The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Perl и проблемы безопасности связанные с  функцией..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Perl и проблемы безопасности связанные с  функцией..."
Сообщение от opennews on 13-Дек-05, 13:39 
Спустя несколько недель после обнаружения (http://dyadsecurity.com/webmin-0001.html) критической уязвимости в Webmin, связанной с возможностью использования (http://dyadsecurity.com/perl-0002.html) классических атак типа "format string" и "integer overflow" для Perl функций использующих для своей работы sprintf(),  сообщество Perl Foundation объявило (http://www.perlfoundation.org/news/2005/webmin_flaw_alleviated.html) о выпуске ряда патчей (работа над патчами пока не закончена), направленных, для предотвращения подобных атак, связанных с отсутствием в скриптах проверки получаемых от пользователя данных.


В базовую поставку Perl включен обновленный модуль Sys::Syslog (http://search.cpan.org/dist/Sys-Syslog), содержащий защиту от атак связанных с форматированием строк (в Webmin проблемы были из-за передачу в функцию syslog() непроверенных параметров).


URL: http://www.perlfoundation.org/news/2005/webmin_flaw_alleviated.html
Новость: http://www.opennet.me/opennews/art.shtml?num=6616

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Perl и проблемы безопасности связанные с  функцией sprintf"
Сообщение от Perlnewbie on 13-Дек-05, 13:39 
Если мне память не изменяет об этом еще дедушка Касперский писал...
Cообщить модератору | Наверх | ^

2. "Perl и проблемы безопасности связанные с  функцией sprintf"
Сообщение от Остров on 13-Дек-05, 14:11 
Это проблемы были актуальны примерно год назад.
Cообщить модератору | Наверх | ^

3. "Perl и проблемы безопасности связанные с  функцией sprintf"
Сообщение от Rush (??) on 13-Дек-05, 17:33 
да и WebMin пользуют только дети дошкольного возраста на уроках для чайников...
Cообщить модератору | Наверх | ^

4. "Perl и проблемы безопасности связанные с  функцией sprintf"
Сообщение от ksp email on 14-Дек-05, 10:14 
Webmin - крайне удобная и полезная штука. Не использовать такой инструмент просто глупо.
Cообщить модератору | Наверх | ^

7. "только дети дошкольного (+)"
Сообщение от Otto Katz Feldkurat on 15-Дек-05, 15:40 
именно поэтому, видимо, SUN и является основным соинвестором и корпоративным поставщиком Webmin. Для детишек со 128 процессорными системами.

Сколько у тебя активного юзверя онлайн сию сек? 1000, 58000, 355, двое?

Вот когда будешь справляться с сотней офисных юзверей онлайн, работающих с документами на далеком сервере, тогда и потрещишь.

Cообщить модератору | Наверх | ^

5. "Perl и проблемы безопасности связанные с  функцией sprintf"
Сообщение от guest (??) on 14-Дек-05, 14:19 
глупо - не глупо, но на настроеной системе он совсем не нужен, разве что как движок для интерфейса к mldonkey.
Cообщить модератору | Наверх | ^

8. "на настроеной системе он совсем не нужен"
Сообщение от Otto Katz Feldkurat on 15-Дек-05, 15:46 
>глупо - не глупо, но на настроеной системе он совсем не нужен,
>разве что как движок для интерфейса к mldonkey.

Да-да! Монитор, клаву и KVM'ы вынести их серверной сегодня же!

Головки винтов на "настроенных" стойках посрубать зубилом!

Дверцы силовых шкафы заварить! Замки в дверях заклепать!

Аминь.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру