Доступны внеплановые выпуски стандартной Си-библиотеки (libc) Musl (http://www.musl-libc.org/) 1.0.3 (http://www.openwall.com/lists/musl/2014/06/06/3) и 1.1.2 (http://www.openwall.com/lists/musl/2014/06/06/4), в которых устранена критическая уязвимость (http://www.openwall.com/lists/musl/2014/06/06/5) (CVE-2014-3483), позволяющая организовать выполнение кода при обработке ответа от DNS-сервера. Уязвимость вызвана ошибкой в коде разбора DNS-запросов. Проблема выявлена разработчиками Musl в процессе переработки связанных с резолвером внутренних функций.Проблема присутствует начиная с выпуска Musl 0.9.13 и проявляется в приложениях, связанных с musl libc и осуществляющих DNS-запросы через штатные вызовы getaddrinfo, getnameinfo, gethostbyname, gethostbyaddr и т.п. Эксплуатация уязвимости возможна только в конфигурациях, в которых в числе DNS-серверов, используемых в качестве резолверов и прописанных в resolv.conf, присутствуют подконтрольные атакующему DNS-серверы. Эксплуатация также возможна, если атакующий имеет возможность вклиниться в трафик и осуществить подстановку DNS-ответов по протоколу UDP. В качестве одного из обходных методов защиты называется использование размещённого на том же компьютере локального резолвера.
Из дистрибутивов, в которых используется Musl, можно отметить Alpine Linux (http://www.opennet.me/opennews/art.shtml?num=39936), OSv (http://www.opennet.me/opennews/art.shtml?num=37936), Sabotage (https://github.com/sabotage-linux/sabotage), LightCube OS (https://github.com/jhuntwork/lightcube-bootstrap-musl), starchlinux (http://starchlinux.org/), morpheus (http://git.2f30.org/morpheus/) и Snowflake (https://bitbucket.org/GregorR/snowflake). Библиотека позиционируется (http://www.opennet.me/opennews/art.shtml?num=39365), как универсальная реализация libc, подходящая для применения как на стационарных ПК и серверах, так и на мобильных системах. Musl сочетает полноценную поддержку стандартов (C99, POSIX 2008, частично C11 и Linux-расширения), свойственную для полновесных библиотек, таких как Glibc (GNU C library), с небольшим размером, низким потреблением ресурсов и высокой производительностью, свойственными специализированным вариантам libc для встраиваемых систем, таких как uClibc, dietlibc и Android Bionic.
URL: http://seclists.org/oss-sec/2014/q2/495
Новость: http://www.opennet.me/opennews/art.shtml?num=39953
Ну вот, не успел вылупиться, а уже такие баги.
иногда такие "фичи"(но не баги) - главная причина появления проектов и вложений в него.
если внимательно проследить КТО и Как, поддерживает.
x86_64: expand kernel stack to 16Khttps://git.kernel.org/cgit/linux/kernel/git/torvalds/linux....
Вот новость, а тут куета какая-то
Это не новость, это костыль для затыкания другого бага "по бырому".
Ну вот потому и надо сто раз подумать прежде чем начинать делать очередную "альтернативу". А подумав - вместо этого включаться в разработку существующего.
Они подумали.>It is lightweight, fast, simple, free, and aims to be correct in the sense of standards-conformance and safety.
Вы тут видите слово secure?
> Вы тут видите слово secure?Да, а еще мы видим новость. Что может быть хуже для тех кто козырял "secure" в этой области как раз и облажаться по крупному? :)
>> Вы тут видите слово secure?
> Да, а еще мы видим новость. Что может быть хуже для тех
> кто козырял "secure" в этой области как раз и облажаться по
> крупному? :)где козыряли? и где «облаж по крупному»? да, баг. требующий настолько убитой системы, что… если атакующий смог прописаться в resolv.conf, то баг в musl — это одна из последних вещей, о которых стоит размышлять.
> Ну вот потому и надо сто раз подумать прежде чем начинать делать
> очередную "альтернативу". А подумав - вместо этого включаться в разработку существующего.действительно, как посмели?! кто разрешил?! не умеешь писать без ошибок — не пиши своё, добавляй ошибки другим!
http://wiki.musl-libc.org/wiki/Bugs_found_by_musl
Для скептиков, проект то новый и багу нашли, в отличие от баков которые например в ядре живут более 5 лет и их ни кто почти не замечает. Ошибки это часть процесса любого, и программирование не исключение.