LINUX.ORG.RU

Множественные уязвимости в Python

 


0

0

  • Численные переполнения в основных модулях (stringobject, unicodeobject, bufferobject, longobject, tupleobject, stropmodule, gcmodule, mmapmodule) (CVE-2008-2315).
  • Численное переполнение в модуле hashlib, которые способно привести к некорректным криптографическим подписям. (CVE-2008-2316).
  • Множественные переполнения буфера при обработке unicode-строк (специфично только для 32-битных систем) (CVE-2008-3142).
  • Google тоже нашел численные переполнения, но постеснялся уточнить их. (CVE-2008-3143).
  • Множественные численные переполнения и недополнения в функции PyOS_vsnprintf() и ошибка завышения на единицу при обработке строк нулевой длины, приводящее к повреждению памяти. (CVE-2008-3144).

>>> Gentoo GLSA

★★

Проверено: JB ()

метки порадовали =) по теме - как страшно жить...

isden ★★★★★
()

Google тоже нашел численные переполнения, но постеснялся уточнить их. (CVE-2008-3143)

смешно

anonymous
()

Вот она, истинная популярность, которая приводит к более пристальному изучению и рассмотрению языка.

kondor ★★★
()

Вспомним ка про новость эдак двухмесячной данности, где говорилось о множественных уязвимостях в руби...

Werehuman ★★
()
Ответ на: комментарий от Werehuman

>Вспомним ка про новость эдак двухмесячной данности, где говорилось о множественных уязвимостях в руби...

Да-да, тогда школьники-питонофилы орали, что руби решето.

По теме: в общем рад за питонистов, что их язык стали активней допиливать. Наверное MRI (matz ruby interpreter) уже никогда его не догнать, ждем рубиниус или что-то еще, а в продакшн пускаем питон-проекты.

anonymous
()

Старовата новость.

anonymous
()
Ответ на: комментарий от Sylvia

>сколько дыр то за раз ^_^

По ссылке ходил ?
Новость баян !
Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

srgaz
()
Ответ на: комментарий от srgaz

>Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

они вышли из анабиоза?

maloi ★★★★★
()
Ответ на: комментарий от srgaz

> Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

Уверен, что они у тебя пофиксены? А может там печенюшки? :)))

А вообще, гугл неспроста замолчал, ага. Все на поиск пути хоканья гугла.

bobrik
()

Ура! В хорошей программе на несколько уязвимостей меньше.

Legioner ★★★★★
()

Мало того что тормоз, так оно еще и дырявое...

Mono rocks!

k0l0b0k ★★
()

Хе.. Оперативно, блин, новость запостили. Мне glsa-check об этом ещё в середине прошлого месяца завопил.

dev-random
()
Ответ на: комментарий от dev-random

>Хе.. Оперативно, блин, новость запостили. Мне glsa-check об этом ещё в середине прошлого месяца завопил.

превед путешественникам во времени: Release Date July 31, 2008

generatorglukoff ★★
() автор топика
Ответ на: комментарий от dev-random

> Сорри, ошибся: это была другая дыра, в том же питоне.

ЗЫ и не в середине, а в начале месяца.

dev-random
()
Ответ на: комментарий от pawnhearts

>кстатит портаж их написан весь на петоне

В руководстве пользователя написано: Python и Bash.

По теме:

Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

Demon37 ★★★★
()
Ответ на: комментарий от Demon37

>Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

Слака

Metallic
()
Ответ на: комментарий от Metallic

s/bash/shell/

>Слака

Да ну и фиг с ней :)

/me открыл зонтик на всякий случай

Demon37 ★★★★
()
Ответ на: комментарий от Metallic

>>Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

>Слака

Исключение только подтверждает правило :)

Я думал, будет флейм страниц на десять, а тут так кисло... воскресенье что ли сказывается. Подождём до завтра :)

const86 ★★★★★
()

Гм, а уязвимости к третьей ветке относились ?

hexenlord
()

> Множественные численные переполнения и недополнения в функции PyOS_vsnprintf() и ошибка завышения на единицу при обработке строк нулевой длины, приводящее к повреждению памяти. (CVE-2008-3144).

Ошибка в нетривиальной терминологии по вычислениям с плавающей точкой. Overflow -- это "переполнение", всё верно, а вот underflow переводится не как "недополнение" (такого слова вообще нет), а как "потеря значимости". Исправьте, пожалуйста, текст заметки и запомните слово.

Orlusha ★★★★
()

__Люди__!!! 
Объясните мне, зачем вообще __нужен__ этот Питон? 
   Скриптовый язычок ("недоязычок" (с)), 
   названием которому послужила группа __клоунов__ "Монтя Пайфон", 
   не может быть __серьёзным__ по __определению__. 
     Типизация в пидоне хуже некуда. 
   Когда спрашивешь, а чё серьезно сделано не питоне, 
   то вместо ответа по существу сразу __пафосно__ отвечают, 
   что мол 
     "сам дурак, а гугль-мугль питон пользует".

Bioreactor ★★★★★
()
Ответ на: комментарий от Bioreactor

> Типизация в пидоне хуже некуда.

Ты никакой!!! Ну как, аргументированно? Что конкретно не нравится?

зы: ну ты в курсе и судя по всему уже там вместе с demon37.

unisky ★★
()

Ребят, кто-то может мне объяснить сей парадокс: Когда начинаешь говорить про Си/Сипипи, что это низкоуровневые, опасные, неуклюжие языки (помятуя в часности Garbage Collector), все начинают с видом бывалых мэтров учить жизни. А когда очередное поделие, писанное на этих чудо-языках, сквозит на солнце многочисленными дырами, то это виноваты прогеры, а языки опять рулез. Разве ТАК должны работать хорошие инструменты? По-моему, задача языка как раз ПОМОГАТЬ тебе поменьше думать об опасностях и побольше - об алгоритме. Сам язык должен быть настолько аккуратен в семантике, чтобы даже неаккуратный, быстро набросанный код не приводил к краху программы (вовремя показывая дыры на стадии компилляции или вообще исключая какие-либо фокусы с памятью/переполнением). Да, я не о Питоне, но пытаюсь на его примере показать, насколько опасно играться с трупом страуса, базируя на нём современные приложения. Ведь в результате страдает репутация не Сипипи (почему-то), а самого приложения. Где логика, господа из точнейших наук?

matumba ★★★★★
()
Ответ на: комментарий от Bioreactor

Ниасилил? :))))

>Объясните мне, зачем вообще __нужен__ этот Питон?

судя по твоему посту тебе объяснять что-либо бесполезно ибо не внимешь, покуда подход "вот мне это не надо, значит никому не надо". Когда поменяешь ход мысли на что-то более адекватное, тогда и начнешь видеть в любых вещах лучшие стороны.

Deleted
()
Ответ на: комментарий от unisky

>Что конкретно не нравится?

отсутствие типизации вестимо.

k0l0b0k ★★
()
Ответ на: комментарий от matumba

> Сам язык должен быть настолько аккуратен в семантике, чтобы даже неаккуратный, быстро набросанный код не приводил к краху программы (вовремя показывая дыры на стадии компилляции или вообще исключая какие-либо фокусы с памятью/переполнением).

Во-первых, никто никому ничего не должен. Во-вторых, сам Страуструп сказал в свое время что-то вроде: "Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал".

Есть попытки некоторого поделия языка D, но до этого еще дожить надо.

kost-bebix ★★
()
Ответ на: комментарий от Deleted

> вот мне это не надо, значит никому не надо

А также мне не надо строить из себя чисто кульхацкера, программируя на "экзотических" язычках и упиваться от этого своей крутизной. Мне и Джавы хватает для жизни. И, судя по http://biz.cnews.ru/news/line/index.shtml?2008/07/29/309897 Джава в явном фаворе.

Вам-таки в детстве не говорили, что отвечать надо всегда по существу, а не пытаться при отсутствии аргументов сразу же переходить на личности? :)

Bioreactor ★★★★★
()
Ответ на: комментарий от kost-bebix

> Во-первых, никто никому ничего не должен.

Глупости говорите. Если вы делаете язык для программинга, он просто ОБЯЗАН следовать каким-то критериям! Либо он простой, либо мощный, либо секурный, либо комбинация каких-то качеств. Язык ради языка нах никому не нужен - очередной велосипед.

> Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал

Лучше Сипипи можно найти хоть с десяток языков, был бы нужный критерий. Тот же C# во сто крат проще и безопаснее.

> Есть попытки некоторого поделия языка D

Согласен, сам с надеждой смотрю на этот язык. Только уж сложновато у них там с элементами. Да и движутся скорее наобум, чем на результат.

matumba ★★★★★
()
Ответ на: комментарий от matumba

>Да и движутся скорее наобум, чем на результат.

+1

k0l0b0k ★★
()
Ответ на: комментарий от k0l0b0k

> Что-то питоновцы не ведутся на разговор.

слишком троль

pawnhearts ★★★★★
()
Ответ на: комментарий от kost-bebix

Удобная объектная надстройка над С была придумана в 1981 году. Сразу же через год через Smalltalk-80.

> Есть попытки некоторого поделия языка D, но до этого еще дожить надо.

А еще есть "поделие" Objective-C.

> Страуструп сказал в свое время что-то вроде: "Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал".

Это говорит только о том, что "автор, место которому в дурке или на погосте" (с) как сказал проф.В.С.Лугоффский, слил Брэду Коксу из Stepstone (потом NexTStep, потом Apple). Если бы не жлобство Стива Джобса, то был бы с 1989 года нормальный язык программирования. И не только на "дизайнерском" железе. :))

Bioreactor ★★★★★
()
Ответ на: комментарий от Demon37

>Без питона сегодня ни один дистрибутив не работает.

сказал бы я, что радоваться тут нечему, да не поймут меня тут, боюсь...

thevery ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.