https://opennet.dev/openforum/vsluhforumID3/104987.html В опубликованном (http://permalink.gmane.org/gmane.mail.opensmtpd.general/3009) на днях выпуске SMTP-сервера OpenSMTPD 5.7.2 (https://opensmtpd.org/), развиваемого под эгидой проекта OpenBSD и нацеленного на создание простой и безопасной замены Sendmail, представлены исправления, подготовленные по результатам проведённого компанией Qualys Security аудита безопасности кодовой базы, в ходе которого было выявлено несколько уязвимостей. В том числе обнаружены локальное переполнение буфера и удалённо эксплуатируемая use-after-free-уязвимость, которые потенциально могут привести к выполнению кода злоумышленника с правами пользователя smtpd вне chroot-окружения.<br><br><br><br>Интересно, что разработчики OpenBSD отказались (http://comments.gmane.org/gmane.mail.opensmtpd.general/3011) поменять на сайте (http://www.openbsd.org/) заявление о наличии только двух удалённо эксплуатируемых уязвимостях в базовой поставке OpenBSD за всю историю существования проекта. Отказ мотивирован тем, что OpenSMTPD по умолчанию принимает соедин https://opennet.dev/openforum/vsluhforumID3/104987.html#74 Sun, 29 Sep 2019 20:27:31 GMT &gt; А теперь открываем список уязвимостей Exim и Postfix и видим, как можно писать аккуратно без использования защитных мер<br><br>Пишу из 2019 года. У нас теперь этот список уязвимостей Exim постоянно перед глазами.<br> https://opennet.dev/openforum/vsluhforumID3/104987.html#73 Thu, 15 Oct 2015 07:48:42 GMT Угу, свобода по FSF это жизнь в ограничениях.<br> https://opennet.dev/openforum/vsluhforumID3/104987.html#72 Thu, 08 Oct 2015 21:13:18 GMT www2,<br>"Я оспариваю, что одним лишь выбором <br>"правильного" языка можно внезапно избавиться от всех ошибок, как думают некоторые"<br> <br>В этой части согласен с вами, но стоит ли игнорировать возможность избавиться от некоторых?<br><br><br> https://opennet.dev/openforum/vsluhforumID3/104987.html#71 Thu, 08 Oct 2015 21:03:34 GMT &gt; "локальное переполнение буфера" Шёл 21 век...<br>&gt; Всё ещё находятся "не слишком умные" товарищи, пишущие на C/C++?? <br><br>http://www.opennet.ru/openforum/vsluhforumID3/104987.html#69<br> https://opennet.dev/openforum/vsluhforumID3/104987.html#70 Thu, 08 Oct 2015 20:39:55 GMT www2,<br><br>Пара примеров,<br>"Представлена операционная система Redox, написанная на языке Rust"<br>http://www.opennet.ru/opennews/art.shtml?num=43105<br><br>Оберон<br>https://ru.wikipedia.org/wiki/Оберон_(язык_программирования)<br><br>Что уж-там смеёмся!<br> https://opennet.dev/openforum/vsluhforumID3/104987.html#69 Thu, 08 Oct 2015 20:21:38 GMT &gt; Непонятно зачем они в 2015 году пишут достаточно сложную прожку на СИ. <br>&gt; Взяли бы сипипи! (пишу как жабист, понимающий, что жаба на данную <br>&gt; задачу не подходит). Но на СИ писать - это просто клиника. <br><br>Классический Анонимус, чем в данном контексте С отличаетася от C++?<br><br>"Но на СИ писать - это просто клиника."<br>Повторите ли вы эти слова инженерам программы работавшим на марсоходом Curiosity?<br>https://en.wikipedia.org/wiki/Mars_Science_Laboratory<br><br> <br><br><br> https://opennet.dev/openforum/vsluhforumID3/104987.html#68 Thu, 08 Oct 2015 20:14:19 GMT angra:<br>&gt; "Считаю это гениальным решением. Все сервисы по умолчанию вешать только на петлю и вот у нас волшебным образом получается неуязвимая для внешних атак ОС, можно хвалится всего двумя remote дырками за все время"<br><br>Очень остроумный комментарий?<br><br>angra, у вас есть фактические возражения по количеству уязвимостей?<br><br><br> https://opennet.dev/openforum/vsluhforumID3/104987.html#67 Thu, 08 Oct 2015 20:06:15 GMT Аноним:<br>"Да не, все закономерно. Это всегда так - чем больше показных понтов, тем меньше для них реальных оснований."<br><br>Аноним, приведите пожалуйста "реальные основания" обосновывающие ваше неуважительное сообщение?<br> https://opennet.dev/openforum/vsluhforumID3/104987.html#66 Thu, 08 Oct 2015 19:53:12 GMT Crazy Alex:<br>"В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские."<br>Использовали ли вы индукцию?<br><br>Crazy Alex:<br>"Вообще-то как с этим бороться - известно уже лет сорок. Полный отказ от буферов фиксированного размера"<br><br><br>28.07.2015 <br>"Критическая уязвимость в Android, позволяющая получить контроль через отправку MMS...<br>Причиной уязвимости является выход за границы буфера в библиотеке обработки мультимедийных данных"<br>http://www.opennet.ru/opennews/art.shtml?num=42677<br><br>Crazy Alex:<br>"И чего ради это проблема для людей на техническом форуме? наверняка патчи к прошивкам для большинства устройств появятся быстро"<br>http://www.opennet.ru/opennews/art.shtml?num=42677#21<br><br>Crazy Alex, чтобы вы написали в ответе на это сообщение?<br><br><br><br>