https://www.opennet.ru/openforum/vsluhforumID3/104781.html В Bugzilla (http://www.bugzilla.org/), платформе для ведения базы данных ошибок, контроля за их исправлением и общего координирования процесса разработки, выявлена (http://blog.perimeterx.com/bugzilla-cve-2015-4499) критическая уязвимость (https://www.bugzilla.org/security/4.2.14/) (CVE-2015-4499 (https://bugzilla.mozilla.org/show_bug.cgi?id=1202447)), дающая возможность завести привилегированный аккаунт, имеющий доступ к закрытой информации, например, к непубличным обсуждениям неисправленных уязвимостей. Эффект от указанной уязвимости напоминает раскрытую (https://www.opennet.ru/opennews/art.shtml?num=42912) несколько недель назад атаку на Bugzilla, в результате которой злоумышленники получили доступ к информации о неисправленных уязвимостях в Firefox в результате перехвата пароля одного из пользователей.<br><br><br>Уязвимость уже устранена (https://www.bugzilla.org/news/#release501) в выпусках Bugzilla 5.0.1, 4.4.10 и 4.2.15. Суть проблемы в том, что при сохранении в MySQL логин/email молча обрезается до 255 симв https://www.opennet.ru/openforum/vsluhforumID3/104781.html#28 Sun, 20 Sep 2015 02:58:13 GMT а потому что не надо экономить на DBA. даже стадо хипстеров не заменит одного специалиста.<br> https://www.opennet.ru/openforum/vsluhforumID3/104781.html#27 Fri, 18 Sep 2015 22:14:08 GMT Вы коммит то смотрели?<br><br>Там проверка была вот такая:<br>my $ret = ($addr =~ /$match/ && $email !~ /\P{ASCII}/ && $email =~ /^$addr_spec$/);<br><br>стала вот такая:<br>$addr =~ /$match/<br>+ && $email !~ /\P{ASCII}/<br>+ && $email =~ /^$addr_spec$/<br>+ && length($email) &lt;= 127)<br><br>Вы хоть обпроверяйтесь от забывчивости, невнимательности и просто от того что схема БД может со временем менятся это не спасет. Правильный ответ уметь тюнить базу, чтоб она не обрезала данные если не может по какой либо причине сохранить, лучше пусть SQL error кажет.<br> https://www.opennet.ru/openforum/vsluhforumID3/104781.html#24 Fri, 18 Sep 2015 17:47:04 GMT &gt; Решит все проблемы<br><br>Все проблемы решит проверять ввод. <br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/104781.html#23 Fri, 18 Sep 2015 17:45:27 GMT Этим &#8212; нет.<br>Но они ж не одни на свете живут.<br> https://www.opennet.ru/openforum/vsluhforumID3/104781.html#22 Fri, 18 Sep 2015 16:35:44 GMT Да, в новости об этом написано.<br> https://www.opennet.ru/openforum/vsluhforumID3/104781.html#21 Fri, 18 Sep 2015 16:35:12 GMT &gt; Решит все проблемы <br><br>Странно, проблему беженцев что-то плохо решает. FAIL.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/104781.html#20 Fri, 18 Sep 2015 16:29:06 GMT Ну что, заспорим что ЭТИМ программистам никакой Rust не поможет?<br> https://www.opennet.ru/openforum/vsluhforumID3/104781.html#19 Fri, 18 Sep 2015 13:37:53 GMT а как же ACID ?<br> https://www.opennet.ru/openforum/vsluhforumID3/104781.html#18 Fri, 18 Sep 2015 13:21:33 GMT Минусы за Perl или mailru?<br>