Re: CVE-2015-0235 - GHOST
On 30 Jan 2015, at 00:01, Vadim A. Misbakh-Soloviov wrote: > В письме от Чт, 29 января 2015 23:50:49 пользователь Igor Sysoev написал: >> В сочетании nginx/glibc тоже нет уязвимости. > > В общем случае — да :) > > Но, на сколько я понял намёк ОП, он имеет в виду, что (не смотря на > отсутствие > PoC) потенциальная уязвимость есть (если подшаманить на основе > exim-эксплойта) > + иметь необновляемую годами систему "старым" glibс (2.2x<2.18), то может > можно и словить. > > Мало ли, какие [умные люди] крутят NgX 0.7.x на МСВС каком-нибудь :) Ну, или > какой-нибудь там Debian old-stable (а то и Maemo какой-нибудь. Любителей > нестандартных развлечений ведь много). > > А так, да, в большинстве систем, где не забывают обновлять пакетную базу и > вовремя "стабилизировать" новые версии (а юзеры не забывают обновляться) > проблем быть, конечно, не должно. nginx перед вызовом gethostbyname() вызывает свой аналог inet_addr() и сам обрабатывает длинный адрес, поэтому даже в комбинации nginx-0.7.0/glibс-2.3 проблемы нет. -- Igor Sysoev http://nginx.com ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: CVE-2015-0235 - GHOST
В письме от Чт, 29 января 2015 23:50:49 пользователь Igor Sysoev написал: > В сочетании nginx/glibc тоже нет уязвимости. В общем случае — да :) Но, на сколько я понял намёк ОП, он имеет в виду, что (не смотря на отсутствие PoC) потенциальная уязвимость есть (если подшаманить на основе exim-эксплойта) + иметь необновляемую годами систему "старым" glibс (2.2x<2.18), то может можно и словить. Мало ли, какие [умные люди] крутят NgX 0.7.x на МСВС каком-нибудь :) Ну, или какой-нибудь там Debian old-stable (а то и Maemo какой-нибудь. Любителей нестандартных развлечений ведь много). А так, да, в большинстве систем, где не забывают обновлять пакетную базу и вовремя "стабилизировать" новые версии (а юзеры не забывают обновляться) проблем быть, конечно, не должно. -- Best regards, mva signature.asc Description: This is a digitally signed message part. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: CVE-2015-0235 - GHOST
On 29 Jan 2015, at 23:33, Vadim A. Misbakh-Soloviov wrote: > Так уязвимость в glibc же ж, а не в коде приложений :) В сочетании nginx/glibc тоже нет уязвимости. -- Igor Sysoev http://nginx.com ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: CVE-2015-0235 - GHOST
Так уязвимость в glibc же ж, а не в коде приложений :) -- Best regards, mva signature.asc Description: This is a digitally signed message part. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
CVE-2015-0235 - GHOST
JFYI Here is a list of potential targets that we investigated (they all call *gethostbyname*, one way or another), but to the best of our knowledge, the buffer overflow cannot be triggered in any of them: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, *nginx*, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd. http://seclists.org/oss-sec/2015/q1/283 -- Yours sincerely, Vladimir Getmanshchuk ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru