LINUX.ORG.RU

Уязвимость в libpng


0

0

В версиях библиотеки libpng до 1.0.29 и с версии 1.2.x до версии 1.2.21, удалённый атакующий может вызвать отказ в обслуживании с помощью специально сформированного слоя в файле PNG.

>>> Подробности

Re: Уязвимость в libpng

венде^Wлинуксокапец?

anonymous ()

Примеры где?

Проверить хочу!

anonymfus ★★★★ ()

Re: Уязвимость в libpng

>венде^Wлинуксокапец?

Похоже, что именно венде. Известно, какое количество виндового софта линкуется с ней статически.

Davidov ★★★★ ()

Re: Уязвимость в libpng

Еще вчера слаку проапгрэдил, патрег сцука шустрый :-)

fyrer ()

Re: Уязвимость в libpng

2 или три дня назад мне на фряхе portaudit рассказал об этом. проапдейтилсо и все окей) так что новость - [:|||||:] или это машину времени в обратную сторону запустили?

AiFiLTr0 ★★★★★ ()

Re: Уязвимость в libpng

У меня 1.2.21-r3, поидее нет дырки в ней?

feanor ★★★ ()
Ответ на: Re: Уязвимость в libpng от AiFiLTr0

Re: Уязвимость в libpng

>> так что новость - [:|||||:] или это машину времени в обратную сторону запустили?

Да неее...просто у меня срок действия триального ключа на ней закончился, вот она и показывает новости с погрешностью +-2 дня :)))

cyclon ★★★★★ ()
Ответ на: Re: Уязвимость в libpng от anonymous

Re: Уязвимость в libpng

> Я тока не понял, уязвимость актуальна вообще для _всех_ осей, где есть libpng? o_O

судя по всему для всех ОС, если не прав поправте

cyclon ★★★★★ ()

Re: Уязвимость в libpng

/me скачал src 1.2.22, собрал пакет с -fstack-protector и обновился.

shahid ★★★★★ ()
Ответ на: Re: Уязвимость в libpng от AiFiLTr0

Re: Уязвимость в libpng

> А думал что тачко времени у нас опенсурс...

Конечно опенсурс, но подписка на новости платная

zodiac ★★ ()

Re: Уязвимость в libpng

portaudit не даст умереть FreeBSD. Обновился до 1.2.22 ещё с неделю назад.

anonymous ()
Ответ на: Re: Уязвимость в libpng от Virun

Re: Уязвимость в libpng

>Это последний рубеж до фрякопца? :)

Всё лучше чем узнавать о критических багах из новостей на ЛОРе.

anonymous ()

Re: Уязвимость в libpng

$ ll /usr/local/lib/libpng*  
lrwxr-xr-x  1 root  wheel      10 Dec  8  2003 /usr/local/lib/libpng.a -> libpng12.a
lrwxr-xr-x  1 root  wheel      11 Dec  8  2003 /usr/local/lib/libpng.so -> libpng.so.3
lrwxr-xr-x  1 root  wheel      17 Dec  8  2003 /usr/local/lib/libpng.so.3 -> libpng.so.3.1.2.5
-rwxr-xr-x  1 root  wheel  206171 Dec  8  2003 /usr/local/lib/libpng.so.3.1.2.5
-rw-r--r--  1 root  wheel  222642 Dec  8  2003 /usr/local/lib/libpng12.a
lrwxr-xr-x  1 root  wheel      13 Dec  8  2003 /usr/local/lib/libpng12.so -> libpng12.so.0
lrwxr-xr-x  1 root  wheel      19 Dec  8  2003 /usr/local/lib/libpng12.so.0 -> libpng12.so.0.1.2.5
-rwxr-xr-x  1 root  wheel  206171 Dec  8  2003 /usr/local/lib/libpng12.so.0.1.2.5

Мне таки пора обновиться??

dilmah ★★★★★ ()

Re: Уязвимость в libpng

А сколько вони было когда в виндовой GDI+ ошибку с jpeg нашли, все топали ногами, свистели, мол дыра дырой, лоси, как так можно - через jpeg да удалённый код. А тут читаю - все только тихо-мирно обновляются и помалкивают.

redbaron ★★ ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

>А сколько вони было когда в виндовой GDI+ ошибку с jpeg нашли, все топали ногами, свистели, мол дыра дырой, лоси, как так можно - через jpeg да удалённый код. А тут читаю - все только тихо-мирно обновляются и помалкивают.

Разницу между удаленным выполнением кода и отказом в обслуживании не видишь?

true ()

Re: Уязвимость в libpng

пля...неделю назад новость прошла - теперь пришло время скопипастить её на лор

с декаду назад which обновился до 2.17 - пожалуй, надо тоже запостить :)

xep ()

Re: Уязвимость в libpng

>удалённый атакующий может вызвать отказ в обслуживании с помощью специально сформированного слоя в файле PNG

Боян. Это же задница патрега.

anonymous ()
Ответ на: Re: Уязвимость в libpng от true

Re: Уязвимость в libpng

>Разницу между удаленным выполнением кода и отказом в обслуживании не видишь?

Прекрасно вижу, обе уязвимости довольно болезненны, что делает их равносильными в контексте двойных стандартов.

redbaron ★★ ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

>Прекрасно вижу, обе уязвимости довольно болезненны, что делает их равносильными в контексте двойных стандартов.

При DoS никто не украдет/изменит важные конфиденциальные данные, жмякнул ресет - и все работает как прежде.

true ()

Re: Уязвимость в libpng

Самая безобразная в плане безопасности библиотека. Я не помню ни одного года, чтоб в ней не нашли очередную дырку.

annonymous ★★ ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

> Прекрасно вижу, обе уязвимости довольно болезненны, что делает их равносильными в контексте двойных стандартов.

Этапять.

А теперь вернемся в контекст одиночного стандарта.

Aceler ★★★★★ ()
Ответ на: Re: Уязвимость в libpng от true

Re: Уязвимость в libpng

> При DoS никто не украдет/изменит важные конфиденциальные данные, жмякнул ресет - и все работает как прежде.

Значит как виндовс перезагружать так это "windows must die", а если линукс то

> жмякнул ресет - и все работает как прежде

??

anonymous ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

Читай внимательно свои слова -

>через jpeg да удалённый код.

и поймёшь причину вони. И где в новости возможность запуска удалённого кода через libpng?

DNA_Seq ★★☆☆☆ ()

Re: Уязвимость в libpng

Херня хернёй, а не новость. Настоящие джедааи сидят за 2-мя цисками и режут картинки сквидом ещё на подлёте.

Gharik ()
Ответ на: Re: Уязвимость в libpng от cyclon

Re: Уязвимость в libpng

>> Я тока не понял, уязвимость актуальна вообще для _всех_ осей, где есть libpng? o_O > судя по всему для всех ОС, если не прав поправте

И для всего софта, статически слинкованного с libpng старых версий. Не исправление, но дополнение.

skwish ★★ ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

> А сколько вони было когда в виндовой GDI+ ошибку с jpeg нашли, все топали ногами, свистели, мол дыра дырой, лоси, как так можно - через jpeg да удалённый код. А тут читаю - все только тихо-мирно обновляются и помалкивают.

DoS болезненно, но не исполнение удаленного кода. Хотя тоже неприятно.

С другой стороны оно обновилось раньше, чем новость узнал.

skwish ★★ ()
Ответ на: Re: Уязвимость в libpng от Gharik

Re: Уязвимость в libpng

>Настоящие джедааи сидят за 2-мя цисками

почему не за тремя?

>и режут картинки сквидом ещё на подлёте.

трафик экономите? конторка бедная?

Somewho ★★ ()
Ответ на: Re: Уязвимость в libpng от Somewho

Re: Уязвимость в libpng

вообще-то подмена сертификатов на лету - дело подсудное, AFAICR.

тут как-то была дискуссия на эту тему, давненько правда

gr_buza ★★★★ ()
Ответ на: Re: Уязвимость в libpng от Somewho

Re: Уязвимость в libpng

> почему не за тремя?

Потому что не 8 сеток.

> трафик экономите? конторка бедная?

Да не, дома сижу, а сквид - чтоб винты и проц на прокси загрузить, иначе придётся и на них генту компелировать.

Gharik ()
Ответ на: Re: Уязвимость в libpng от Gharik

Re: Уязвимость в libpng

>Разбежался, дорогой, а тебе СБ разрешала по https куда-то лазить? ;)

А в интернет-банки, информационные системы компаний-партнеров и т. д. как будешь ходить?

anonymous ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

> А сколько вони было когда в виндовой GDI+ ошибку с jpeg нашли, все топали ногами, свистели, мол дыра дырой, лоси, как так можно - через jpeg да удалённый код.

Знаешь где в винде GDI расположен?

anonymous ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

>А тут читаю - все только тихо-мирно обновляются и помалкивают.

а что, кричать как резанным подобно вантузятникам "ой капееец!!!"?

так в порядке все у нас. одна комманда и все. а у кого и автоматом

black7 ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

>Прекрасно вижу, обе уязвимости довольно болезненны, что делает их равносильными в контексте двойных стандартов.

эээ дай адрес диллера. это ж какая мощная попалась штука, что нивелировала понимание разницы между одной коммандой обновления динамической библиотеки и сотни запусков инсталляторов с "ок >> да >> согласен >> установить >>" и ожиданием в ужасе пока остальные десяток оперативно обновятся. и хорошо если не раз в полгода - при плановом релизе.

впрочем чего это я. вантузятником не привыкать жить с дырами

black7 ()
Ответ на: Re: Уязвимость в libpng от VladimirMalyk

Re: Уязвимость в libpng

>настоящие джедаи используют lynx

фига с два. у него поддержки 256 цветов нет и табов нормальных как у elinks

и вообще тогда уж curl http://foo.bar|less

black7 ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

В венде всё усугубляется статической линковкой, тотальным сиденьем под администратором и отрисовкой графики на уровне ядра. Ну и тип уязвимости в PNG менее критический - локальный отказ в обслуживании (RESET не нужен, скорее всего сегфолтнется браузер или смотрелка картинок).

floppy_formator ()
Ответ на: Re: Уязвимость в libpng от redbaron

Re: Уязвимость в libpng

> А сколько вони было когда в виндовой GDI+ ошибку с jpeg нашли, все топали ногами, свистели, мол дыра дырой, лоси, как так можно - через jpeg да удалённый код. А тут читаю - все только тихо-мирно обновляются и помалкивают.

М-да, пользователит Линнаха ещё только начинают свой забег по граблям, по которым Микрософт уже прошёл.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.