LINUX.ORG.RU

Множественные уязвимости в Python

 


0

0

  • Численные переполнения в основных модулях (stringobject, unicodeobject, bufferobject, longobject, tupleobject, stropmodule, gcmodule, mmapmodule) (CVE-2008-2315).
  • Численное переполнение в модуле hashlib, которые способно привести к некорректным криптографическим подписям. (CVE-2008-2316).
  • Множественные переполнения буфера при обработке unicode-строк (специфично только для 32-битных систем) (CVE-2008-3142).
  • Google тоже нашел численные переполнения, но постеснялся уточнить их. (CVE-2008-3143).
  • Множественные численные переполнения и недополнения в функции PyOS_vsnprintf() и ошибка завышения на единицу при обработке строк нулевой длины, приводящее к повреждению памяти. (CVE-2008-3144).

>>> Gentoo GLSA

Re: Множественные уязвимости в Python

Python - глобально и надёжно?

anonymous ()

Re: Множественные уязвимости в Python

метки порадовали =) по теме - как страшно жить...

isden ★★★★★ ()

Re: Множественные уязвимости в Python

Гон, Пайтон стабилен и надежен. Сплоиты есть?

Neko ()

Re: Множественные уязвимости в Python

Ждем обновления :)

GFORGX ★★☆ ()

Re: Множественные уязвимости в Python

Google тоже нашел численные переполнения, но постеснялся уточнить их. (CVE-2008-3143)

смешно

anonymous ()

Re: Множественные уязвимости в Python

Вот она, истинная популярность, которая приводит к более пристальному изучению и рассмотрению языка.

kondor ★★★ ()

Re: Множественные уязвимости в Python

Вспомним ка про новость эдак двухмесячной данности, где говорилось о множественных уязвимостях в руби...

Werehuman ★★ ()
Ответ на: Re: Множественные уязвимости в Python от Werehuman

Re: Множественные уязвимости в Python

>Вспомним ка про новость эдак двухмесячной данности, где говорилось о множественных уязвимостях в руби...

Да-да, тогда школьники-питонофилы орали, что руби решето.

По теме: в общем рад за питонистов, что их язык стали активней допиливать. Наверное MRI (matz ruby interpreter) уже никогда его не догнать, ждем рубиниус или что-то еще, а в продакшн пускаем питон-проекты.

anonymous ()

Re: Множественные уязвимости в Python

Старовата новость.

anonymous ()

Re: Множественные уязвимости в Python

сколько дыр то за раз ^_^

Sylvia ★★★★★ ()

Re: Множественные уязвимости в Python

решето, как и руби!

thevery ★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от Sylvia

Re: Множественные уязвимости в Python

>сколько дыр то за раз ^_^

По ссылке ходил ?
Новость баян !
Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

srgaz ()
Ответ на: Re: Множественные уязвимости в Python от srgaz

Re: Множественные уязвимости в Python

>Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

они вышли из анабиоза?

maloi ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от srgaz

Re: Множественные уязвимости в Python

> Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

Уверен, что они у тебя пофиксены? А может там печенюшки? :)))

А вообще, гугл неспроста замолчал, ага. Все на поиск пути хоканья гугла.

bobrik ()

Re: Множественные уязвимости в Python

Ура! В хорошей программе на несколько уязвимостей меньше.

Legioner ★★★★★ ()

Re: Множественные уязвимости в Python

Мало того что тормоз, так оно еще и дырявое...

Mono rocks!

k0l0b0k ★★ ()

Re: Множественные уязвимости в Python

Хе.. Оперативно, блин, новость запостили. Мне glsa-check об этом ещё в середине прошлого месяца завопил.

dev-random ()
Ответ на: Re: Множественные уязвимости в Python от dev-random

Re: Множественные уязвимости в Python

>Хе.. Оперативно, блин, новость запостили. Мне glsa-check об этом ещё в середине прошлого месяца завопил.

превед путешественникам во времени: Release Date July 31, 2008

generatorglukoff ★★ ()

Re: Множественные уязвимости в Python

кстатит портаж их написан весь на петоне

pawnhearts ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от pawnhearts

Re: Множественные уязвимости в Python

>кстатит портаж их написан весь на петоне

В руководстве пользователя написано: Python и Bash.

По теме:

Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

Demon37 ★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от Demon37

Re: Множественные уязвимости в Python

>Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

Слака

Metallic ()
Ответ на: Re: Множественные уязвимости в Python от Metallic

Re: Множественные уязвимости в Python

>>Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

>Слака

Исключение только подтверждает правило :)

Я думал, будет флейм страниц на десять, а тут так кисло... воскресенье что ли сказывается. Подождём до завтра :)

const86 ★★★★★ ()

Re: Множественные уязвимости в Python

Гм, а уязвимости к третьей ветке относились ?

hexenlord ()

Re: Множественные уязвимости в Python

решето!

cobold ★★ ()

Re: Множественные уязвимости в Python

решето!

cobold ★★ ()

Re: Множественные уязвимости в Python

> Множественные численные переполнения и недополнения в функции PyOS_vsnprintf() и ошибка завышения на единицу при обработке строк нулевой длины, приводящее к повреждению памяти. (CVE-2008-3144).

Ошибка в нетривиальной терминологии по вычислениям с плавающей точкой. Overflow -- это "переполнение", всё верно, а вот underflow переводится не как "недополнение" (такого слова вообще нет), а как "потеря значимости". Исправьте, пожалуйста, текст заметки и запомните слово.

Orlusha ★★★★ ()

Re: Множественные уязвимости в Python

__Люди__!!! 
Объясните мне, зачем вообще __нужен__ этот Питон? 
   Скриптовый язычок ("недоязычок" (с)), 
   названием которому послужила группа __клоунов__ "Монтя Пайфон", 
   не может быть __серьёзным__ по __определению__. 
     Типизация в пидоне хуже некуда. 
   Когда спрашивешь, а чё серьезно сделано не питоне, 
   то вместо ответа по существу сразу __пафосно__ отвечают, 
   что мол 
     "сам дурак, а гугль-мугль питон пользует".

Bioreactor ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от Bioreactor

Re: Множественные уязвимости в Python

> Типизация в пидоне хуже некуда.

Ты никакой!!! Ну как, аргументированно? Что конкретно не нравится?

зы: ну ты в курсе и судя по всему уже там вместе с demon37.

unisky ★★ ()

Re: Множественные уязвимости в Python

Ребят, кто-то может мне объяснить сей парадокс: Когда начинаешь говорить про Си/Сипипи, что это низкоуровневые, опасные, неуклюжие языки (помятуя в часности Garbage Collector), все начинают с видом бывалых мэтров учить жизни. А когда очередное поделие, писанное на этих чудо-языках, сквозит на солнце многочисленными дырами, то это виноваты прогеры, а языки опять рулез. Разве ТАК должны работать хорошие инструменты? По-моему, задача языка как раз ПОМОГАТЬ тебе поменьше думать об опасностях и побольше - об алгоритме. Сам язык должен быть настолько аккуратен в семантике, чтобы даже неаккуратный, быстро набросанный код не приводил к краху программы (вовремя показывая дыры на стадии компилляции или вообще исключая какие-либо фокусы с памятью/переполнением). Да, я не о Питоне, но пытаюсь на его примере показать, насколько опасно играться с трупом страуса, базируя на нём современные приложения. Ведь в результате страдает репутация не Сипипи (почему-то), а самого приложения. Где логика, господа из точнейших наук?

matumba ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от Bioreactor

Re: Множественные уязвимости в Python

Ниасилил? :))))

>Объясните мне, зачем вообще __нужен__ этот Питон?

судя по твоему посту тебе объяснять что-либо бесполезно ибо не внимешь, покуда подход "вот мне это не надо, значит никому не надо". Когда поменяешь ход мысли на что-то более адекватное, тогда и начнешь видеть в любых вещах лучшие стороны.

Deleted ()
Ответ на: Re: Множественные уязвимости в Python от matumba

Re: Множественные уязвимости в Python

> Сам язык должен быть настолько аккуратен в семантике, чтобы даже неаккуратный, быстро набросанный код не приводил к краху программы (вовремя показывая дыры на стадии компилляции или вообще исключая какие-либо фокусы с памятью/переполнением).

Во-первых, никто никому ничего не должен. Во-вторых, сам Страуструп сказал в свое время что-то вроде: "Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал".

Есть попытки некоторого поделия языка D, но до этого еще дожить надо.

kost-bebix ★★ ()
Ответ на: Re: Множественные уязвимости в Python от Deleted

Re: Множественные уязвимости в Python

> вот мне это не надо, значит никому не надо

А также мне не надо строить из себя чисто кульхацкера, программируя на "экзотических" язычках и упиваться от этого своей крутизной. Мне и Джавы хватает для жизни. И, судя по http://biz.cnews.ru/news/line/index.shtml?2008/07/29/309897 Джава в явном фаворе.

Вам-таки в детстве не говорили, что отвечать надо всегда по существу, а не пытаться при отсутствии аргументов сразу же переходить на личности? :)

Bioreactor ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от kost-bebix

Re: Множественные уязвимости в Python

> Во-первых, никто никому ничего не должен.

Глупости говорите. Если вы делаете язык для программинга, он просто ОБЯЗАН следовать каким-то критериям! Либо он простой, либо мощный, либо секурный, либо комбинация каких-то качеств. Язык ради языка нах никому не нужен - очередной велосипед.

> Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал

Лучше Сипипи можно найти хоть с десяток языков, был бы нужный критерий. Тот же C# во сто крат проще и безопаснее.

> Есть попытки некоторого поделия языка D

Согласен, сам с надеждой смотрю на этот язык. Только уж сложновато у них там с элементами. Да и движутся скорее наобум, чем на результат.

matumba ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от kost-bebix

Re: Множественные уязвимости в Python

Удобная объектная надстройка над С была придумана в 1981 году. Сразу же через год через Smalltalk-80.

> Есть попытки некоторого поделия языка D, но до этого еще дожить надо.

А еще есть "поделие" Objective-C.

> Страуструп сказал в свое время что-то вроде: "Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал".

Это говорит только о том, что "автор, место которому в дурке или на погосте" (с) как сказал проф.В.С.Лугоффский, слил Брэду Коксу из Stepstone (потом NexTStep, потом Apple). Если бы не жлобство Стива Джобса, то был бы с 1989 года нормальный язык программирования. И не только на "дизайнерском" железе. :))

Bioreactor ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Python от Demon37

Re: Множественные уязвимости в Python

>Без питона сегодня ни один дистрибутив не работает.

сказал бы я, что радоваться тут нечему, да не поймут меня тут, боюсь...

thevery ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.