https://mobile.opennet.me/openforum/vsluhforumID3/102579.html В утилите sort, поставляемой в составе GNU Coreutils c используемым во многих дистрибутивах патчем i18n, выявлена (http://seclists.org/oss-sec/2015/q2/466) уязвимость (https://bugzilla.suse.com/show_bug.cgi?id=928749), которая может привести к переполнению буфера при обработке входных данных, содержащих UTF8-символы с большими кодами. Наличие проблемы подтверждено в openSUSE, RHEL и Fedora. Для устранения уязвимости подготовлен патч (https://github.com/pixelb/coreutils/commit/bea5e36c). <br><br><br>Протестировать подверженность дистрибутива проблеме можно при помощи команды:<br><br>&lt;font color="#461b7e"&gt;<br> printf '%s\n' a &#593; &#124; MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f<br><br> Error in `sort': free(): invalid next size (fast): 0x0000000000947ff0 <br><br>&lt;/font&gt;<br><br><br><br>URL: http://seclists.org/oss-sec/2015/q2/466<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=42235<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#72 Wed, 20 May 2015 05:47:45 GMT I will never go out of business in this country. thanks to Microsoft. who would have thought that wincalcis vulnerable? I have not checked all systems yet, so this is my configuration: Windows 7 Ultimate SP1 x86-64, English.<br><br>1) run calc.exe;<br>2) press &#8220;Alt-2&#8243; to go to &#8220;Scientistic&#8221; mode (&#8220;Programmer&#8221; mode works too);<br>3) type &#8220;1/255&#8243; and press [ENTER] or [=]<br>4) press the button [F-E];<br><br>http://nezumi-lab.org/blog/?p=239<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#71 Tue, 19 May 2015 18:30:39 GMT &gt; В Мак0Си<br>&gt; Жырная Жопа<br><br>Ты сюда себя порекламировать пришёл, затейник?<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#70 Mon, 18 May 2015 13:37:31 GMT &gt; Тот самый патч, который породил данную новость?<br><br>Ну что поделать, баги бывают везде.<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#69 Mon, 18 May 2015 08:21:38 GMT Тот самый патч, который породил данную новость?<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#68 Sun, 17 May 2015 11:11:17 GMT В Мак0Си всё раб0тает:<br><br>MacBook-1:~ a1$ printf '%s\n' a &#593; &#124; MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f<br>a<br>&#593;<br>MacBook-1:~ a1$<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#67 Sun, 17 May 2015 07:59:37 GMT В Gentoo ~amd64 и ~x86 тоже:<br><br>$ printf '%s\n' a &#593; &#124; MALLOC_CHECK_=1 LC_ALL=en_US.utf8 sort -f<br>&#593;<br>a<br><br>Похоже, уязвимость только в сильно умных дистрах, лепящих сторонние патчи направо и налево.<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#66 Sat, 16 May 2015 14:29:04 GMT &gt;&gt; никому не удавалось.<br>&gt; Зато редхату, блин, удалось. Повесить баг отсутствовавший в оригинале.<br><br>Баги есть везде. И их патч я хотел бы видеть в Debian, чтобы не приходилось привлекать утилиты из Plan 9 (9base) или Heirloom, когда мне нужна поддержка UTF-8 в tr.<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#65 Sat, 16 May 2015 13:15:59 GMT &gt; Страшно жить, почему в калькуляторе винды не находят уязвимостей?<br><br>Так микрософт в бетаверсии десятки просто отсылает себе все нажатия клавиш. Зачем им при этом уязвимости? Они и так при таком раскладе узнают что ты в калькуляторе считал, если им это станет интересно.<br> https://mobile.opennet.me/openforum/vsluhforumID3/102579.html#63 Sat, 16 May 2015 13:14:07 GMT &gt; Во, а кого-то тем временем уже в мозгу уязвимость расплодилась <br><br>Его микрософт уже поимел - если это десятка, бета, то она отсылает на сервера микрософта все, вплоть до нажатий клавиш. Ломать такую систему бесполезно - с пола упасть нельзя.<br>