информационная безопасность
без паники и всерьез
 подробно о проекте 		Rambler's Top100Страшный баг в WindowsСетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
 Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 ФБР нашла русский след в атаках... 
 Массовый взлом SharePoint 
 Microsoft Authenticator прекращает... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN
RSN
RSN
архив
2025
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
экспорт
конкурс




Подписка:
BuqTraq: Обзор
RSN
РВС
БСК
Russian Security Newsline
Хотите установить RSN на своем сайте?

Апрельские обновления от MS
dl // 12.04.11 23:07
Очередной рекордный выпуск патчей - 17 обновлений (9 критических, 8 важных), закрывающих шесть десятков уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/04/02.html]

Критические: кумулятивное обновление для IE, устранение удаленного исполнения кода в SMB клиенте и сервере, в .NET, GDI+, службе DNS, движках JScript и VBScript, драйвере CFF-шрифтов, обновление списка блокированных ActiveX.

Важные: устранение удаленного исполнения кода в Excel, PowerPoint, MFC (тут довольно лихо ставятся обновления рантаймов от 2005, 2008 и 2010 студий), редакторе обложек Windows Fax, конвертерах WordPad; утечки информации в обработчике протокола MHTML, эскалации привилегий в механизме взаимодействия драйверов уровня ядра с объектами ядра (это обновление и стало основной причиной рекорда, закрыв аж 30 уязвимостей).

Источник: Microsoft Security Bulletin Summary
теги: microsoft, patch  |  обсудить  |  все отзывы (0)

nginx 1.0.0
dl // 12.04.11 14:27
Не прошло и десяти лет, как nginx добрался до релиза с гордой версией 1.0.0.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/04/01.html]
Эффективно решающий задачи обслуживания http-запросов к статическим страницам и кэширования с распределением нагрузки nginx пользуется заслуженной любовью администраторов загруженных серверов и используется на почти половине российских и 6.8% мировых топовых сайтов.

Источник: nginx news
теги: nginx  |  обсудить  |  все отзывы (1)

Религиозный спор вокруг memcpy и glibc
dl // 31.03.11 14:51
Любопытная и поучительная история разворачивается вокруг одного обновления glibc, добравшись в последние дни и до рунетовских площадок.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/03/11.html]

Предыстория восходит к далеким K&R временам, когда в стандартной библиотеке появились функции memcpy и memmove, отличающиеся поведением при обработке перекрывающихся регионов. В зависимости от расположения областей перекрытия можно обеспечить корректную работу, запустив копирование от начала либо от конца. Согласно стандарту, memmove такие проверки делает, memcpy - нет (во имя борьбы за производительность), и ее поведение в таких ситуациях не определено, хотя исторически сложилось так, что все реализации memcpy используют копирование "от начала".

Собственно же история началась в конце прошлого года, когда очередное обновление Fedora сломало 64-битный Adobe Flash. Через некоторое время выяснилось, что причина поломки - выполненная с подачи Intel'овских инженеров оптимизация memcpy в glibc, которая теперь иногда стала выполняться "от конца", обеспечивая на некоторых процессорах выигрыш в скорости в полтора-два раза.

Ну а дальше начался цирк с конями диспут между двумя основными точками зрения на проблему.

Радикальная точка зрения, которой придерживаются авторы glibc, если коротко - "адобы каазлы, а того, кто настолько глуп, что доверился исторически сложившемуся поведению, а не описанному в стандарте, нельзя подпускать к клавиатуре".

Согласно более компромиссной позиции, представленной Линусом Торвальдсом, все-таки нехорошо оставлять крайним пользователя, которому по барабану, что там внутри, но который точно знает, что после обновления системы у него ломается Flash. Хотите бороться за производительность - воткните всю оптимизацию внутрь memmove, а memcpy просто превратите в ее алиас - все равно там теперь полно проверок, которых раньше не было в исходной memcpy, и ради отсутствия которых ее поведение и оказалось неопределенным. Т.е. идея в том, что вполне можно добиться того же роста производительности, не ломая совместимость. Хотя и это не совсем так - за 40 с лишним лет существования С наверняка нашлись программисты, использующие привычное поведение memcpy наизнанку - не для копирования, а для размножения шаблона по буферу. Но их уже совсем не жалко.

Конечно, закладываться на привычное, хоть и формально неопределенное поведение - очень, очень плохо, и в том идеальном мире, в котором, видимо, живут разработчики glibc, такое поведение нужно карать высшей мерой программистско-социальной защиты. Но мы живем в реальном мире, где уже стали хрестоматийными случаи, в которых Microsoft иногда приходится в новых версиях ОС воспроизводить недокументированное поведение и ошибки, используемые в популярном софте.

Просто надо понимать, что ушедшая к пользователям программа/библиотека уже не принадлежит полностью своему автору - мы в ответе за тех, кого приручили, и если у них сложился некий шаблон использования, даже не очень на наш взгляд верный, нужно сжать зубы и найти способ существовать с этим. При этом можно и нужно мягко воздействовать на пользователей, пытаясь склонить их в сторону "здорового образа жизни", но рубить сплеча - будет себе дороже.

P.S. Кстати, есть еще какие-то вопросы по поводу того, почему Линукс никогда не завоюет десктопы?

Источник: Red Hat Bugzilla, via avva lj
теги: linux  |  обсудить  |  все отзывы (6)

Создатель Java ушел в Google
dl // 28.03.11 22:09
Google продолжил пополнять свою коллекцию авторов ключевых современных языков программирования.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/03/10.html]
 Создатель Java Джеймс Гослинг (James Gosling) написал в своем блоге о переходе в Google. Забавно, что один из его патентов, связанных с Java, сейчас используется Oracle в их иске против Google.

Источник: ITworld
теги: java, google  |  обсудить  |  все отзывы (1)

MySQL.com взломали через SQL injection
dl // 28.03.11 16:43
Румынские взломщики взяли на себя ответственность за случившийся в эти выходные взлом mysql.com, который был проделан с помощью простейшего sql injection.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/03/09.html]
Утащили имена пользователей и хэши паролей, которые немедленно выложили в открытый доступ (а самые простые сразу подобрали). Кроме того, с января известо еще и про XSS-уязвимость на сайте.

Источник: The Register
теги: mysql, sql injection  |  обсудить  |  все отзывы (4)



««    «   141  |  142  |  143  |  144  |  145  |  146  |  147  |  148  |  149  |  150 >>  »    »»


Предложить свою новость

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple backdoor beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube


Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach