В Red Hat Enterprise Linux устранена уязвимость в OpenSSH

0

1

Для Red Hat Enterprise Linux 6.x выпущено обновление пакета openssh-5.3p1-84.1.el6 с устранением уязвимости CVE-2012-5536? которая может привести к выполнению кода с root-привилегиями злоумышленником. Проблеме присвоен средний уровень опасности (, так как уязвимость может быть задействована локальным пользователем системы и требует включения модуля pam_ssh_agent_auth, который не активирован по дефолту.

Данная проблема вызвана ошибкой при сборке модуля pam_ssh_agent_auth, в результате чего при возникновении ошибок вместо встроенной функции error() осуществлялся вызов функции из Glibc, которая несмотря на совпадение имени имеет совершенно иной набор аргументов.

Подробности

Перемещено Shaman007 из security

Ссылка

←	nginx в chroot: а надо ли?

Возможно ли расшифровать хотя бы часть SSH траффика, имея ключ и сертификат одной стороны?

→

Показаны ответы на комментарий. Показать все комментарии.

Ответ на: комментарий от drBatty 23.02.13 08:34:21 UTC

Я всегда говорил, что называть функции как error могут только идиоты

function kahwdfgebao() лучше?

~~wintrolls~~ ☆☆
(23.02.13 22:31:24 UTC)

Ответ на: комментарий от wintrolls 23.02.13 22:31:24 UTC

function kahwdfgebao() лучше?

да. Ибо не конфликтует с glibc. error(3) это давно известное GNU расширение.

~~drBatty~~ ★★
(24.02.13 13:21:36 UTC)

Ответ на: комментарий от drBatty 24.02.13 13:21:36 UTC

error(3) это давно известное GNU расширение

OpenSSH is developed by the OpenBSD Project
OpenSSH is developed by two teams. One team does strictly OpenBSD-based development, aiming to produce code that is as clean, simple, and secure as possible. We believe that simplicity without the portability «goop» allows for better code quality control and easier review. The other team then takes the clean version and makes it portable (adding the «goop») to make it run on many operating systems — the so-called -p releases, ie «OpenSSH 4.0p1».

Гнупроблемы, в общем.

~~wintrolls~~ ☆☆
(24.02.13 16:26:32 UTC)

Ответ на: комментарий от wintrolls 23.02.13 22:31:24 UTC

my_error()

anonymous
(24.02.13 16:40:04 UTC)

Ответ на: комментарий от anonymous 24.02.13 16:40:04 UTC

my_error()

my_success(), my_win(), my_fail(), my_some_another_function().

~~wintrolls~~ ☆☆
(24.02.13 16:44:00 UTC)

Ответ на: комментарий от wintrolls 24.02.13 16:44:00 UTC

Быстро учишься, молодец.

anonymous
(24.02.13 16:44:56 UTC)

Ссылка

Ответ на: комментарий от wintrolls 24.02.13 16:26:32 UTC

Гнупроблемы, в общем.

ну GNU тоже. Обычный тупой быдлокод. По уму надо было gnu_error(3) и bsd_error().

~~drBatty~~ ★★
(24.02.13 16:59:59 UTC)

Ссылка

Ответ на: комментарий от wintrolls 24.02.13 16:44:00 UTC

my_success(), my_win(), my_fail(), my_some_another_function().

это ещё ладно, но создателям PAM или SSL явно надо было ознакомится с Linux Programmer's Manual, а именно с man error

~~drBatty~~ ★★
(24.02.13 17:02:15 UTC)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	nginx в chroot: а надо ли?

Security

Возможно ли расшифровать хотя бы часть SSH траффика, имея ключ и сертификат одной стороны?

→

Похожие темы