LINUX.ORG.RU

Удаленная уязвимость в подсистеме 802.11 FreeBSD


0

0

Сетевая подсистема IEEE 802.11 во FreeBSD обеспечивает работу беспроводных протоколов. Код обработки beacon фреймов и probe response фреймов подвержен переполнению буфера. Это может сказаться, например, во время сканирования наличия беспроводных сетей. Как результат, атакующий, способный броадкастить специально сформированные фреймы вышеуказанных типов, может выполнить произвольный код в контексте ядра системы.
Воркэраундов нет, рекомендуется обновить систему до RELENG_6 или RELENG_6_0.

>>> официальный адвайзори

★★

Проверено: ivlad ()

Category: core
Module: net80211
Announced: 2006-01-18
Credits: Karl Janmar
Affects: FreeBSD 6.0
Corrected: 2006-01-18 09:03:15 UTC (RELENG_6, 6.0-STABLE)
2006-01-18 09:03:36 UTC (RELENG_6_0, 6.0-RELEASE-p3)
CVE Name: CVE-2006-0226


W ★★★★★
()
Ответ на: комментарий от anonymous

>a tam security ne osnovnaya v project goals.

ааа, ну тогда другое дело - все вопросы сняты :)

Pi ★★★★★
()
Ответ на: комментарий от anonymous

Вот придурки ! Сами то написали, хоть строчку?

Дыры есть везде. Если дыру не обнаружили, то это не значит, что её нет. Молдцы, что не молчат. Исправили и делов.

anonymous
()

судя по комментариям - у половины посетителей linux.org.ru чужое горе двойная радость

Yilativs ★★★★
()
Ответ на: комментарий от anonymous

За*али красноглазые войны! Оленизм... имха...

GH
()
Ответ на: комментарий от anonymous

> Дыры есть везде. Если дыру не обнаружили, то это не значит, что её нет. Молдцы, что не молчат. Исправили и делов.

Для этого придумали доказательство. Только огромное число "программеров" об этом не знаю, поскольку в лучшем случае, они доучились до 3-ого курса, после чего вылетели.

К FreeBSD team претензий не предъявляю. К сожалению, увы, погоня за фичами, похоже, всегда влияет негативно на качество кода, особенно с языками (типа С), где так легко сделать ошибку (просто по невнимательности). Хоть я и не люблю BSD, но зубоскалить причин не вижу.

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

Ок, предложи другой язык, чтобы работал на так же быстро, как и C, но где не делаются ошибки по невнимательности:)

krum
()
Ответ на: комментарий от annoynimous

> Хоть я и не люблю BSD, но зубоскалить причин не вижу.

Я так думаю, зубоскальство по данному поводу ориентировано на вполне конкретных личностей, которые любят позубоскалить про Linux. Не более того. :-)

AS ★★★★★
()
Ответ на: комментарий от krum

>Ок, предложи другой язык, чтобы работал на так же быстро, как и C, но где не делаются ошибки по невнимательности:)

Питон и Джава, ха-ха! А, еще Лисп рулит!

Сейчас понабежит куча фанатиков, которые будут всем и вся доказывать, какие это продвинутые языки и как на них круто писать.

Вот только ОС как писали на С, так и будут писать, а самое забавное -- что это от мнения анонимных (и не очень) АНАЛитиков ЛОРа не зависит никак.

anonymous
()
Ответ на: комментарий от anonymous

Конечно есть всякие Singularity на c# и Sing#, а также BlueBottle на oberon, есть даже какая на lisp. Но где эти ОС?

krum
()

а где подсолнух ? то есть санч ?
а нука вылазь "это все фигня вот зато у вас в линаксе "
:)

anonymous
()
Ответ на: комментарий от anonymous

Нужен не язык, в котором не делаю ошибки "по невнимательности", а язык, компилятор которого этих ошибок не пропускает. Чтобы тупую и нудную работу выполнял компьютер, а не человек.

А доказывать чего-то кому-то нет смысла. Идиотов слишком много.

annoynimous ★★★★★
()
Ответ на: комментарий от anonymous

>> Ок, предложи другой язык, чтобы работал на так же быстро, как и C,
>> но где не делаются ошибки по невнимательности:)

> Питон и Джава

правильно мыслишь - держи пирожок :)
пройдет всего немного времени (5-10 лет) и оси будут писать на языках удобных для программиста а на процессорные ресурсы и память внимание будут обращать только идиоты

тенденция с явой еще никого похоже ничему не научила

anonymous
()

Почему-то меня это не удивляет.

FreeBSD уже не тот что во времена 4.x... Каждую неделю дыру находят...

McGray ★★
()
Ответ на: комментарий от anonymous

>пройдет всего немного времени (5-10 лет) и оси будут писать на языках удобных для программиста а на процессорные ресурсы и память внимание будут обращать только идиоты

Да-да. Свежо придание, уже тридцать лет обещают, что С вымрет.

>тенденция с явой еще никого похоже ничему не научила

И не научит. Потому, что нет универсального ЯП.

anonymous
()
Ответ на: комментарий от McGray

> FreeBSD уже не тот что во времена 4.x... Каждую неделю дыру находят...

Давай посчитаем.

С момента релиза 6.0-RELEASE за два месяца выпущено 5 (пять) Security Advisories (SA).

За два месяца после выхода 5.0-RELEASE -- шесть SA.

За два месяца после выхода 4.0-RELEASE -- 20 (двадцать!) SA.

И смею тебя заверить, эффективность работы release engineering и security teems за прошедшее с 4.0 время только увеличилась. Как, собственно, и codebase.

То, что в некоторых подсистемах в первую очередь стремятся к функциональности, совсем не говорит, что забывают про безопасность. Пример -- данная новость.

baka-kun ★★★★★
()

80211-layer довольно новый, и написан в системе "с нуля". Если в нем находят баги, значит, идет аудит кода. Так что все нормально :)

toxa ★★
() автор топика
Ответ на: комментарий от Sorcerer

Не обновлять, а отогревать и успокаивать, что все будет ок, и на такой высоте нах его никто ломать не будет ;)

anonymous
()
Ответ на: комментарий от annoynimous

Молодой человек, Вы Брукса-то читали ? Очевидно, нет, иначе знали бы, что аналитическая верификация кода немного дала в индустриии ПО. Кроме того, почаще вспоминайте фразу Кнута "Beware of the code above. I proved it to be correct, not tested it."

anonymous
()
Ответ на: комментарий от anonymous

> дАлой исчадие ада из стаи пингвинов.org.ru!

Правда что... Пора с анАнимами заканчивать. Особенно в свете нового закона Буша младшего.

baka-kun ★★★★★
()
Ответ на: комментарий от anonymous

То, что в данный момент прогресс невелик, еще не доказывает неверность подхода. Да и кроме того, согласитесь, что на данный момент прикладное программирование - в большой мере ремесло, которым с большим или меньшим успехом занимается армия кустарей. Вот и нет пользы от науки, поскольку всем надо здесь и сейчас. Я не говорю, что надо заниматься теорией, а не практикой. Просто давление практической необходимости в данный исторический период значительно выше равновесного.

Вон, смотрите, на инженеров учат в вузах, надо сдавать там всякие экзамены, защищать квалификационные работы, и то тебя не сразу плотину спроектировать попросят. А "программером" себя считает чуть ли не каждый молокосос без среднего образования.

annoynimous ★★★★★
()

молодцы! ищут и нахордят. то есть работают над системой, так держать

anonymous
()
Ответ на: комментарий от annoynimous

> К сожалению, увы, погоня за фичами, похоже, всегда влияет негативно на качество кода, особенно с языками (типа С), где так легко сделать ошибку (просто по невнимательности).

Ну пишите тогда на паскале, раз такие проблемы :)

anonymous
()
Ответ на: комментарий от annoynimous

Неверность подхода - не доказывает. А как насчет эффективности? :-) Почему же не получили распространение функциональные языки программирования, отлично вписывающиеся в матмодели и позволяющие доказывать код ? К сожалению, теория с практикой расходятся.

P.S. Long live FreeBSD. :-)

anonymous
()
Ответ на: комментарий от anonymous

> Неверность подхода - не доказывает. А как насчет эффективности? :-) Почему же не получили распространение функциональные языки программирования, отлично вписывающиеся в матмодели и позволяющие доказывать код ? К сожалению, теория с практикой расходятся.

Уважаемый, не путайте эффективность с массовостью. Гораздо дешевле нанаять 10 обезьянок, чем 1 специалиста, а еще гораздо дешевле купить новый комп для кривого и тупого кода, написанного 1 обезьяной на месте нормального программера. А "пипл хавает", поскольку геймерам и домохозяйкам не приходит в голову ебать производителя за кривой код.

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

А много ли вообще было дел, поданных потребителями на производителей софта? Да и не кажется мне, что никто, кроме нас с Вами, про верификацию кода не в курсе. :-)

anonymous
()
Ответ на: комментарий от anonymous

> А много ли вообще было дел, поданных потребителями на производителей софта? Да и не кажется мне, что никто, кроме нас с Вами, про верификацию кода не в курсе. :-)

О, умный человек тоже задумался. Смотрите: на Макдональдс в суд подают, на производителей автомобилей, пылесососов, да всего что угодно, - подают. Одни производители софта и звукозаписывающие студии пользователей ебут. А я хочу вздручить Майкла Джексона - купил его диск, и никакого удовольствия! Куда мне его вернуть и получить компенсацию за моральный ущерб? А повисший офис? А упавшая винда? Кто оплачивает мой пропавший труд?

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

Afair, потребитель взыскивает ущерб с системного интегратора, сдавшего этому потребителю все хозяйство "под ключ". В других случаях - да, проблемы.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.