LINUX.ORG.RU

Вы пользуетесь libxml2?

 ,


0

0

Сразу две критические уязвимости были найдены в библиотеке Libxml2.

1) Возможность целочисленного переполнения в функции xmlSAX2Characters(), которая может привести к порче памяти (и потенциально выполнению зловредного кода) при обработке функциями библиотеки XML-файла достаточно большого объема.

2) Целочисленное переполнение в функции xmlBufferResize(), которое может привести к зацикливанию программы (и, соответственно, DoS). Эта ошибка тоже проявляется при обработке очень больших XML-файлов.

Эти уязвимости относятся к версии 2.7.2, т.е. текущей. Прошлые версии, скорее всего, также подвержены этим уязвимостям.

Решение от Redhat: https://bugzilla.redhat.com/show_bug.... и https://bugzilla.redhat.com/show_bug....

>>> Подробности

★★★★

Проверено: UVV ()

Re: Вы пользуетесь libxml2?

> Вы пользуетесь libxml2?

да кто-ж его не использует…

dmiceman ★★★★★ ()

Re: Вы пользуетесь libxml2?

/me вроде сабж ещё в прошлом месяце удалил. ЕМНИП, за ненадобностью.

GFORGX ★★☆ ()

Re: Вы пользуетесь libxml2?

> Эти уязвисмости относятся к версии 2.7.2, т.е. текущей. Хорош гнать. В 2.7.2 их пофиксили.

anonymous ()

Re: Вы пользуетесь libxml2?

я пользуюсь jdom.jar

Deady ()
Ответ на: Re: Вы пользуетесь libxml2? от dimon555

Re: Вы пользуетесь libxml2?

> переполнение памяти by default?

отсутствует из коробки. для больших xml придуман SAX

Deady ()

Re: Вы пользуетесь libxml2?

На опеннете вчера было. :-P

Bohtvaroh ★★★★ ()
Ответ на: Re: Вы пользуетесь libxml2? от anonymous

Re: Вы пользуетесь libxml2?

> Хорош гнать. В 2.7.2 их пофиксили.

Свистишь, на xmlsoft.org ничего об этом нету.

shimon ★★★★★ ()
Ответ на: Re: Вы пользуетесь libxml2? от Bohtvaroh

Re: Вы пользуетесь libxml2?

А вообще API у этой либы страшен шо писец, все кишки торчат наружу. Жаль, что полноценных альтернатив на Си нету.

Bohtvaroh ★★★★ ()
Ответ на: Re: Вы пользуетесь libxml2? от Bohtvaroh

Re: Вы пользуетесь libxml2?

>P.S.: в ubuntu уже обновился пакет

дадада. я вот сначала прочитал новость тут, потом запустил на дектопе обновлятор. смотрю - знакомые грабли.

teferiincub ()
Ответ на: Re: Вы пользуетесь libxml2? от Bohtvaroh

Re: Вы пользуетесь libxml2?

>P.S.: в ubuntu уже обновился пакет

+1 - только что обновил.

anonymous ()
Ответ на: Re: Вы пользуетесь libxml2? от Bohtvaroh

Re^2: Вы пользуетесь libxml2?

> А вообще API у этой либы страшен шо писец, все кишки торчат наружу. Жаль, что полноценных альтернатив на Си нету.

xerces?

gaa ★★ ()
Ответ на: Re: Вы пользуетесь libxml2? от Bohtvaroh

Re: Вы пользуетесь libxml2?

> А вообще API у этой либы страшен шо писец, все кишки торчат наружу. Жаль, что полноценных альтернатив на Си нету.

Не ясно чего там не так с ИПП... вроде дом он и в афри^W^W^W^W яве дом. Как и сакс. Хотя я может не совсем понимаю о чём речь. Так или иначе, но если Вам нужна альтернатива, есть xerces, и для си и для ява есть - лицензия апач.

AndreyKl ★★★★★ ()

Re: Вы пользуетесь libxml2?

В security-рассылке Debian за последний месяц два уведомления об исправлениях в libxml2 было, это не оно?

Если оно - то это уже давно не новости. И вообще, почему бы не сделать трансляцию какой-нибудь security-рассылки прямиком в новости, чтоб провокаторы вроде iRunix'а поняли что троллить надо тоньше :)

morbo ()

Re: Вы пользуетесь libxml2?

И как-то вдруг неожиданно приехало:
Size: 931 KB
A security issue has been identified in Microsoft XML Core Services (MSXML) that could allow an attacker to compromise your Windows-based system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
More information for this update can be found at http://go.microsoft.com/fwlink/?LinkId=128803

Хммм...

anonymous ()

Re: Вы пользуетесь libxml2?

Специально не поленился - заглянул в рассылку, вчера было уведомление о двух уязвимостях в libxml2 и об одной 14 октября.

morbo ()

Re: Вы пользуетесь libxml2?

вси равно её не брошу, потому что он хороший

fMad ★★ ()

Re: Вы пользуетесь libxml2?

И чё?

А-а-а!!. Мы фсе умрём!

ip1981 ☆☆ ()

xml нинужынЪ!

Нет, не пользуемся. А почему Вы спрашиваете?

anonymous ()
Ответ на: Re: Вы пользуетесь libxml2? от morbo

Re: Вы пользуетесь libxml2?

>провокаторы вроде iRunix'а поняли что троллить надо тоньше :)

В чем троллинг-то, болезный?

iRunix ★★★★ ()
Ответ на: Re: Вы пользуетесь libxml2? от Bohtvaroh

Re: Вы пользуетесь libxml2?

> А фигу, LGPL.

libxml2 вообще-то распространяется под лицензией MIT.

В LGPL больше ограничений. Сомневаюсь, что MS смогли бы легально скрывать факт использования ими libxml, если бы библиотека была под LGPL.

Fice ★★ ()
Ответ на: Re: Re^2: Вы пользуетесь libxml2? от Bohtvaroh

Re^4: Вы пользуетесь libxml2?

>> xerces?

> Разве оно не на плюсах?


Да, что-то меня название xerces-c смутило. Тогда да, кушайте кактус-с.

gaa ★★ ()

Re: Вы пользуетесь libxml2?

>libxml2

Решето!!!

anonymous ()

Re: Вы пользуетесь libxml2?

Чорд. У меня в репозитарии до сих пор 2.7.1. =((

Jayrome ★★★★★ ()
Ответ на: Re: Вы пользуетесь libxml2? от iRunix

Re: Вы пользуетесь libxml2?

>В чем троллинг-то, болезный?

Просто предвижу дальнейшее развитие дискуссии: "libxml2 - решето, как и весь Linux, а потому пользуйтесь Mac".

morbo ()
Ответ на: Re: Вы пользуетесь libxml2? от morbo

Re: Вы пользуетесь libxml2?

>Просто предвижу дальнейшее развитие дискуссии: "libxml2 - решето, как и весь Linux, а потому пользуйтесь Mac".

Поменьше думай о маке. :-)

iRunix ★★★★ ()

Re: Вы пользуетесь libxml2?

Спасибо, уже обновился :)

Demon37 ★★★★ ()
Ответ на: Re: Вы пользуетесь libxml2? от morbo

Re: Вы пользуетесь libxml2?

или теперь положительные новости - родят флейм на тему "линукс - это круто, не пользуйтесь маком" а отрицательные "Линукс решето, пользуйтесь маком"? На маке свет клином не сошелся...

iRunix ★★★★ ()

Re: Вы пользуетесь libxml2?

libxml2 - пакостная библиотека. Пользоваться неудобно, документация ни к чёрту, ещё и в пафосных золотых тонах.

anonymous ()
Ответ на: Re: Вы пользуетесь libxml2? от anonymous

Re^2: Вы пользуетесь libxml2?

> libxml2 - пакостная библиотека. Пользоваться неудобно, документация ни к чёрту, ещё и в пафосных золотых тонах.

Ничего не поделаешь, это гном.

gaa ★★ ()
Ответ на: Re^2: Вы пользуетесь libxml2? от gaa

Re: Re^2: Вы пользуетесь libxml2?

Не свисти. Glib/GTK нормальные люди писали, а эту чертовщину вообще не понять кто.

Bohtvaroh ★★★★ ()
Ответ на: Re: Re^2: Вы пользуетесь libxml2? от Bohtvaroh

Re^4: Вы пользуетесь libxml2?

> Не свисти. Glib/GTK нормальные люди писали, а эту чертовщину вообще не понять кто.

# apt-cache show libxml2 | grep Description
Description: GNOME XML library

Ещё попытки перевести стрелки будут?

PS. И, кстати, я не считаю людей, пишущих непомерно непонятную пое..нь нормальными.

gaa ★★ ()
Ответ на: Re^4: Вы пользуетесь libxml2? от gaa

Re: Re^4: Вы пользуетесь libxml2?

API glib/gtk+ удобнее и интуитивнее, чем libxml2 (если тут вообще уместно говорить об интуитивности). Libxml2 стоит особняком от других гномовских библиотек, потому что она не зависит от glib и её API не похож на другие.

anonymous ()
Ответ на: Re^4: Вы пользуетесь libxml2? от gaa

Re: Re^4: Вы пользуетесь libxml2?

> Description: GNOME XML library

Ты наверное думаешь, что gnome - это такое маленькое существо, которое и написало gnome? Это я к тому, что тупо так негативно отзываться из-за одной либы обо всё проекте.

> PS. И, кстати, я не считаю людей, пишущих непомерно непонятную пое..нь нормальными.

Это ты о Tk? Поддерживаю. :D А вообще каждый понимает в меру своего понимания.

Bohtvaroh ★★★★ ()
Ответ на: Re: Re^4: Вы пользуетесь libxml2? от anonymous

Re: Re^4: Вы пользуетесь libxml2?

> API glib/gtk+ удобнее и интуитивнее, чем libxml2 (если тут вообще уместно говорить об интуитивности). Libxml2 стоит особняком от других гномовских библиотек, потому что она не зависит от glib и её API не похож на другие.

В точку! :) Куча структур с открытыми внутренностями, для разных структур разные "free" и так далее.

Bohtvaroh ★★★★ ()
Ответ на: Re: Re^4: Вы пользуетесь libxml2? от Bohtvaroh

Re^6: Вы пользуетесь libxml2?

>> Description: GNOME XML library

> Ты наверное думаешь, что gnome - это такое маленькое существо, которое и написало gnome? Это я к тому, что тупо так негативно отзываться из-за одной либы обо всё проекте.


Если бы одной. Там таких либ тысячи :)

>> PS. И, кстати, я не считаю людей, пишущих непомерно непонятную пое..нь нормальными.


> Это ты о Tk? Поддерживаю. :D А вообще каждый понимает в меру своего понимания.


Не зря я про стрелки вспомнил, не зря. Вот уже и переводы начались.

gaa ★★ ()

Вы все еще пользуетесь XML?

Тогда мы идем к вам с эксплоитом!

anonymous ()
Ответ на: Re: Вы пользуетесь libxml2? от iRunix

Re: Вы пользуетесь libxml2?

>На маке свет клином не сошелся...

очень тонко, ирунекс! скажи, а как тебе удалось тролля под панду загримировать?

anonymous ()
Ответ на: Re: Вы пользуетесь libxml2? от morbo

Re: Вы пользуетесь libxml2?

> Просто предвижу дальнейшее развитие дискуссии: "libxml2 - решето, как и весь Linux, а потому пользуйтесь Mac".

Так чувак из яббла, Дрю Яо, эти две дырки и нашел. А в Mac OS X libxml2 используется, да еще как!

shimon ★★★★★ ()
Ответ на: Re: Вы пользуетесь libxml2? от shimon

Re: Вы пользуетесь libxml2?

>> Просто предвижу дальнейшее развитие дискуссии: "libxml2 - решето, как и весь Linux, а потому пользуйтесь Mac".

>Так чувак из яббла, Дрю Яо, эти две дырки и нашел. А в Mac OS X libxml2 используется, да еще как!


Тсссс!

morbo ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.