LINUX.ORG.RU

Целочисленное переполнение буфера в FreeBSD


0

0

Уязвимость позволяет локальному пользователю повысить свои привилегии на системе и вызвать отказ в обслуживании.

Целочисленное переполнение буфера обнаружено в функции "ffs_mountfs()". Злоумышленник может смонтировать специально сформированный UFS образ и вызвать отказ в обслуживании или выполнить произвольный код на системе.

Уязвимы: FreeBSD 6.1, возможно более ранние версии.

Способов устранения уязвимости не существует в настоящее время.

>>> Подробности

anonymous

Проверено: Shaman007 ()

Re: Целочисленное переполнение буфера в FreeBSD

Дыра

anonymous ()

Re: Целочисленное переполнение буфера в FreeBSD

Неактуально, по умолчанию в бзд монтировать девайсы/образы можно только с правами рута

JB ★★★★★ ()

Re: Целочисленное переполнение буфера в FreeBSD

Ну сейчас начнётся... ;)

SKYRiDER ★★★ ()

Re: Целочисленное переполнение буфера в FreeBSD

Очередная дыра в бзде, это хорошая новость!

anonymous ()

Re: Целочисленное переполнение буфера в FreeBSD

Предлагаю модераторам отключить доступ анонимусам.

soko1 ★★★★★ ()

Re: Целочисленное переполнение буфера в FreeBSD

>Очередная дыра в бзде, это хорошая новость!

"Кто-то ошибся - хорошо!" - психология ущербных.

А в бсд стало можно монтировать фс не из под рута?

anonymous ()

Re: Целочисленное переполнение буфера в FreeBSD

> А в бсд стало можно монтировать фс не из под рута?

Можно, но через жёпу. Правда hald уже портировали и надобность в ручном монтировании отпала

JB ★★★★★ ()

Re: Целочисленное переполнение буфера в FreeBSD

Данный пример доказывает не ущербность разработчиков FreeBSD, а правоту Вирта. Всё сегодняшнее ПО, которое чуть сложнее "Hello World", содержит дыры. Если невозможно математически доказать отсутствие дыры в программе на С (а на С++ тем более), то справедливо можно утверждать, что дыры в ней есть. Этот пример тем, кто не понимает (или не хочет) понять Вирта.

DyaDya ()

Re: Целочисленное переполнение буфера в FreeBSD

> Nicklaus Wirth is a Quiche Eater (c) культовый текст "Real Programmers Don't Use Pascal"

Ага. ПЫонэры бойкие пошли. Тот текст они ещё читали (или хотя бы слышали), но про предисторию и причины написания - ни бум бум. Интересно, вы и тот текст про C++ воспринимаете серьёзно?

atrus ★★★★★ ()

Re: Целочисленное переполнение буфера в FreeBSD

Ну, ничего страшного, люди работают..

MiracleMan ★★★★★ ()

Re: Целочисленное переполнение буфера в FreeBSD

>Ага. ПЫонэры бойкие пошли. Тот текст они ещё читали (или хотя бы слышали), но про предисторию и причины написания - ни бум бум. Интересно, вы и тот текст про C++ воспринимаете серьёзно?

Серьезность вообще симптом запущенного ФГМ. Если вам мой пост кажется очень серьезным, то по-моему, обитель добра и света вас заждалась.

paul7 ()

Re: Целочисленное переполнение буфера в FreeBSD

А вот интересно, как это integer overflow можно перевести как переполнение какого-то буфера?

Похоже, господа постеры новости не очень разбираются в предмете ... или в программировании вообще?..

yoush ()

Re: Целочисленное переполнение буфера в FreeBSD

Абассаться, по ссылке взлом рута из под рута!!!

bsdushka ()

Re: Целочисленное переполнение буфера в FreeBSD

Или целочисленное переполнение или переполнение буффера не всё сразу. Может всё таки авторы новостей начнут правильно писать. В оригинале кстате integer overflow никакого буффера нет и в помине.

Boost ()

Re: Целочисленное переполнение буфера в FreeBSD

спасибо, поржал :) продолжай в том же духе

W ★★★★★ ()

Re: Целочисленное переполнение буфера в FreeBSD

>Или целочисленное переполнение или переполнение буффера не всё сразу. Может всё таки авторы новостей начнут правильно писать. В оригинале кстате integer overflow никакого буффера нет и в помине.

+1

Последнее время тут чего только не увидишь, например в новости про QT было тоже самое "целочисленное переполнение буфера", в новости про PHP зачем-то аФтор нагло соврал, написав, что там "переполнение буффера", хотя на самом деле, там было переполнение локальной кучи (Для таких уязвимостей есть методы которые позволяють сделать их эксплуатацию практически невозможной).

ИМХО. Вывод один - модераторов которые такие "дизинфорирующие" новости как эта (не удивлюсь, если скоро увилим что-то типа "перезаполнение буфера целыми числами в ...") пропускают, следует подать на "курсы повышения квалификации".

dima_ky ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.