LINUX.ORG.RU

Найдено около 1200 уязвимостей в debian.

 , mayhem,


1

2

Наткнулся на интересное почтовое сообщение от Alexandre Rebert в рассылке Debian'а. Думаю исследование Alexandre Rebert'a даёт представление об действительном положении вещей с безопасностью программного обеспечения.

Оригинал сообщения находится по ссылке. Здесь я приведу свой, не полный, перевод:

Привет,

я занимаюсь поиском уязвимостей в программном обеспечении в Carnegie Mellon University. Моя рабочая группа нашла тысячи необработанных исключений в бинарных пакетах из репозиториев debian wheezy. Don Armstrong (owner@bugs.debian.org) посоветовал нам связаться с вами, прежде чем заполнить около 1200 отчётов об ошибках.

Ошибки были найдены с помощью Mayhem, - автоматической системой поиска ошибок, разрабатываемой в течении нескольких лет в исследовательской лаборатории David Brumley. Mayhem'ом были проверены почти все бинарные файлы (~23000) из репозитория Debian Wheezy.

Наша цель заполнить отчёты об ошибках как можно полнее. Чтобы уменьшить кол-во дубликатов, мы сообщаем только об одном необработанном исключении в каждом бинарном файле, и максимум о пяти в одном пакете. Таким образом отчёт содержит около 1200 уязвимостей.

>>> Оригинал

★★★

Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 3)
Ответ на: комментарий от anonymous

5% пакетов с ошибками - весьма неплохой результат. Если мне не изменяет память, то у Fedora 10% или 13% пакетов с ошибками. В случае арча подозреваю еще больший процент.

alex-w ★★★★★
()
Ответ на: комментарий от alex-w

5% пакетов с ошибками - весьма неплохой результат. Если мне не изменяет память, то у Fedora 10% или 13% пакетов с ошибками. В случае арча подозреваю еще больший процент.

откуда данные что у федоры столько ошибок?

pear-user
()
Ответ на: комментарий от alex-w

Ты же в курсе, что в дебиане ядро 3.2.0 на самом деле соответствует не 3.2.0 с кернел.орг?

А ты же в курсе, что SlowwwwwBian слоупочит?

init_6 ★★★★★
()
Ответ на: комментарий от alex-w

Хрен знает чему оно соответствует. Или ты думаешь что боги кода в дебиане бэкпортируют с недостижимым для плебсо-разрабов ваниллы качеством?

anonymous
()
Ответ на: комментарий от Deleted

Илитка ставит распоследнее сразу из печки? :}

А что умвр и я не жалуюсь.

init_6 ★★★★★
()
Ответ на: комментарий от drBatty

интересно, если ты сможешь ронять мой google-chrome, как только я зайду на твой быдлосайт с твоим быдлокодом, то чем тебе это поможет в твоей никчёмной жизни?

если есть переполнение буфера, то при надобности можно потратить ресурсы на превращение этой уязвимости в исполнение кода.

xtraeft ★★☆☆
()
Ответ на: комментарий от azazello

скажу больше, что crash в случае возможности повреждения пользовательских данных или возникновения потенциальной уязвимости(и невозможности это обработать) - это именно правильное средство завершения программы с наименьшими потерями для конечного пользователя. в т.ч. и в области безопасности.

Какая чепуха

ostin ★★★★★
()
Ответ на: комментарий от drBatty

Можно ссылку, где ты вычитал про потенциальные ошибки? Я смотрю, они там core dump прикладывать собрались, бектрейс gdb. В этой связи вообще непонятно, нафига ты свой пример с минус первым элементом массива написал. Если в программу можно передать данные, которые вызовут ее падение - это серьезная проблема.

ostin ★★★★★
()

Ну что тут скажешь, ждем очередную 0-day уязвимость (или уязвимости).

ostin ★★★★★
()
Ответ на: комментарий от andreyu

Для тупых повторю:
«На три порядка - это 1200000. В дебиане каков размер пакетной базы?»
Впрочем для вас это бесполезно, вы же все равно читать не умеете.

Если у тебя ПМС, это не значит, что окружающие не умеют читать или считать, это значит лишь то, что у тебя ПМС.

af5 ★★★★★
()
Ответ на: комментарий от af5

Если у тебя ПМС, это не значит, что окружающие не умеют читать или считать, это значит лишь то, что у тебя ПМС.

Если бы вы умели читать, то тупого вопроса не задали бы.

andreyu ★★★★★
()
Ответ на: комментарий от andreyu

Если бы вы умели читать, то тупого вопроса не задали бы.

А я вот считаю тупым вопрос о размере пакетной базы и лишь намекнул на это. Но 5 звёздочек это 5 звёздочек, выходит ты прав и с этим ни чего не поделаешь.

af5 ★★★★★
()
Ответ на: комментарий от firestarter

Эти «просто факапы» могут иметь и очень серьезные последствия, если ПО выполняет очень серьезную работу

Тем не менее, это не уязвимость в ПО. Это недоработка, если ПО - критически важное, то это критическая недоработка и она должна быть исправлена. Но, повторюсь, это не имеет никакого отношения к безопасности самого ПО.

Pinkbyte ★★★★★
()
Ответ на: комментарий от sjinks

Если же она (точнее, программист) надеется на авось, то программа в лучшем случае будет завершена по сигналу операционной системой — что говорит об ошибке в программе.

Необработанные исключения в самой программе - это безусловно плохо, тут я и не собирался спорить.

Pinkbyte ★★★★★
()
Ответ на: комментарий от init_6

Да пока что слоупочит в треде не дебиан.

alex-w ★★★★★
()
Ответ на: комментарий от xtraeft

интересно, если ты сможешь ронять мой google-chrome, как только я зайду на твой быдлосайт с твоим быдлокодом, то чем тебе это поможет в твоей никчёмной жизни?

если есть переполнение буфера, то при надобности можно потратить ресурсы на превращение этой уязвимости в исполнение кода.

нет, мы о том, что хром просто падает, без переполнения буфера. Или с таким переполнением, которое _всегда_ вызывает сегфолт(например буфер становится размером 100500Гб, либо выполняется команда, которой нет, либо выполняется деление на ноль, либо…)

drBatty ★★
()
Ответ на: комментарий от ostin

Можно ссылку, где ты вычитал про потенциальные ошибки? Я смотрю, они там core dump прикладывать собрались, бектрейс gdb.

ну вот как приложат, так и посмотрим. А пока это всё вилами по воде.

drBatty ★★
()
Ответ на: комментарий от Pinkbyte

Тем не менее, это не уязвимость в ПО. Это недоработка, если ПО - критически важное, то это критическая недоработка и она должна быть исправлена. Но, повторюсь, это не имеет никакого отношения к безопасности самого ПО.

люто, бешено плюсую.

drBatty ★★
()
Ответ на: комментарий от Pinkbyte

Тем не менее, это не уязвимость в ПО.
Это недоработка, если ПО - критически
важное, то это критическая недоработка
и она должна быть исправлена. Но,
повторюсь, это не имеет никакого
отношения к безопасности самого ПО.

Я придерживаюсь лексического значения слова «уязвимость». Возможность уронить ПО внешними раздражителям-- уязвимость. Это следует из значения слова.

firestarter ★★★☆
()
Ответ на: комментарий от firestarter

Возможность уронить ПО внешними раздражителям-- уязвимость.

В компьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно нарушить её целостность _и_ вызвать неправильную работу.

не благодари

geek ★★★
()
Ответ на: комментарий от geek

В компьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно нарушить её целостность _и_ вызвать неправильную работу.

И что, по твоему креши не являются неправильной работой?

firestarter ★★★☆
()
Ответ на: комментарий от firestarter

И что, по твоему креши не являются неправильной работой?

ВНЕЗАПНО креши далеко не всегда нарушают целостность системы.

geek ★★★
()
Ответ на: комментарий от geek

ВНЕЗАПНО креши далеко не всегда нарушают целостность системы.

Прекрати шланговать как drBatty, в твоей цитате говорилось ещё и о неправильной работе. Ещё раз спрашиваю, является ли крэш неправильной работой?

firestarter ★★★☆
()
Последнее исправление: firestarter (всего исправлений: 1)
Ответ на: комментарий от init_6

А ты же в курсе, что SlowwwwwBian слоупочит?

А ты в курсе, что из всех существующих на данный момент LTS-версий ядра именно 3.2 будет поддерживаться дольше всех?

anonymous
()
Ответ на: комментарий от firestarter

Прекрати шланговать как drBatty, в твоей цитате говорилось ещё и о неправильной работе

ты значение союза «и» знаешь?

geek ★★★
()
Ответ на: комментарий от geek

Он там ни к месту употреблен, там должен быть «или». Мне непонятно почему должны быть соблюдены оба условия. То есть если вызвать только неправильную работу, то это якобы не уязвимость? Бред же.

firestarter ★★★☆
()
Последнее исправление: firestarter (всего исправлений: 1)
Ответ на: комментарий от firestarter

Он там ни к месту употреблен

«ага, конечно»

Vulnerability is the intersection of three elements: a system susceptibility or flaw, attacker access to the flaw, and attacker capability to exploit the flaw

а тут что не к месту?

Мне непонятно

это объясняет практически всё

geek ★★★
()

Неудивительно - ведь в дебиане пакеты древние как мир.

chabapok
()
Ответ на: комментарий от geek

Vulnerability is the intersection of three elements: a system susceptibility or flaw, attacker access to the flaw, and attacker capability to exploit the flaw а тут что не к месту?

Здесь всё к месту и не противоречит моим словам. Давай я тебе переведу этот текст, раз ты такой неуч. Уязвимость это пересечение трех вещей: чувствительности системы или трещины (дыра, ошибка), доступа атакующего к ней и возможности у атакующего её эксплуатировать.

firestarter ★★★☆
()
Последнее исправление: firestarter (всего исправлений: 1)
Ответ на: комментарий от firestarter

и возможности у атакующего её эксплуатировать.

с этого места поподробнее. Проэксплуатируй мне сегфолт в пасьянсе

geek ★★★
()
Ответ на: комментарий от geek

с этого места поподробнее. Проэксплуатируй мне сегфолт в пасьянсе

А он разве уязвим? У меня нет информации о возможностях его уронить. Да и самой венды у меня нет. Дай что нибудь подоступнее.

firestarter ★★★☆
()
Последнее исправление: firestarter (всего исправлений: 1)
Ответ на: комментарий от firestarter

А он разве уязвим?

Не знаю. Представь, что уязвим. Как ты _проэксплуатируешь_ уязвимость?

btw, в ballz (тоже игра, если что) точно есть «уязвимость» по твоей терминологии (crash по терминологии mayhem). Покажи, как эту уязвимость эксплуатировать. Не стесняйся, жги напалмом.

geek ★★★
()
Ответ на: комментарий от rezedent12

Тем более что многие вместо того что бы писать обработку исключения при отсутствии файла, пишут проверку наличия файла перед обращением к нему.

Пишут. Но проверка наличие файла и последующее открытие — не атомарные операции, а значит, что после проверки наличия файла CPU может переключится на другой процесс, который удалит файл, далее переключаемся назад на наш процесс — и бац!

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от geek

Покажи, как эту уязвимость эксплуатировать. Не стесняйся, жги напалмом.

Собственно вызов злоумышленником сегфолта это эксплуатация. Игрушка то для него интереса не представляет. А вот если можно было бы таким образом уронить что нибудь посерьезнее, другое дело. Например роняем сервер интернет-магазина и владелец несет несет убытки. Чем не эксплуатация?

Или вон некоторые вирусы роняли антивирус. Тоже эксплуатировали.

firestarter ★★★☆
()
Последнее исправление: firestarter (всего исправлений: 1)
Ответ на: комментарий от firestarter

Собственно вызов злоумышленником сегфолта это эксплуатация. Игрушка то для него интереса не представляет.

не увиливай. Это ты заявил, что креш - то уязвимость. Вот я тебя и прошу - продемонстрировать мне эксплуатацию уязвимости в ballz

А вот если можно было бы таким образом уронить что нибудь посерьезнее, другое дело.

а, до тебя таки дошло, почему не всякий креш == уязвимость? )

geek ★★★
()
Ответ на: комментарий от geek

Это ты заявил, что креш - то уязвимость. Вот я тебя и прошу - продемонстрировать мне эксплуатацию уязвимости в ballz

Я выше уже сказал что вызов злоумышленником крэша это уже эксплуатация уязвимости.

а, до тебя таки дошло, почему не всякий креш == уязвимость? )

Всякий, просто не всякая уязвимость может иметь серьезные последствия и не всякая уязвимость представляет интерес для злоумышленника. Это и так должно быть очевидно.

firestarter ★★★☆
()
Ответ на: комментарий от firestarter

Я выше уже сказал что вызов злоумышленником крэша это уже эксплуатация уязвимости.

facepalm.jpg

сел ты за чужой комп, запустил ballz, понажимал кнопочки - ballz хряпнулись. Чего ты этим добился? Проэкспулатировал уязвимость? И где собсно результат эксплуатации?

Всякий

какая каша в голове. Скажи, а стандартный способ уронить приложение - это уязвимость или нет?

geek ★★★
()
Ответ на: комментарий от geek

facepalm.jpg

Что не так? Возможность вызвать крэш — уязвимость. Вызов злоумышленником крэша — эксплуатация уязвимости.

сел ты за чужой комп, запустил ballz, понажимал кнопочки - ballz хряпнулись. Чего ты этим добился? Проэкспулатировал уязвимость? И где собсно результат эксплуатации?

Прекрати шланговать как drBatty. Результат эксплуатации — он упал. Я знал что эти действия приведут к этому, потому что мне была известна эта уязвимость и я ей воспользовался (эксплуатировал).

Скажи, а стандартный способ уронить приложение - это уязвимость или нет?

Что за ерунду ты несешь, какой ещё стандартный способ уронить может быть? :D

firestarter ★★★☆
()
Ответ на: комментарий от af5

А я вот считаю тупым вопрос о размере пакетной базы и лишь намекнул на это. Но 5 звёздочек это 5 звёздочек, выходит ты прав и с этим ни чего не поделаешь.

Вопрос о размере пакетной базы был задан в контексте «несколько порядков» тому, кто вероятно порядки с разами путает. Но вы решили вставить свои пять копеек, не потрудившись почитать ветку.

andreyu ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.