LINUX.ORG.RU

Уязвимость в GnuPG


0

0

Используя кривые OpenPGP пакеты, атакующий может модифицировать указатель на функцию в GnuPG. Эта уязвимость может быть использована удалённо.

Уязвимые версии: все версии GnuPG < 1.4.6 все версии GnuPG-2 < 2.0.2 узязвимые утилиты: gpg, gpgv, gpg2 and gpgv2. уязвимые платформы: ВСЕ.

Подробности http://lists.gnupg.org/pipermail/gnup...



Проверено: Pi ()

Re: Уязвимость в GnuPG

боян, для убунту еще этой ночью обновление вышло

anonymous ()

Re: Уязвимость в GnuPG

>атакующий может модифицировать указатель на функцию в GnuPG.

Блин, сколько проблем, и все из-за языка си...

anonymous ()
Ответ на: Re: Уязвимость в GnuPG от anonymous

Re: Уязвимость в GnuPG

>Блин, сколько проблем, и все из-за языка си...
Умный да? а какие альтернативы?

some_x ()

Re: Уязвимость в GnuPG

>Используя кривые OpenPGP пакеты

s/кривые/специально сформированные/

Или тогда давайте жаргон по полной, каждую новость начинайте с фразы "Превед медведы!" и заканчивайте "ждем ебилдов..."

anonymous ()
Ответ на: Re: Уязвимость в GnuPG от some_x

Re: Уязвимость в GnuPG

> Умный да? а какие альтернативы? Джава, можно и питон.

anonymous ()
Ответ на: Re: Уязвимость в GnuPG от anonymous

Re: Уязвимость в GnuPG

> Джава, можно и питон.

Только не питон!!! Да и ява, здесь не сильно поможет - здесь мы имеем дело с приложениями, скорость работы которых очень критична, поэтому даже Java не подойдёт.

GnuPG написан на C или на C++? В плюсах меньше вероятность подобных косяков, ибо ООП. Вы видели код X-Chat? Авторы либо красноглазые, ненавидящие C++, либо просто ниасилили язык: большая часть кода является объявлением структур (типо объекты), содержащие указатели на функции (типо методы), здесь гораздо проще накосячить, чем если пользовать нормальные объекты и методы.

EViL ()
Ответ на: Re: Уязвимость в GnuPG от EViL

Re: Уязвимость в GnuPG

Я думаю в таком случае исходный код GNOME тебя повергнет в ужос )

roy ★★★★★ ()
Ответ на: Re: Уязвимость в GnuPG от some_x

Re: Уязвимость в GnuPG

>>Блин, сколько проблем, и все из-за языка си... >Умный да? а какие альтернативы?

Паскаль.

Killy ()
Ответ на: Re: Уязвимость в GnuPG от EViL

Re: Уязвимость в GnuPG

> Вы видели код X-Chat?

Ты бы хоть туториал по GTK+/Glib полистал, таким идиотом бы не казался.

Bohtvaroh ★★★★ ()

Re: Уязвимость в GnuPG

Гы-гы-гы. Модераторы уже и ссылок не проверяют.

los_nikos ★★★★★ ()

Re: Уязвимость в GnuPG

Стоило только опросу заработать...

adarovsky ★★★★ ()

Re: Уязвимость в GnuPG

Ссылка битая

anonymous ()

Re: Уязвимость в GnuPG

_пакеты_? _удаленно_? WTF????

Zulu ★★☆☆ ()
Ответ на: Re: Уязвимость в GnuPG от EViL

Re: Уязвимость в GnuPG

xchat появился когда тебя и X-овых биндингов для c++ ещё в проекте не было.

Новое поколение думает, что Интернет придумало Microsoft, и недоумевает почему ядро Линукса не на c# написано.

anonymous ()
Ответ на: Re: Уязвимость в GnuPG от anonymous

Re: Уязвимость в GnuPG

> xchat появился когда тебя и X-овых биндингов для c++ ещё в проекте не было.

Есть xchat, а есть xchat2. Я уверенно могу заявить, что когда писали xchat2, то иксовые биндинги уже были.

> Новое поколение думает, что Интернет придумало Microsoft, и недоумевает почему ядро Линукса не на c# написано.

Боже упаси! Сам придумал или подсказал кто? :)

EViL ()
Ответ на: Re: Уязвимость в GnuPG от EViL

Re: Уязвимость в GnuPG

> ...ибо это - плохой стиль программирования, читай костыли.

o_O А мужыки-то и не знают! Спасибо тебе, о, Пророк, что наставил нас на путь истинный и помог открыть нам очи наши, указав правильный путь.

Bohtvaroh ★★★★ ()
Ответ на: Re: Уязвимость в GnuPG от anonymous

Re: Уязвимость в GnuPG

> Блин, сколько проблем, и все из-за языка си...

При чем тут язык си? Найди-ка проблемы в таких проектах, как qmail и djbdns,написанных на языке си... Проблема в криворуких недоучках. С дуру можно и х*й сломать.

dmesg ()
Ответ на: Re: Уязвимость в GnuPG от dmesg

Re: Уязвимость в GnuPG

> При чем тут язык си? Найди-ка проблемы в таких проектах, как qmail и djbdns,написанных на языке си...

Только не нужно кривое поделие qmail выставлять эталоном.

http://www.jcb-sc.com/qmail/guninski.html вполне хватает чтоб убедиться в кривизне рук аффтара qmail

MrKooll ★★★ ()
Ответ на: Re: Уязвимость в GnuPG от MrKooll

Re: Уязвимость в GnuPG

> Только не нужно кривое поделие qmail выставлять эталоном.

С точки зрения безопасности qmail есть истинный эталон. Последний раз qmail релизился в 1998 году, и за это время нашни одну единственную багу в 2005 году, да и то, падает только текущая smtp сессия (т.е. атакующий рубит сук, на котором сидит). Кто ещё из софтверных разработчиков _широко используемого софта многими провайдерами_ может похвастаться _такой_ стабильностью? Между прочим qmail 1998 года выпуска заткнет за пояс многие существующие MTA 2006 года выпуска. Ну и самое интересное. MrKooll, ты вот киваешь на кривизну рук автора qmail. Где можно посмотреть _твой_ код?

dmesg ()
Ответ на: Re: Уязвимость в GnuPG от anonymous

Re: Уязвимость в GnuPG

>xchat появился когда тебя и X-овых биндингов для c++ ещё в проекте не было.

Дык раз так давно, то может пора уже и переписать на плюсах?

jackill ★★★★★ ()
Ответ на: Re: Уязвимость в GnuPG от dmesg

Re: Уязвимость в GnuPG

> нашни одну единственную багу в 2005 году, да и то, падает только текущая smtp сессия (т.е. атакующий рубит сук, на котором сидит)

Да и то, только если ты сможешь скормить ему /одну строку/ (от \n до \n) длиной в 2*1024*1024*1024 символов. Что можно сделать только специально установив qmail вопреки всем рекомендациям и оттюнив ОС, чтобы разрешить сегмент данных на процесс больше двух гиг.

baka-kun ★★★★★ ()
Ответ на: Re: Уязвимость в GnuPG от dmesg

Re: Уязвимость в GnuPG

Я никогда не писал что пишу идеальный и безопасный код.

Насчет широко используемого - не смеши. MTA который кладет на стардарты, теряет почту на нагруженных системах, не умеет работать с MX и т.д. нах никому не нужен. По распространенности от с тем-же postfix и рядом не сидел.

Кстати он уже перестал падать от длинной строки в заголовке?

MrKooll ★★★ ()
Ответ на: Re: Уязвимость в GnuPG от MrKooll

Re: Уязвимость в GnuPG

> теряет почту на нагруженных системах

"нагруженные" -- это сколько сотен коннектов в минуту и сколько одновременно, сколько ящиков, и какой трафик? Мне так, для себя, чисто поржать^W определиться, когда начинать беспокоиться ;)

> не умеет работать с MX

Умеет, не вводите в заблуждение, просто он не будет по дефолту перебирать все подряд, если первый сказал "придите попозже".

> Кстати он уже перестал падать от длинной строки в заголовке?

А ты ему скормишь строку длинее двух гигабайт? Уверяю тебя, RST намного раньше получишь.

baka-kun ★★★★★ ()
Ответ на: Re: Уязвимость в GnuPG от MrKooll

Re: Уязвимость в GnuPG

про нагруженные системы это сильно. я не знаю что лучше - падать если админ не расчитал нагрузку или иметь то и дело находимые дыры... сдается мне что лучше всетаки не иметь дыр - ибо машину можно найти и побыстрее , соотвествующую нагрузки а через дыры много чего набежать может и пропадет не только почта.

dimav123 ()
Ответ на: Re: Уязвимость в GnuPG от dimav123

Re: Уязвимость в GnuPG

Про нагруженные системы это если у тебя часто создаются процессы. qmail с pid работает очень оригинально.

P.S. Я знаю что пользователи qmail это секта. И на своего идола бросать тень никому не позволяют - кидаются. Раз qmail кладет на rfc значит это rfc плохие и недостойные внимания великого и непогрешимого DJB.

P.P.S. Советую прочиать http://www.dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html и немного избавиться от иллюзий.

MrKooll ★★★ ()
Ответ на: Re: Уязвимость в GnuPG от MrKooll

Re: Уязвимость в GnuPG

> Про нагруженные системы это если у тебя часто создаются процессы. qmail с pid работает очень оригинально.

При этом заметь, эти проблемы проявляются только если используешь qmail-local с неродным POP3 сервером, не умеющим безопасно переносить файлы, совместно с qmail-pop3 всё работает без ошибок.

Для меня qmail -- очень удобный конструктор, когда надо сделать нечто нестандартное. А в чистом виде почти никто в здравом уме его не применяет.

baka-kun ★★★★★ ()
Ответ на: Re: Уязвимость в GnuPG от MrKooll

Re: Уязвимость в GnuPG

> Насчет широко используемого - не смеши.

masterhost, центральный телеграф - довольно сильные провайдеры и у них совсем недетские нагрузки. там только qmail.

dmesg ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.