https://www.opennet.ru/openforum/vsluhforumID3/96220.html Доступны внеплановые выпуски стандартной Си-библиотеки (libc) Musl (http://www.musl-libc.org/) 1.0.3 (http://www.openwall.com/lists/musl/2014/06/06/3) и 1.1.2 (http://www.openwall.com/lists/musl/2014/06/06/4), в которых устранена критическая уязвимость (http://www.openwall.com/lists/musl/2014/06/06/5) (CVE-2014-3483), позволяющая организовать выполнение кода при обработке ответа от DNS-сервера. Уязвимость вызвана ошибкой в коде разбора DNS-запросов. Проблема выявлена разработчиками Musl в процессе переработки связанных с резолвером внутренних функций. <br><br><br><br>Проблема присутствует начиная с выпуска Musl 0.9.13 и проявляется в приложениях, связанных с musl libc и осуществляющих DNS-запросы через штатные вызовы getaddrinfo, getnameinfo, gethostbyname, gethostbyaddr и т.п. Эксплуатация уязвимости возможна только в конфигурациях, в которых в числе DNS-серверов, используемых в качестве резолверов и прописанных в resolv.conf, присутствуют подконтрольные атакующему DNS-серверы. Эксплуатация также возможна, если ата https://www.opennet.ru/openforum/vsluhforumID3/96220.html#25 Mon, 09 Jun 2014 15:03:17 GMT Для скептиков, проект то новый и багу нашли, в отличие от баков которые например в ядре живут более 5 лет и их ни кто почти не замечает. Ошибки это часть процесса любого, и программирование не исключение.<br> https://www.opennet.ru/openforum/vsluhforumID3/96220.html#22 Sun, 08 Jun 2014 05:29:33 GMT &gt;&gt; Вы тут видите слово secure?<br>&gt; Да, а еще мы видим новость. Что может быть хуже для тех <br>&gt; кто козырял "secure" в этой области как раз и облажаться по <br>&gt; крупному? :)<br><br>где козыряли? и где &#171;облаж по крупному&#187;? да, баг. требующий настолько убитой системы, что&#8230; если атакующий смог прописаться в resolv.conf, то баг в musl &#8212; это одна из последних вещей, о которых стоит размышлять.<br> https://www.opennet.ru/openforum/vsluhforumID3/96220.html#21 Sun, 08 Jun 2014 05:27:24 GMT &gt; Ну вот потому и надо сто раз подумать прежде чем начинать делать <br>&gt; очередную "альтернативу". А подумав - вместо этого включаться в разработку существующего.<br><br>действительно, как посмели?! кто разрешил?! не умеешь писать без ошибок &#8212; не пиши своё, добавляй ошибки другим!<br> https://www.opennet.ru/openforum/vsluhforumID3/96220.html#19 Sat, 07 Jun 2014 22:39:18 GMT &gt; Вы тут видите слово secure?<br><br>Да, а еще мы видим новость. Что может быть хуже для тех кто козырял "secure" в этой области как раз и облажаться по крупному? :)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/96220.html#18 Sat, 07 Jun 2014 22:38:22 GMT Это не новость, это костыль для затыкания другого бага "по бырому". <br> https://www.opennet.ru/openforum/vsluhforumID3/96220.html#17 Sat, 07 Jun 2014 17:42:16 GMT http://wiki.musl-libc.org/wiki/Bugs_found_by_musl<br> https://www.opennet.ru/openforum/vsluhforumID3/96220.html#16 Sat, 07 Jun 2014 17:40:43 GMT Они подумали.<br><br>&gt;It is lightweight, fast, simple, free, and aims to be correct in the sense of standards-conformance and safety. <br><br>Вы тут видите слово secure?<br> https://www.opennet.ru/openforum/vsluhforumID3/96220.html#15 Sat, 07 Jun 2014 16:35:34 GMT Ну вот потому и надо сто раз подумать прежде чем начинать делать очередную "альтернативу". А подумав - вместо этого включаться в разработку существующего.<br> https://www.opennet.ru/openforum/vsluhforumID3/96220.html#14 Sat, 07 Jun 2014 13:55:56 GMT иногда такие "фичи"(но не баги) - главная причина появления проектов и вложений в него.<br>если внимательно проследить КТО и Как, поддерживает.<br>