LINUX.ORG.RU
НовостиБезопасность

Вы пользуетесь libxml2?

 ,


0

0

Сразу две критические уязвимости были найдены в библиотеке Libxml2.

1) Возможность целочисленного переполнения в функции xmlSAX2Characters(), которая может привести к порче памяти (и потенциально выполнению зловредного кода) при обработке функциями библиотеки XML-файла достаточно большого объема.

2) Целочисленное переполнение в функции xmlBufferResize(), которое может привести к зацикливанию программы (и, соответственно, DoS). Эта ошибка тоже проявляется при обработке очень больших XML-файлов.

Эти уязвимости относятся к версии 2.7.2, т.е. текущей. Прошлые версии, скорее всего, также подвержены этим уязвимостям.

Решение от Redhat: https://bugzilla.redhat.com/show_bug.... и https://bugzilla.redhat.com/show_bug....

>>> Подробности

★★★★

Проверено: UVV ()
Последнее исправление: Klymedy (всего исправлений: 1)
Представлена «Cray OS»
Transmeta куплена Novafora

1 2

> Вы пользуетесь libxml2?

да кто-ж его не использует…

dmiceman ★★★★★
()

/me вроде сабж ещё в прошлом месяце удалил. ЕМНИП, за ненадобностью.

GFORGX ★★★
()

> Эти уязвисмости относятся к версии 2.7.2, т.е. текущей. Хорош гнать. В 2.7.2 их пофиксили.

anonymous
()
Ответ на: комментарий от dimon555

> переполнение памяти by default?

отсутствует из коробки. для больших xml придуман SAX

Deady
()
Ответ на: комментарий от anonymous

> Хорош гнать. В 2.7.2 их пофиксили.

Свистишь, на xmlsoft.org ничего об этом нету.

shimon ★★★★★
()
Ответ на: комментарий от Bohtvaroh

А вообще API у этой либы страшен шо писец, все кишки торчат наружу. Жаль, что полноценных альтернатив на Си нету.

Bohtvaroh ★★★★
()
Ответ на: комментарий от Bohtvaroh

>P.S.: в ubuntu уже обновился пакет

дадада. я вот сначала прочитал новость тут, потом запустил на дектопе обновлятор. смотрю - знакомые грабли.

teferiincub
()
Ответ на: комментарий от Bohtvaroh

>P.S.: в ubuntu уже обновился пакет

+1 - только что обновил.

anonymous
()
Ответ на: комментарий от Bohtvaroh

Re^2: Вы пользуетесь libxml2?

> А вообще API у этой либы страшен шо писец, все кишки торчат наружу. Жаль, что полноценных альтернатив на Си нету.

xerces?

gaa ★★
()
Ответ на: комментарий от Bohtvaroh

> А вообще API у этой либы страшен шо писец, все кишки торчат наружу. Жаль, что полноценных альтернатив на Си нету.

Не ясно чего там не так с ИПП... вроде дом он и в афри^W^W^W^W яве дом. Как и сакс. Хотя я может не совсем понимаю о чём речь. Так или иначе, но если Вам нужна альтернатива, есть xerces, и для си и для ява есть - лицензия апач.

AndreyKl ★★★★★
()

В security-рассылке Debian за последний месяц два уведомления об исправлениях в libxml2 было, это не оно?

Если оно - то это уже давно не новости. И вообще, почему бы не сделать трансляцию какой-нибудь security-рассылки прямиком в новости, чтоб провокаторы вроде iRunix'а поняли что троллить надо тоньше :)

morbo
()

И как-то вдруг неожиданно приехало:
Size: 931 KB
A security issue has been identified in Microsoft XML Core Services (MSXML) that could allow an attacker to compromise your Windows-based system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
More information for this update can be found at http://go.microsoft.com/fwlink/?LinkId=128803

Хммм...

anonymous
()

Специально не поленился - заглянул в рассылку, вчера было уведомление о двух уязвимостях в libxml2 и об одной 14 октября.

morbo
()

вси равно её не брошу, потому что он хороший

fMad ★★★
()

И чё?

А-а-а!!. Мы фсе умрём!

ip1981 ☆☆
()
Ответ на: комментарий от Bohtvaroh

> А фигу, LGPL.

libxml2 вообще-то распространяется под лицензией MIT.

В LGPL больше ограничений. Сомневаюсь, что MS смогли бы легально скрывать факт использования ими libxml, если бы библиотека была под LGPL.

Fice ★★
()
Ответ на: комментарий от Bohtvaroh

Re^4: Вы пользуетесь libxml2?

>> xerces?

> Разве оно не на плюсах?

Да, что-то меня название xerces-c смутило. Тогда да, кушайте кактус-с.

gaa ★★
()

>libxml2

Решето!!!

anonymous
()

Чорд. У меня в репозитарии до сих пор 2.7.1. =((

Jayrome ★★★★★
()
Ответ на: комментарий от iRunix

>В чем троллинг-то, болезный?

Просто предвижу дальнейшее развитие дискуссии: "libxml2 - решето, как и весь Linux, а потому пользуйтесь Mac".

morbo
()
Ответ на: комментарий от morbo

>Просто предвижу дальнейшее развитие дискуссии: "libxml2 - решето, как и весь Linux, а потому пользуйтесь Mac".

Поменьше думай о маке. :-)

iRunix ★★★★
() автор топика

Спасибо, уже обновился :)

Demon37 ★★★★
()
Ответ на: комментарий от morbo

или теперь положительные новости - родят флейм на тему "линукс - это круто, не пользуйтесь маком" а отрицательные "Линукс решето, пользуйтесь маком"? На маке свет клином не сошелся...

iRunix ★★★★
() автор топика

libxml2 - пакостная библиотека. Пользоваться неудобно, документация ни к чёрту, ещё и в пафосных золотых тонах.

anonymous
()
Ответ на: комментарий от anonymous

Re^2: Вы пользуетесь libxml2?

> libxml2 - пакостная библиотека. Пользоваться неудобно, документация ни к чёрту, ещё и в пафосных золотых тонах.

Ничего не поделаешь, это гном.

gaa ★★
()
Ответ на: комментарий от Bohtvaroh

Re^4: Вы пользуетесь libxml2?

> Не свисти. Glib/GTK нормальные люди писали, а эту чертовщину вообще не понять кто.

# apt-cache show libxml2 | grep Description
Description: GNOME XML library

Ещё попытки перевести стрелки будут?

PS. И, кстати, я не считаю людей, пишущих непомерно непонятную пое..нь нормальными.

gaa ★★
()
Ответ на: Re^4: Вы пользуетесь libxml2? от gaa

API glib/gtk+ удобнее и интуитивнее, чем libxml2 (если тут вообще уместно говорить об интуитивности). Libxml2 стоит особняком от других гномовских библиотек, потому что она не зависит от glib и её API не похож на другие.

anonymous
()
Ответ на: Re^4: Вы пользуетесь libxml2? от gaa

> Description: GNOME XML library

Ты наверное думаешь, что gnome - это такое маленькое существо, которое и написало gnome? Это я к тому, что тупо так негативно отзываться из-за одной либы обо всё проекте.

> PS. И, кстати, я не считаю людей, пишущих непомерно непонятную пое..нь нормальными.

Это ты о Tk? Поддерживаю. :D А вообще каждый понимает в меру своего понимания.

Bohtvaroh ★★★★
()
Ответ на: комментарий от anonymous

> API glib/gtk+ удобнее и интуитивнее, чем libxml2 (если тут вообще уместно говорить об интуитивности). Libxml2 стоит особняком от других гномовских библиотек, потому что она не зависит от glib и её API не похож на другие.

В точку! :) Куча структур с открытыми внутренностями, для разных структур разные "free" и так далее.

Bohtvaroh ★★★★
()
Ответ на: комментарий от Bohtvaroh

Re^6: Вы пользуетесь libxml2?

>> Description: GNOME XML library

> Ты наверное думаешь, что gnome - это такое маленькое существо, которое и написало gnome? Это я к тому, что тупо так негативно отзываться из-за одной либы обо всё проекте.

Если бы одной. Там таких либ тысячи :)

>> PS. И, кстати, я не считаю людей, пишущих непомерно непонятную пое..нь нормальными.

> Это ты о Tk? Поддерживаю. :D А вообще каждый понимает в меру своего понимания.

Не зря я про стрелки вспомнил, не зря. Вот уже и переводы начались.

gaa ★★
()

Вы все еще пользуетесь XML?

Тогда мы идем к вам с эксплоитом!

anonymous
()
Ответ на: комментарий от iRunix

>В чем троллинг-то, болезный?

ну ты же тролль :)

anonymous
()
Ответ на: комментарий от iRunix

>На маке свет клином не сошелся...

очень тонко, ирунекс! скажи, а как тебе удалось тролля под панду загримировать?

anonymous
()
Ответ на: комментарий от morbo

> Просто предвижу дальнейшее развитие дискуссии: "libxml2 - решето, как и весь Linux, а потому пользуйтесь Mac".

Так чувак из яббла, Дрю Яо, эти две дырки и нашел. А в Mac OS X libxml2 используется, да еще как!

shimon ★★★★★
()
Ответ на: комментарий от shimon

>> Просто предвижу дальнейшее развитие дискуссии: "libxml2 - решето, как и весь Linux, а потому пользуйтесь Mac".

>Так чувак из яббла, Дрю Яо, эти две дырки и нашел. А в Mac OS X libxml2 используется, да еще как!

Тсссс!

morbo
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Представлена «Cray OS»
Безопасность
Transmeta куплена Novafora