The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критическая уязвимость в библиотеке Libxml2

18.11.2008 22:40

Обнаружена критическая уязвимость в библиотеке Libxml2. Возможность целочисленного переполнения в функции "xmlSAX2Characters()" может привести к выполнению кода злоумышленника при обработке функциями библиотеки специально скомпонованного XML файла. Частично опасность уязвимости уменьшает тот факт, что для эксплуатации XML файл должен иметь огромный размер, но тем не менее проблеме присвоен уровень опасности "чрезвычайно критическая".

Уязвимость присутствует в Libxml2 2.7.2 и более ранних версиях, официальное обновление с исправлением проблемы пока не вышло, необходимо использовать патч или обновление пакета от разработчиков Linux дистрибутивов.

Особую опасность представляет, то что Libxml2 используется для парсинга XML во многих популярных приложениях, например, GNOME, Abiword, Evolution, KDE, OpenOffice.org, Bluez, Compiz, Gedit, Gpaint, GStreamer, Imagemagick, Inkscape, Nautilus, Rhythmbox, Transcode, Wine, VirtualBox, Yum, Sim, Scribus, ROX-Filer и т.д.

  1. Главная ссылка к новости (http://secunia.com/Advisories/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/18979-Libxml2
Ключевые слова: Libxml2, xml, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонимн (?), 00:33, 19/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.
     
     
  • 2.3, Guest (??), 01:16, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +100

    К месту в прикладном ПО оно пока не применено нигде.

     
     
  • 3.4, anonymous (??), 01:27, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >ПО оно пока не применено нигде.

    полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров

     
     
  • 4.5, Хелагар (ok), 01:38, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    От криворуких кодеров, увы, избавиться можно только 2-я методами:

    1) Отстреливая их.
    2) Насильно обучая до приемлемого уровня.

    Все остальные методы суть полумеры.

     
     
  • 5.15, Осторожный (ok), 08:36, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >От криворуких кодеров, увы, избавиться можно только 2-я методами:
    >
    >1) Отстреливая их.
    >2) Насильно обучая до приемлемого уровня.
    >
    >Все остальные методы суть полумеры.

    Это не два метода - это один !
    Их нужно применять одновременно :)

     
  • 4.16, F (?), 09:22, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров

    http://www.webdevout.net/articles/beware-of-xhtml

     
  • 3.13, anonymous (??), 08:17, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Лузеры оба. RSS сказать что такое? RPC-XML? DocBook? Jabber? DBUS?
    Если вы упорно не замечаете, как XML вас окружает - то вы наивные юзеры.
     
     
  • 4.14, одмин (?), 08:21, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с парсингом сообщений.

    Есть протоколы сериализации и получше xml.

     
     
  • 5.18, I (?), 09:38, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Какие? Чем лучше? Прям таки лучше для абсолютно любых применений?
     
     
  • 6.21, vitek (??), 09:58, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    в том то и дело, что все говорят о "любых применениях", но не об одном, частном.
    Вы пакеты жабера xmleditor'ом ловить собираетесь?
    при вменяемом api всё равно какой формат.

    я не против xml, но пихать его во всё без разбора - маразм.

     
     
  • 7.23, F (?), 10:21, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    С этим согласен.
     
  • 6.27, Michael Shigorin (ok), 12:02, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    sexp-ы, например.  Абсолютно для любых, хоть программы пиши.
     
  • 5.26, anonymous (??), 11:27, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI. И кто теперь им пользуется в юзерспейсе?
     
     
  • 6.41, Michael Shigorin (ok), 20:28, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI.

    Только вот в libtasn1 бывают баги не менее неприятные, которые имели стандарт в виду...

    >И кто теперь им пользуется в юзерспейсе?

    TLS?

     
  • 5.35, User294 (??), 19:30, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >  XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с
    > парсингом сообщений.

    Да уж, когда откровенно бинарные аватар или фото КОДИРУЮТ В ЮЮКИ только для того чтобы его можно было запихнуть в XMLку от чего и без того не мелкий файл пухнет на треть (это при том что гора XMLятины и так компактностью не страдает) - это называется defective by design на мою имху.Как посмотришь сколько траффика аська съедает и сколько жаббер при логине при прочих равных... уу... особенно с жпрс... =\

     
     
  • 6.36, Michael Shigorin (ok), 19:33, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и вернуться где-то к нижней её части "на жиле".
     
     
  • 7.38, PereresusNeVlezaetBuggy (ok), 20:12, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и
    >вернуться где-то к нижней её части "на жиле".

    С маленькой поправкой: не на всяком мобильнике эта фишка работает, нужна поддержка ОС. :(

     
  • 4.42, Guest (??), 00:50, 20/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > RSS сказать что такое?

    RSS это не прикладуха. Это вместе с Web оставим.

    > RPC-XML? DocBook? Jabber? DBUS?

    А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.

     
  • 4.44, Guest (??), 01:00, 20/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > RSS сказать что такое?

    RSS это не прикладуха. Это вместе с Web оставим.

    > RPC-XML? DocBook? Jabber? DBUS?

    А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.

     
  • 2.6, PereresusNeVlezaetBuggy (ok), 01:43, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для
    >IPC перегружена.

    А я не пью, мне противно :)

     
  • 2.7, User294 (ok), 03:19, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >XML есть блоатваре,

    +1 =) Хрен поспоришь-желание все и вся представить как XML, например как в жаббере очень похоже на маниакальное желание забить все и вся, от мебельного гвоздика до железнодорожного костыля пренепременно своим любимым микроскопом и никак иначе.

    >ибо в конфигах нечитабельна,

    При хорошем форматировании - сойдет но не более того.

    >а для IPC перегружена.

    Дык....

     
  • 2.17, F (?), 09:27, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

    XML полезен в некоторых случаях, но, к сожалению, применяется часто и не к месту.

     

  • 1.2, Аноним (-), 00:38, 19/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    увы, +1
     
  • 1.8, Аноним (8), 06:00, 19/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    убунта уже обновилась...
     
  • 1.9, Alex (??), 07:25, 19/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сам противник XML но при разумном подходе XML+HTML на больших объёмах позволяют достичь компактного результата.
    Но порою как глянешь, что вытворяют различные генераторы, да некоторые умельцы, удивляешься тому что ещё есть чему удивляться...
     
  • 1.10, Nikolaos (?), 07:28, 19/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

    Мощнее XML еще ничено не придумали, и никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml.

     
     
  • 2.11, Аноним (11), 07:51, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    На XML уже можно писать вирусы? А грабить корованы?
     
     
  • 3.20, F (?), 09:53, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >На XML уже можно писать вирусы? А грабить корованы?

    XSLT, между прочим, полный по Тьюрингу :)

     
     
  • 4.29, User294 (ok), 13:01, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >XSLT, между прочим, полный по Тьюрингу :)

    Брэйнфак, кстати тоже.Давайте все резко начнем использовать брэйнфак в конфигах?Как бонус - враги и хакеры сойдут с ума при попытках разобраться со всем этим.Главное не сойти с ума самому :)

     
  • 2.19, vitek (??), 09:51, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем Вам универсальность в "самопальном" cfg?
    xml не добавит стабильности в работе ПО только потому, что на него перевели конфигурационный файл.
    а ini файлы и так достаточно универсальны и просты.
     
     
  • 3.22, Зилибоба (?), 10:13, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А главное Human Readable, что заложено в основу любой юникс системы. В unix way заложен принцип умопостижимости контекста, XML не отвечает этому принципу, соответственно XML - не unix way, хотя - пусть живет...
     
  • 2.43, Guest (??), 00:53, 20/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml

    C++ еще универсальней! А лучше Java!! Будем писать конфиги на Java!

     

  • 1.24, Аноним (11), 10:38, 19/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт :)
     
     
  • 2.25, Зилибоба (?), 10:42, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
    >:) нет, в целом XML хорошь, но не проходит тест на unix way совместимость =)
     
  • 2.28, ононим (?), 12:55, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
    >:)

    Цитата с ЛОР:
    "И как-то вдруг неожиданно приехало:
    Size: 931 KB
    A security issue has been identified in Microsoft XML Core Services (MSXML) that could allow an attacker to compromise your Windows-based system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
    More information for this update can be found at http://go.microsoft.com/fwlink/?LinkId=128803

    Хммм..."

    а вы говорите...

     
     
  • 3.30, I (?), 13:33, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?
     
     
  • 4.40, Michael Shigorin (ok), 20:23, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?

    По сравнению CVE-2007-0099 и патча для CVE-2008-4226 (в обоих случаях возможен memory corruption, только у MS вследствие race condition, а в libxml2 -- integer overflow) мне так не показалось, хотя тайминг действительно интересный получился...

     
  • 3.32, User294 (ok), 15:01, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >A security issue has been identified in Microsoft XML Core Services (MSXML)

    Господи, это в который раз то уже?Там по жизни полная ... с дырами.А на паре машин апдейтер вообще сломался - считает своим долгом после накатывания этого апдейта предложить его еще раз.Наверное для надежности, чтобы уж наверняка.При том не понятно как его все-таки убедить что этот апдейт уже установлен.MS - ахтунгисты покруче любых опенсорцников...

     
  • 2.31, anonymous (??), 14:44, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
    >:)

    Konechno eto proiski MS. Ili vy imeete na primete esche kogo nit'? :)

    PS: Vsemu svoe mesto. XML v instant messenger'ah, i v config'ah - zlo.

     
     
  • 3.34, anonymous (??), 16:40, 19/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >PS: Vsemu svoe mesto. XML v instant messenger'ah... - zlo.

    Свой нарисуй.

     

  • 1.33, Аноним (11), 16:39, 19/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему такой флейм, я обновился еще в 7:00 МСК
     
  • 1.45, grgdvo (?), 05:52, 20/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что вы на XML то все накинулись...?! Хороший способ представления структурированной информации во многих приложениях.

    Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование любого продукта хромает

     
     
  • 2.46, RedStalker_Mike (??), 09:17, 20/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А что вы на XML то все накинулись...?! Хороший способ представления структурированной
    >информации во многих приложениях.
    >
    >Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование
    >любого продукта хромает

    Согласен! Не стоит в чём то порицать средство - нужно порицать тех, кто его криво использует!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру