень неприятная уязвимость - список оборудования получается большой.
>
>хорошее, кстати, замечание. линукса - это не только SOHO маршрутизаторы. это ещё
>и целый зоопарк прочих полезных девайсов, которые как раз с бОльшей
>вероятностью строятся через DHCP. корпоративный сетевой принтер как точка раздачи всякого
>Г по интранету - чем не вариант? :)
>
>// wbr

Если "Г" - это вирусня, то да, соглашусь.
Поэтому новость очень неприятная.
Всяким "хакерам" за такое очень хорошо руки отрубать по самую шею.

Если "Г" - это полезные ресурсы, то это не так удивительно.
Тут на опеннете у одного умельца контроллер домена был на смартфоне)
А фигли там, самбу поднять и доменную авторизацию прикрутить.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено ddd , 16-Июл-09 18:06 
Да, конечно!
И даже вирусы специально под вашу модель роутера уже написаны. Список команд процессора, который установлен в вашем роутере и версия firmware определяется по ping-у. Бойтесь!!!

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено User294 , 16-Июл-09 21:53 
>Да, конечно!
>И даже вирусы специально под вашу модель роутера уже написаны. Список команд
>процессора, который установлен в вашем роутере и версия firmware определяется по
>ping-у. Бойтесь!!!

Ну вообще был ботнетец на soho-роутерах.Проц там у почти всех - MIPS :).А версия фирмвари не очень требовалась.Правда вот проникала троянщина крайне незачетно и беспонтово - не за счет красивого хака или там хитрого фокуса.А за счет административного долбо%^ства производителей роутеров зачем-то вывешивающих интерфейсы управления не только в LAN но и WAN, не требующих сменить пароль, ну и юзеров, не меняющих пароль.Штука лезла на роутер по дефолтному паролю и закачивала себя в ram-диск wget'ом.Уныло как-то, даже не хак а использование того что одни тупицы делают железки для других тупиц.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено XoRe , 16-Июл-09 23:42 
>Да, конечно!
>И даже вирусы специально под вашу модель роутера уже написаны. Список команд
>процессора, который установлен в вашем роутере и версия firmware определяется по
>ping-у. Бойтесь!!!

Если вы возьмете firmware к вашему роутеру и умудритесь его открыть, как архив или образ, то найдете там /usr, /etc /var и т.д. )

P.S.
Делать производителям нечего, кроме как тратить ресурсы на создание чего-то нового.
Взяли линукс, запихнули pptp/dhcp, настроили и вперед
Причем очень часто настраивают абы как.
И рутовый пароль оставляют что-нибудь типа root123.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено klalafuda , 17-Июл-09 00:27 
>Да, конечно!
>И даже вирусы специально под вашу модель роутера уже написаны. Список команд
>процессора, который установлен в вашем роутере и версия firmware определяется по
>ping-у. Бойтесь!!!

кажется след. новость именно для вас :)

http://www.opennet.me/opennews/art.shtml?num=22629

// wbr


"Критическая уязвимость в коде DHCP-клиента"
Отправлено anonimous , 16-Июл-09 20:06 
зачем постить новости с опозданием после обновления? oO

"Критическая уязвимость в коде DHCP-клиента"
Отправлено GateKeeper , 16-Июл-09 20:56 
Тем более, если новость без ссылки на свежий одей, правда?

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено i , 16-Июл-09 21:04 
надо grsec & PAX в массы

"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено bircoph , 16-Июл-09 21:46 
В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в gentoo:

NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when -O is set to 2 or higher.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено klalafuda , 17-Июл-09 00:25 
>В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в
>gentoo:
>
>NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when
>-O is set to 2 or higher.

а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту. хорошо, пусть даже по пальцам двух рук.

// wbr


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено F.Y. , 17-Июл-09 04:33 
>а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту.
>// wbr

Я узнал что что то не так с Dhcp-client по тому что в RH и Debian Lenny приползли апдейты. А на форумах началось только на следующий день :)

Кстати wbr - ты уже узнал твой виндовс тоже подвержен или нет?


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено XoRe , 17-Июл-09 10:07 
>>В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в
>>gentoo:
>>
>>NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when
>>-O is set to 2 or higher.
>
>а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту. хорошо, пусть
>даже по пальцам двух рук.
>
>// wbr

Если смотреть на домашнее использование, то рук вам понадобится в сто раз больше.
Если про серверный сегмент, то в десятки тысяч.
Имхо, Gentoo - оптимальный вариант, если нужно выжать из машины все, на что она способна.


"Критическая уязвимость в коде эталонного DHCP-клиента ISC"
Отправлено Michael Shigorin , 17-Июл-09 18:01 
>Имхо, Gentoo - оптимальный вариант, если нужно выжать из машины

...и хозяина...

>все, на что она способна.

...причём опять-таки "она", а не "хозяин".

PS: easy :)
PPS: а где FORTIFY_SOURCE ещё не пользуются-то?