The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в библиотеке Libxml2

18.11.2008 22:40

Обнаружена критическая уязвимость в библиотеке Libxml2. Возможность целочисленного переполнения в функции "xmlSAX2Characters()" может привести к выполнению кода злоумышленника при обработке функциями библиотеки специально скомпонованного XML файла. Частично опасность уязвимости уменьшает тот факт, что для эксплуатации XML файл должен иметь огромный размер, но тем не менее проблеме присвоен уровень опасности "чрезвычайно критическая".

Уязвимость присутствует в Libxml2 2.7.2 и более ранних версиях, официальное обновление с исправлением проблемы пока не вышло, необходимо использовать патч или обновление пакета от разработчиков Linux дистрибутивов.

Особую опасность представляет, то что Libxml2 используется для парсинга XML во многих популярных приложениях, например, GNOME, Abiword, Evolution, KDE, OpenOffice.org, Bluez, Compiz, Gedit, Gpaint, GStreamer, Imagemagick, Inkscape, Nautilus, Rhythmbox, Transcode, Wine, VirtualBox, Yum, Sim, Scribus, ROX-Filer и т.д.

  1. Главная ссылка к новости (http://secunia.com/Advisories/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: Libxml2, xml, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (43) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Анонимн (?), 00:33, 19/11/2008 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.
     
     
  • 2.3, Guest (??), 01:16, 19/11/2008 [^] [ответить]    [к модератору]
  • +/
    +100

    К месту в прикладном ПО оно пока не применено нигде.

     
     
  • 3.4, anonymous (??), 01:27, 19/11/2008 [^] [ответить]    [к модератору]
  • +/
    >ПО оно пока не применено нигде.

    полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров

     
     
  • 4.5, Хелагар (ok), 01:38, 19/11/2008 [^] [ответить]    [к модератору]
  • +/
    От криворуких кодеров, увы, избавиться можно только 2-я методами:

    1) Отстреливая их.
    2) Насильно обучая до приемлемого уровня.

    Все остальные методы суть полумеры.

     
     
  • 5.15, Осторожный (ok), 08:36, 19/11/2008 [^] [ответить]    [к модератору]
  • +/
    >От криворуких кодеров, увы, избавиться можно только 2-я методами:
    >
    >1) Отстреливая их.
    >2) Насильно обучая до приемлемого уровня.
    >
    >Все остальные методы суть полумеры.

    Это не два метода - это один !
    Их нужно применять одновременно :)

     
  • 4.16, F (?), 09:22, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    > полный запрет html и только xhtml избавили бы часть интернета от криворуких кодеров

    http://www.webdevout.net/articles/beware-of-xhtml

     
  • 3.13, anonymous (??), 08:17, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    Лузеры оба. RSS сказать что такое? RPC-XML? DocBook? Jabber? DBUS?
    Если вы упорно не замечаете, как XML вас окружает - то вы наивные юзеры.
     
     
  • 4.14, одмин (?), 08:21, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с парсингом сообщений.

    Есть протоколы сериализации и получше xml.

     
     
  • 5.18, I (?), 09:38, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    Какие? Чем лучше? Прям таки лучше для абсолютно любых применений?
     
     
  • 6.21, vitek (??), 09:58, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    в том то и дело, что все говорят о "любых применениях", но не об одном, частном.
    Вы пакеты жабера xmleditor'ом ловить собираетесь?
    при вменяемом api всё равно какой формат.

    я не против xml, но пихать его во всё без разбора - маразм.

     
     
  • 7.23, F (?), 10:21, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    С этим согласен.
     
  • 6.27, Michael Shigorin (ok), 12:02, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    sexp-ы, например.  Абсолютно для любых, хоть программы пиши.
     
  • 5.26, anonymous (??), 11:27, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI. И кто теперь им пользуется в юзерспейсе?
     
     
  • 6.41, Michael Shigorin (ok), 20:28, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >Навскидку и не вспомнили, ага. Может, например ASN.1? Ага, стандарт OSI.

    Только вот в libtasn1 бывают баги не менее неприятные, которые имели стандарт в виду...

    >И кто теперь им пользуется в юзерспейсе?

    TLS?

     
  • 5.35, User294 (??), 19:30, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >  XML окружает и от этого тока хуже. Я не вижу ничего что дал xml жабберу кроме гемора с
    > парсингом сообщений.

    Да уж, когда откровенно бинарные аватар или фото КОДИРУЮТ В ЮЮКИ только для того чтобы его можно было запихнуть в XMLку от чего и без того не мелкий файл пухнет на треть (это при том что гора XMLятины и так компактностью не страдает) - это называется defective by design на мою имху.Как посмотришь сколько траффика аська съедает и сколько жаббер при логине при прочих равных... уу... особенно с жпрс... =\

     
     
  • 6.36, Michael Shigorin (ok), 19:33, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и вернуться где-то к нижней её части "на жиле".
     
     
  • 7.38, PereresusNeVlezaetBuggy (ok), 20:12, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >Поверх этой стопки можно взгромоздить stream compression (даже Bombus умеет) -- и
    >вернуться где-то к нижней её части "на жиле".

    С маленькой поправкой: не на всяком мобильнике эта фишка работает, нужна поддержка ОС. :(

     
  • 4.42, Guest (??), 00:50, 20/11/2008 [^] [ответить]    [к модератору]  
  • +/
    > RSS сказать что такое?

    RSS это не прикладуха. Это вместе с Web оставим.

    > RPC-XML? DocBook? Jabber? DBUS?

    А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.

     
  • 4.44, Guest (??), 01:00, 20/11/2008 [^] [ответить]    [к модератору]  
  • +/
    > RSS сказать что такое?

    RSS это не прикладуха. Это вместе с Web оставим.

    > RPC-XML? DocBook? Jabber? DBUS?

    А вот это как раз отличные примеры где НЕ НАДО БЫЛО использовать XML.

     
  • 2.6, PereresusNeVlezaetBuggy (ok), 01:43, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для
    >IPC перегружена.

    А я не пью, мне противно :)

     
  • 2.7, User294 (ok), 03:19, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >XML есть блоатваре,

    +1 =) Хрен поспоришь-желание все и вся представить как XML, например как в жаббере очень похоже на маниакальное желание забить все и вся, от мебельного гвоздика до железнодорожного костыля пренепременно своим любимым микроскопом и никак иначе.

    >ибо в конфигах нечитабельна,

    При хорошем форматировании - сойдет но не более того.

    >а для IPC перегружена.

    Дык....

     
  • 2.17, F (?), 09:27, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    > XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

    XML полезен в некоторых случаях, но, к сожалению, применяется часто и не к месту.

     
  • 1.2, Аноним (-), 00:38, 19/11/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    увы, +1
     
  • 1.8, Аноним (8), 06:00, 19/11/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    убунта уже обновилась...
     
  • 1.9, Alex (??), 07:25, 19/11/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Сам противник XML но при разумном подходе XML+HTML на больших объёмах позволяют достичь компактного результата.
    Но порою как глянешь, что вытворяют различные генераторы, да некоторые умельцы, удивляешься тому что ещё есть чему удивляться...
     
  • 1.10, Nikolaos (?), 07:28, 19/11/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >> XML есть блоатваре, которая должна сдохнуть, ибо в конфигах нечитабельна, а для IPC перегружена.

    Мощнее XML еще ничено не придумали, и никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml.

     
     
  • 2.11, Аноним (11), 07:51, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    На XML уже можно писать вирусы? А грабить корованы?
     
     
  • 3.20, F (?), 09:53, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >На XML уже можно писать вирусы? А грабить корованы?

    XSLT, между прочим, полный по Тьюрингу :)

     
     
  • 4.29, User294 (ok), 13:01, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >XSLT, между прочим, полный по Тьюрингу :)

    Брэйнфак, кстати тоже.Давайте все резко начнем использовать брэйнфак в конфигах?Как бонус - враги и хакеры сойдут с ума при попытках разобраться со всем этим.Главное не сойти с ума самому :)

     
  • 2.19, vitek (??), 09:51, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    а зачем Вам универсальность в "самопальном" cfg?
    xml не добавит стабильности в работе ПО только потому, что на него перевели конфигурационный файл.
    а ini файлы и так достаточно универсальны и просты.
     
     
  • 3.22, Зилибоба (?), 10:13, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    А главное Human Readable, что заложено в основу любой юникс системы. В unix way заложен принцип умопостижимости контекста, XML не отвечает этому принципу, соответственно XML - не unix way, хотя - пусть живет...
     
  • 2.43, Guest (??), 00:53, 20/11/2008 [^] [ответить]    [к модератору]  
  • +/
    > никакие ini файлы или самопальный cfg не дадут вам той универсальности, что даст xml

    C++ еще универсальней! А лучше Java!! Будем писать конфиги на Java!

     
  • 1.24, Аноним (11), 10:38, 19/11/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт :)
     
     
  • 2.25, Зилибоба (?), 10:42, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
    >:) нет, в целом XML хорошь, но не проходит тест на unix way совместимость =)
     
  • 2.28, ононим (?), 12:55, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
    >:)

    Цитата с ЛОР:
    "И как-то вдруг неожиданно приехало:
    Size: 931 KB
    A security issue has been identified in Microsoft XML Core Services (MSXML) that could allow an attacker to compromise your Windows-based system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
    More information for this update can be found at http://go.microsoft.com/fwlink/?LinkId=128803

    Хммм..."

    а вы говорите...

     
     
  • 3.30, I (?), 13:33, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?
     
     
  • 4.40, Michael Shigorin (ok), 20:23, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >Списывание обнаруживается по одинаковым ошибкам. MSXML основан на libxml?

    По сравнению CVE-2007-0099 и патча для CVE-2008-4226 (в обоих случаях возможен memory corruption, только у MS вследствие race condition, а в libxml2 -- integer overflow) мне так не показалось, хотя тайминг действительно интересный получился...

     
  • 3.32, User294 (ok), 15:01, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >A security issue has been identified in Microsoft XML Core Services (MSXML)

    Господи, это в который раз то уже?Там по жизни полная ... с дырами.А на паре машин апдейтер вообще сломался - считает своим долгом после накатывания этого апдейта предложить его еще раз.Наверное для надежности, чтобы уж наверняка.При том не понятно как его все-таки убедить что этот апдейт уже установлен.MS - ахтунгисты покруче любых опенсорцников...

     
  • 2.31, anonymous (??), 14:44, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >читаю комментарии и плачу, навзрыд! Ждем, когда в кривости XML обвинят Микрософт
    >:)

    Konechno eto proiski MS. Ili vy imeete na primete esche kogo nit'? :)

    PS: Vsemu svoe mesto. XML v instant messenger'ah, i v config'ah - zlo.

     
     
  • 3.34, anonymous (??), 16:40, 19/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >PS: Vsemu svoe mesto. XML v instant messenger'ah... - zlo.

    Свой нарисуй.

     
  • 1.33, Аноним (11), 16:39, 19/11/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А почему такой флейм, я обновился еще в 7:00 МСК
     
  • 1.45, grgdvo (?), 05:52, 20/11/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А что вы на XML то все накинулись...?! Хороший способ представления структурированной информации во многих приложениях.

    Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование любого продукта хромает

     
     
  • 2.46, RedStalker_Mike (??), 09:17, 20/11/2008 [^] [ответить]    [к модератору]  
  • +/
    >А что вы на XML то все накинулись...?! Хороший способ представления структурированной
    >информации во многих приложениях.
    >
    >Другое дело парсеры пишут криво, но с этим приходится мириться - тестирование
    >любого продукта хромает

    Согласен! Не стоит в чём то порицать средство - нужно порицать тех, кто его криво использует!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor