OpenForum RSS: В glibc остается неисправленной уязвимость, найденная больше... https://www.opennet.ru/openforum/vsluhforumID3/59134.html Maksymilian Arciemowicz, весной прошлого года сообщивший о наличии уязвимости (http://www.opennet.ru/opennews/art.shtml?num=15012) в системной библиотеке libc из состава FreeBSD, спустя год сообщил (http://securityreason.com/achievement_securityalert/67), что данная проблема также присутствует и остается до сих пор не исправленной в GNU C Library (glibc). Уязвимость вызвана (http://www.securityfocus.com/bid/36443/solution) наличием целочисленного переполнения в функции strfmon(), которое может привести к выполнению кода злоумышленника.<br><br><br>Уязвимости присвоена (http://secunia.com/advisories/29574/) незначительная степень опасности, так как для ее эксплуатации требуется достаточно маловероятное полное отсутствие проверки аргументов, передаваемых редкоиспользуемой функции strfmon(), применяемой для преобразования форматов задания денежных величин. Например, уязвимость может быть эксплуатирована через PHP скрипт, в котором пользовательские данные без проверки передаются в функцию money_...<br><br>URL: http://www.sec В glibc остается неисправленной уязвимость, найденная больше... (User294) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#19 Wed, 07 Oct 2009 13:46:28 GMT Красиво отмазываетесь, сэр :)<br> В glibc остается неисправленной уязвимость, найденная больше... (netch) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#18 Thu, 24 Sep 2009 18:26:11 GMT <br>&gt; может наоборот?<br><br>Учите матчасть: наоборот лицензия не позволит. Да и не нужен фряшникам дрепперовский кошмар.<br> В glibc остается неисправленной уязвимость, найденная больше... (IIIenapg) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#16 Tue, 22 Sep 2009 22:42:50 GMT т.е. патч уже готов, он тестируется<br> В glibc остается неисправленной уязвимость, найденная больше... (IIIenapg) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#15 Tue, 22 Sep 2009 22:41:56 GMT А по этому поводу secteam тестирует патч. Эксплоита нет и технических деталей не разглашается.<br> В glibc остается неисправленной уязвимость, найденная больше... (vitek) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#14 Tue, 22 Sep 2009 17:19:01 GMT со среды вроде немного времени прошло...<br>http://www.opennet.ru/opennews/art.shtml?num=23443<br> В glibc остается неисправленной уязвимость, найденная больше... (SAS) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#13 Tue, 22 Sep 2009 17:04:22 GMT FreeBSD 6.4/7.2/8 php 4 - никакой реакции, FREEBSD ROСKs !!<br> В glibc остается неисправленной уязвимость, найденная больше... (crypt) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#12 Tue, 22 Sep 2009 12:44:17 GMT 32 бита, centos с апдейтами - работает, то есть падает<br> В glibc остается неисправленной уязвимость, найденная больше (vitek) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#11 Tue, 22 Sep 2009 12:42:01 GMT вот ещё для размышлений:<br>http://drupal.ru/node/34067<br> В glibc остается неисправленной уязвимость, найденная больше... (uldus) https://www.opennet.ru/openforum/vsluhforumID3/59134.html#10 Tue, 22 Sep 2009 11:17:34 GMT &gt;gentoo на amd64, не сработало <br><br>насколько я понимаю оно только на 32-bit будет работать.<br><br>PS. Сейчас проверил на самом старом, что завалялось в архивах, на Red Hat 7.0 работает - Segmentation fault (core dumped), на более старом PHP нет.<br>