https://slinkov.ru/openforum/vsluhforumID3/110730.html Разработчики Fedora Linux столкнулись (https://lists.fedoraproject.org/archives/list/devel-announce@lists.fedoraproject.org/thread/ZB4AC75UT3LM7POTITXOI25TCUXAUA75/) с заслуживающей внимания проблемой, связанной с ненадлежащей работой предоставляемых в GCC дополнительных проверок для блокирования проблем, вызванных ошибками форматирования строки. Начиная с Fedora 21 пакеты в дистрибутиве собираются (https://fedoraproject.org/wiki/Changes/FormatSecurity) с опцией "-Werror=format-security", которая приводит к выводу ошибки в случае выявления компилятором GCC проблем с форматированием строк, которые потенциально могут привести к появлению уязвимостей. <br><br><br>В процессе тестирования новой ветки Fedora, в которой будет задействован GCC 7 (релиз GCC 7 ожидается в апреле), разработчики столкнулись с ошибкой, вызванной тем, что флаг "-Werror=format-security" игнорировался при определённом стечении обстоятельств. В итоге возникла ситуация когда массовая пересборка всех пакетов проходила без ошибок, но фактически сборка https://slinkov.ru/openforum/vsluhforumID3/110730.html#56 Tue, 21 Mar 2017 06:59:19 GMT Вот слава Аллаху, что эти времена проходят. Сейчас осталось только две программные платформы: POSIX и Windows. Жду не дождусь, когда последняя или сдохнет, или переродится в POSIX. Это будет оргазм для системного программиста<br> https://slinkov.ru/openforum/vsluhforumID3/110730.html#55 Mon, 20 Mar 2017 21:46:50 GMT &gt; Поглядим, что из этого выйдет<br><br>Вендузятник должен не поглядеть, а страдать.<br><br><br> https://slinkov.ru/openforum/vsluhforumID3/110730.html#54 Mon, 20 Mar 2017 18:39:38 GMT Ну так уязвимости форматных строк - сродни XSS в браузерах. Не давайте пользователю заполнять формат, и всё будет хорошо.<br> https://slinkov.ru/openforum/vsluhforumID3/110730.html#53 Mon, 20 Mar 2017 15:42:23 GMT &gt; Интересно, я один не врубался, о каких "проблемах с форматированием строк" речь, <br>&gt; пока не посмотрел в man gcc?<br><br>Нет, вас таких много:<br>https://www.cvedetails.com/google-search-results.php?q=format+string&sa=Search<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID3/110730.html#51 Mon, 20 Mar 2017 12:35:34 GMT Зачем MS какие-то стандарты? Они сами - стандарт!<br> https://slinkov.ru/openforum/vsluhforumID3/110730.html#50 Mon, 20 Mar 2017 11:32:54 GMT Рекомендую почитать:<br>https://www.securecoding.cert.org/confluence/display/c/FIO30-C.+Exclude+user+input+from+format+strings<br>Там ещё много интересного.<br> https://slinkov.ru/openforum/vsluhforumID3/110730.html#49 Mon, 20 Mar 2017 11:27:23 GMT Нет, поправили древний баг, после чего стала собираться кучка пакетов с дырявым кодом, который должен был зафейлить сборку.<br> https://slinkov.ru/openforum/vsluhforumID3/110730.html#48 Mon, 20 Mar 2017 11:04:10 GMT Уж сколько лет известно об printf format string уязвимостях, а люди упорно используют printf даже в С++ программах, вместо iostreams.<br> https://slinkov.ru/openforum/vsluhforumID3/110730.html#45 Mon, 20 Mar 2017 10:04:15 GMT Интересно, я один не врубался, о каких "проблемах с форматированием строк" речь, пока не посмотрел в man gcc?<br>