| |
| 2.2, Аноним (-), 22:31, 13/02/2011 [^] [^^] [^^^] [ответить]
| +/– |
В то время о котором ведется речь, еще был Sun, это его зона ответственности, а не Oracle.
| | |
|
| 1.3, Zenitur (?), 22:36, 13/02/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Случай интересный. Но в Java с каждым корректирующим релизом исправляют от полусотни до нескольких сотен ошибок, так что не для главной.
| | |
| |
| 2.4, User294 (ok), 22:52, 13/02/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
 В яве с каждым релизом чинят кучу критичных ошибок, вплоть до выхода из песочницы. Так было и видимо так и дальше будет. Особенно доставил комент изена на хабре про то что задачу, дескать, можно снять и курсор, дескать двигается :))).
| | |
| 2.7, gegMOPO4 (ok), 22:59, 13/02/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Плохо то, что это сверхкритическая ошибка, легко можно завесить любое приложение, принимающее нецелые числа от пользователя. В том числе даже сам сервер приложений.
| | |
|
| |
| |
| 3.10, klalafuda (?), 23:35, 13/02/2011 [^] [^^] [^^^] [ответить]
| +7 +/– | |
> А если бы эксплойт приводил не к зависанию, а к взрыву процессора?
Искусство - оно сцуко такое. Требует жертв. И они всегда находятся..
PS: Самым эффективным способом распространения малваря на линуксе будет пост на исходники в соотв. ньюсах включая опеннет. Сработает на 100%. И, уверен, по нескольку раз.
| | |
| 3.31, User294 (ok), 21:50, 14/02/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А если бы эксплойт приводил не к зависанию, а к взрыву процессора?
А это вам уже к господам из фирмы Интел. Они работают над этой возможностью (ака удаленная блокировка процессора). Вы ведь этого хотели, правда? :)
| | |
|
|
| 1.6, gegMOPO4 (ok), 22:56, 13/02/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Долго же эта новость ползла до опеннета.
Для Томката уже вышла версия, прикрывающая дыру с уязвимостью в заголовках запроса.
Прямо сейчас обезопасить приложения можно, воспользоваться костылём, -- подсунуть через -Xbootclasspath/p: архив jar cо скомпилированным исправленным sun.misc.FloatingDecimal.
Вот то, что в Оракле так долго возятся с элементарным патчем, -- очень печально.
| | |
| |
| 2.13, iZEN (ok), 00:50, 14/02/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >Вот то, что в Оракле так долго возятся с элементарным патчем, -- очень печально.
Неправда.
Порты JDK в коллекции портов FreeBSD были обновлены 9 февраля. Мне пришлось ждать перекомпиляции установленного OpenJDK6.
| | |
|
| 1.9, pavlinux (ok), 23:05, 13/02/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
 > Выход официального обновления Java SE запланирован на 15 февраля, до этого момента можно использовать.
Спасибо. :)
| | |
| |
| 2.32, User294 (ok), 21:57, 14/02/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>до этого момента можно использовать.
...дыры на серверах :))) //ваш Кэп :)
| | |
|
| 1.12, iZEN (ok), 00:46, 14/02/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
L.O.R. сегодня падал несколько раз. Подозреваю, что проблема в непропатченной Java и устаревшем Tomcat, который они любят использовать, вместо того, чтобы перейти на Jetty7.
| | |
| |
| |
| 3.33, User294 (ok), 22:05, 14/02/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Jetty7 тока вылупился - пусть усы отрастит как у кота сначало :)
А у вас вообще ус отклеился с таким то ником :)
| | |
|
|
| 1.17, Tav (ok), 02:09, 14/02/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Я так понимаю, причины ошибки в PHP были несколько иными.
Для Fedora уже доступно обновление OpenJDK с исправлением уязвимости.
| | |
| |
| 2.20, ram_scan (?), 09:48, 14/02/2011 [^] [^^] [^^^] [ответить]
| +/– | |
Причины ошибки - бага в сопроцессоре.
Заклинивать будет абсолютно любую программу которая пытается манипулировать с этими числами с помощью x87 арифметики если в ней нет воркэраунда.
| | |
| |
| 3.21, Андрей (??), 11:19, 14/02/2011 [^] [^^] [^^^] [ответить]
| +/– |
Если это "бага в сопроцессоре" - то в чьей реализации? Intel? AMD? (не считаем остальных пока :) ) У обоих?
В пыхпых лечилось пересборкой с CFLAGS="... -mfpmath=sse ...". Тут бинарники распространяются...
| | |
| 3.25, безимени (?), 13:35, 14/02/2011 [^] [^^] [^^^] [ответить]
| +/– |
Как мне кажется (после беглого взгляда на патч), проблема в программистах, которые не учли что по стандарту IEEE 754 существуют денормализованные числа с плавающей точкой (80 битные). При записи в память или при использовании SSE такие числа обнуляются...
| | |
| |
| 4.28, ram_scan (?), 14:14, 14/02/2011 [^] [^^] [^^^] [ответить]
| +/– | |
Там есть неоднозначность представления чисел -0, 0 и +0. И грабли такие вылезают только при работе с x87. MMX-SSE - нормально.
Теоретически грабли только в интелях на x86 архитектуре.
| | |
|
|
|
| 1.19, безимени (?), 08:46, 14/02/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> такого кода "double d = 2.2250738585072012e-308; System.out.println("Value: " + d);".
Хороший код... У меня старый NetBeans просто виснет если его вставить в текст программы.
Даже компилировать и запускать не надо - парсер тоже на непатченной яве работает.
| | |
| 1.24, bvf (?), 12:53, 14/02/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А в новости нет ошибки? Действительно об ошибка знали с 2000-го года? Это же (матерные выражения)! Хотя ошибка не так критична если о ней знать, в коде можно легко обезопасить себя от намеренных взломов. Но блин зачем же и так усложнять жизнь. Я люблю сложные квесты, но не настолько :)
| | |
| |
| 2.29, dd (??), 14:36, 14/02/2011 [^] [^^] [^^^] [ответить]
| +/– |
>Хотя ошибка не так критична если о ней знать,
>в коде можно легко обезопасить себя от намеренных взломов.
Каким образом? Если в программе предусмотрен ввод чисел (будь то GUI или HTTP request - не важно), то прежде чем начнет выполнятся Ваш безопасный код, "неправильное" число будет обработано небезопасным кодом (из стандартных бибилиотек или Tomcat'а).
| | |
|
| 1.27, Аноним (-), 13:55, 14/02/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Можно подумать, это единственная ошибка такого возраста. У одной ошибки возраст в аккурат с 95го года... ;)
| | |
|
