Уязвимость в GnuPG

боян, для убунту еще этой ночью обновление вышло

>атакующий может модифицировать указатель на функцию в GnuPG.

Блин, сколько проблем, и все из-за языка си...

>Блин, сколько проблем, и все из-за языка си...
Умный да? а какие альтернативы?

>Используя кривые OpenPGP пакеты

s/кривые/специально сформированные/

Или тогда давайте жаргон по полной, каждую новость начинайте с фразы "Превед медведы!" и заканчивайте "ждем ебилдов..."

> Умный да? а какие альтернативы? Джава, можно и питон.

> Джава, можно и питон.

Только не питон!!! Да и ява, здесь не сильно поможет - здесь мы имеем дело с приложениями, скорость работы которых очень критична, поэтому даже Java не подойдёт.

GnuPG написан на C или на C++? В плюсах меньше вероятность подобных косяков, ибо ООП. Вы видели код X-Chat? Авторы либо красноглазые, ненавидящие C++, либо просто ниасилили язык: большая часть кода является объявлением структур (типо объекты), содержащие указатели на функции (типо методы), здесь гораздо проще накосячить, чем если пользовать нормальные объекты и методы.

Я думаю в таком случае исходный код GNOME тебя повергнет в ужос )

>>Блин, сколько проблем, и все из-за языка си... >Умный да? а какие альтернативы?

Паскаль.

> Вы видели код X-Chat?

Ты бы хоть туториал по GTK+/Glib полистал, таким идиотом бы не казался.

Гы-гы-гы. Модераторы уже и ссылок не проверяют.

Стоило только опросу заработать...

Ссылка битая

_пакеты_? _удаленно_? WTF????

> Ты бы хоть туториал по GTK+/Glib полистал, таким идиотом бы не казался.

http://www.antigreen.org/bioreactor/

Умри, ибо это - плохой стиль программирования, читай костыли.

xchat появился когда тебя и X-овых биндингов для c++ ещё в проекте не было.

Новое поколение думает, что Интернет придумало Microsoft, и недоумевает почему ядро Линукса не на c# написано.

> xchat появился когда тебя и X-овых биндингов для c++ ещё в проекте не было.

Есть xchat, а есть xchat2. Я уверенно могу заявить, что когда писали xchat2, то иксовые биндинги уже были.

> Новое поколение думает, что Интернет придумало Microsoft, и недоумевает почему ядро Линукса не на c# написано.

Боже упаси! Сам придумал или подсказал кто? :)

qt точно было.

> ...ибо это - плохой стиль программирования, читай костыли.

o_O А мужыки-то и не знают! Спасибо тебе, о, Пророк, что наставил нас на путь истинный и помог открыть нам очи наши, указав правильный путь.

> Блин, сколько проблем, и все из-за языка си...

При чем тут язык си? Найди-ка проблемы в таких проектах, как qmail и djbdns,написанных на языке си... Проблема в криворуких недоучках. С дуру можно и х*й сломать.

> При чем тут язык си? Найди-ка проблемы в таких проектах, как qmail и djbdns,написанных на языке си...

Только не нужно кривое поделие qmail выставлять эталоном.

http://www.jcb-sc.com/qmail/guninski.html вполне хватает чтоб убедиться в кривизне рук аффтара qmail

> Только не нужно кривое поделие qmail выставлять эталоном.

С точки зрения безопасности qmail есть истинный эталон. Последний раз qmail релизился в 1998 году, и за это время нашни одну единственную багу в 2005 году, да и то, падает только текущая smtp сессия (т.е. атакующий рубит сук, на котором сидит). Кто ещё из софтверных разработчиков _широко используемого софта многими провайдерами_ может похвастаться _такой_ стабильностью? Между прочим qmail 1998 года выпуска заткнет за пояс многие существующие MTA 2006 года выпуска. Ну и самое интересное. MrKooll, ты вот киваешь на кривизну рук автора qmail. Где можно посмотреть _твой_ код?

>xchat появился когда тебя и X-овых биндингов для c++ ещё в проекте не было.

Дык раз так давно, то может пора уже и переписать на плюсах?

> нашни одну единственную багу в 2005 году, да и то, падает только текущая smtp сессия (т.е. атакующий рубит сук, на котором сидит)

Да и то, только если ты сможешь скормить ему /одну строку/ (от \n до \n) длиной в 2*1024*1024*1024 символов. Что можно сделать только специально установив qmail вопреки всем рекомендациям и оттюнив ОС, чтобы разрешить сегмент данных на процесс больше двух гиг.

А зачем? Cи наше всё!

Я никогда не писал что пишу идеальный и безопасный код.

Насчет широко используемого - не смеши. MTA который кладет на стардарты, теряет почту на нагруженных системах, не умеет работать с MX и т.д. нах никому не нужен. По распространенности от с тем-же postfix и рядом не сидел.

Кстати он уже перестал падать от длинной строки в заголовке?

> теряет почту на нагруженных системах

"нагруженные" -- это сколько сотен коннектов в минуту и сколько одновременно, сколько ящиков, и какой трафик? Мне так, для себя, чисто поржать^W определиться, когда начинать беспокоиться ;)

> не умеет работать с MX

Умеет, не вводите в заблуждение, просто он не будет по дефолту перебирать все подряд, если первый сказал "придите попозже".

> Кстати он уже перестал падать от длинной строки в заголовке?

А ты ему скормишь строку длинее двух гигабайт? Уверяю тебя, RST намного раньше получишь.

про нагруженные системы это сильно. я не знаю что лучше - падать если админ не расчитал нагрузку или иметь то и дело находимые дыры... сдается мне что лучше всетаки не иметь дыр - ибо машину можно найти и побыстрее , соотвествующую нагрузки а через дыры много чего набежать может и пропадет не только почта.

Про нагруженные системы это если у тебя часто создаются процессы. qmail с pid работает очень оригинально.

P.S. Я знаю что пользователи qmail это секта. И на своего идола бросать тень никому не позволяют - кидаются. Раз qmail кладет на rfc значит это rfc плохие и недостойные внимания великого и непогрешимого DJB.

P.P.S. Советую прочиать http://www.dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html и немного избавиться от иллюзий.

> Про нагруженные системы это если у тебя часто создаются процессы. qmail с pid работает очень оригинально.

При этом заметь, эти проблемы проявляются только если используешь qmail-local с неродным POP3 сервером, не умеющим безопасно переносить файлы, совместно с qmail-pop3 всё работает без ошибок.

Для меня qmail -- очень удобный конструктор, когда надо сделать нечто нестандартное. А в чистом виде почти никто в здравом уме его не применяет.

> Насчет широко используемого - не смеши.

masterhost, центральный телеграф - довольно сильные провайдеры и у них совсем недетские нагрузки. там только qmail.