The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в libssh, приводящая к переполнению буфера

28.08.2021 08:27

В библиотеке libssh (не путать с libssh2), предназначенной для добавления клиентской и серверной поддержки протокола SSHv2 в программы на языке Си, выявлена уязвимость (CVE-2021-3634), приводящая к переполнению буфера при инициировании процесса смены ключа (rekey) с использованием механизма обмена ключами, применяющего другой алгоритм хэширования. Проблема устранена в выпуске 0.9.6.

Суть проблемы в том, что операция смены ключа допускает применение криптографических хэшей с размером слепка, отличающимся от первоначально использованного алгоритма. При этом память для хэша в libssh выделялась исходя из первоначального размера хэша и использование хэша большего размера приводит к перезаписи данных за границей выделенного буфера. В качестве запасного метода защиты можно ограничить список поддерживаемых методов обмена ключами только алгоритмами с одинаковым размером хэша. Например, для привязки к SHA256 в код можно добавить:


   rc = ssh_options_set(s->ssh.session, SSH_OPTIONS_KEY_EXCHANGE,
     "diffie-hellman-group14-sha256,curve25519-sha256,ecdh-sha2-nistp256");


  1. Главная ссылка к новости (https://www.libssh.org/2021/08...)
  2. OpenNews: Выпуски libssh2 1.8.1 и Putty 0.71 с устранением уязвимостей
  3. OpenNews: Критическая уязвимость в библиотеке Libssh
  4. OpenNews: Релиз библиотеки libssh 0.6.0
  5. OpenNews: Релиз OpenSSH 8.3 с устранением уязвимости в scp
  6. OpenNews: Релиз OpenSSH 8.6 с устранением уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55698-libssh
Ключевые слова: libssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (76) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (5), 08:50, 28/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Ну сколько можно... без радикального переписывания не обойтись.
     
     
  • 2.6, Иваня (?), 08:59, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не ной, займись этим, замаял уже!
     
  • 2.8, Аноньимъ (ok), 09:07, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Согласен, слишком много фрактальных недостатков накопилось.
     
     
  • 3.12, Аноним (12), 10:11, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > Согласен, слишком много *ректальных недостатков накопилось

    hotfixed

     
     
  • 4.31, hohax (?), 17:02, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Здесь вам не тут!
     
     
  • 5.40, Аноним (40), 20:56, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тут вам не здесь!
     
  • 2.57, СеменСеменыч77 (?), 21:07, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    хитрый какой анон. всем известного стоп-слова нет - жаловаться модеру нет оснований.
     
     
  • 3.71, Fedd (ok), 15:31, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот кто тут значит настукивает
     
     
  • 4.88, СеменСеменыч777 (?), 07:53, 31/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >  Вот кто тут значит настукивает

    и не скрываю. по-моему я всех предупредил. кто не внял - ССЗБ.

     

  • 1.7, Аноньимъ (ok), 09:02, 28/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Обычно уязвимости приводят к взлому системы.
    А тут к переполнению буфера.

    А в старые добрые времена переполнение буфера приводило к уязвимостям, эх.

     
     
  • 2.39, Какаянахренразница (ok), 20:50, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Убийство привело к смерти жертвы.
     
  • 2.47, Аноним (47), 23:05, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > в старые добрые времена

    В школу собирайся, а не вспоминай про "старые добрые времена".

     
  • 2.61, ptr128 (?), 10:50, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Новость надо читать полностью, а не по диагонали. Так как в буфере размещается криптографический хеш, то, по определению, за обозримое время невозможно сделать его содержимое предсказуемым. Так как эта задача сведется к операции создания строки по хешу, что имеет слишком высокую вычислительную сложность.
     

  • 1.10, Аноним (10), 09:33, 28/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может просто указать размер буфера по максимально длинному хэшу в системе? Это самое простое и вообще не затратное решение, да и памяти экономит текущий способ максимум пару байт на ключ, что можно легко наверстать в другом месте.
     
     
  • 2.14, And (??), 10:45, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А ещё можно просто проверять в коде поступающее снаружи.

    Аксиома со школы, но многих потом учат не делать проверок на годность данных и прочие проверки на ошибки в вводе со стороны/от пользователя. И привычка-то меняется в худшую сторону, инженегр деградирует.

     
     
  • 3.15, ыы (?), 10:58, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Ну, вы если бы писали подобное, я уверен предприняли все необходимые проверки и защиты. К счастью вас не пускают к написанию такого кода. Почему к счастью? Потому что тогда вы бы были заняты делом, и не могли из-за нехватки времени общаться с нами тут...
     
     
  • 4.27, Урри (ok), 15:13, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это на какой такой галере люди пашут 24\7?
     
     
  • 5.51, пох. (?), 00:15, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну что вы, что вы, хозяин добр - на большинстве галер рабы могут пару часиков поспать, поесть и поменять носки чтоб хозяину в нос не шибало.

     
  • 3.16, Аноним (16), 11:23, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не, не, не, ты что, нельзя так делать! Такие проверки лишние, они только жрут ценное процессорное время и оно может тормозить на каком-то говне мамонта. Поэтому и не включают всякие stack-protector. Достаточно заявы погромиста "мамой клянусь, тут все ок" и можно сразу в прод!
     
     
  • 4.17, ыы (?), 11:29, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Толи дело электрон.. вот в нем все хорошо... он просто не запускается на говне мамонта и можно делать все необходимые проверки...
     
     
  • 5.18, Аноним (16), 11:36, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А причем тут электрон? Вам религия не позволяет прописать нужные флаги при компиляции?
    Или ваш говнокод просто не скомпилируется с ними или будет падать на каждый чих?))
    Или 1% производительности вам важнее безопасности?
     
     
  • 6.19, Аноним (-), 12:07, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Или 1% производительности вам важнее безопасности?

    Откуда такая большая цифра? На фоне подсчета самого хеша, проверка размера буфера и прочей обвязки теряются.
    Заметны будут (в большинстве случаев ненужные, но обычно все время педалируемые в качестве эталонного примера "жырножручести проверок" местными Ылитистами) проверки на выход за границу массива в циклах ...

     
     
  • 7.26, Аноним (16), 13:58, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что писать меньше одного процента как-то некомильфо))
    У этих ребят https://nvlpubs.nist.gov/nistpubs/TechnicalNotes/NIST.TN.1860.pdf просадка производительности вообще получилась на уровне погрешности измерений.
     
  • 3.52, Аноним (52), 06:24, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А ещё можно просто проверять в коде поступающее снаружи.

    Во-первых ключ меняется самой библиотекой, а не "приходит снаружи". Но надеюсь вы хотя бы саму новость прочитали.
    Во-вторых не вижу никаких проблем выделять максимальное место для хэша сразу, вместо того чтобы (а) перевыделять память для одной и той же сущности на пару байт, (б) вообще иметь в этом случае дело с динамической памятью, когда речь идёт об одном слепке одного ключа, который в идеале в структуре должен находится как обычное число.

     

  • 1.20, Аноним (20), 12:19, 28/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Переполнения, переполнения, переполнения... Эээх! А ведь есть просто решение. Начинается на R, заканчивается на ust
     
     
  • 2.21, anonymous (??), 12:42, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так уже написаны библиотеки и на Rust. Просто тут речь про другую библиотеку. В общем, не очень понятно, что вы предлагаете.
     
     
  • 3.24, Гость (??), 13:27, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Он предлагает всё везде заменить на раст. Не взирая ни на что. Любой ценой.
     
     
  • 4.29, Аноним (29), 16:15, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но ведь раст в FF и Редох показал, что растаманы тоже ошибаются при проверке индексов массива и вылетают, текут, падают...
     
     
  • 5.30, Аноним (20), 17:01, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше упасть на переполнении сразу, чем heartbleed
     
  • 4.62, anonymous (??), 11:44, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он, вроде, такого не говорил. Этот риторический приём называется соломенное чучело.
     
  • 2.28, Урри (ok), 15:16, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    LibSSH работает на всех (почти) платформах. Ваш любимый язык, к сожалению, покрывает только процентов 5 от нужного количества.

    Впрочем, никто не мешает вам взять, и переписать libssh на rust. Сделайте доброе дело.

     
     
  • 3.32, Аноним (20), 17:07, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А почему свет раста есть не на всех платформах? Ллвм разве не это самое?
     
     
  • 4.33, Аноним (16), 17:36, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно нет, llvm или сам тулчейн раста вполне может не поддерживать какую-то богом забытую маргинальную платформу из 90х, которую поддерживает CGG или какой-то другой компилятор, но "ЭТО ОЧЕНЬ ВАЖНО!!111" и используется как аргумент почему Си это тру, а раст это отстой.
     
     
  • 5.36, Аноним (36), 18:53, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Одна архитектура, одна система, один владелец? Где-то я это уже слышал, не напомните?
     
     
  • 6.37, Аноним (16), 20:18, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хаха, щютка на уровне Петросяна. Впрочем... глупо было ожидать большего.
    Архитектур и платформ больше десятка, а на счет владельцев... напомните сколько владельцев у ядра линукса? То-то же...
     
  • 5.59, Урри (ok), 21:35, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы не видите разницы между "собирается" и "работает"?

    Сходите на https://doc.rust-lang.org/nightly/rustc/platform-support.html и посмотрите, что раст обещает работать(!) только на двух платформах
    1) ARM64 (Linux), причем с ядром не ниже 4.2(!!), при этом винда под армы идет лесом.
    2) х86/64 (Linux, Windows, macOS).

    Две. Архитектуры. А с учетом отсутствия поддержки винды для армов - вообще по честному полторы.

    При этом С покрывает (https://en.wikipedia.org/wiki/GNU_Compiler_Collection#Architectures) десятки архитектур. О чем еще можно тут говорить?

     
     
  • 6.63, Аноньимъ (ok), 12:08, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    1 Это враньё, там куча поддерживаемых платформ 2 Гарантированная работа тулзо... большой текст свёрнут, показать
     
     
  • 7.68, Урри (ok), 13:32, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Понятно Значит разницы между работать и компилироваться растишечка таки не ... большой текст свёрнут, показать
     
     
  • 8.72, Аноним (16), 16:03, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Именно что ты не можешь Потом что для GCC написано то же самое secondary platf... большой текст свёрнут, показать
     
     
  • 9.78, Урри (ok), 18:39, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Растообиженка вертится как угорь на сковороде Приятно посмотреть ... текст свёрнут, показать
     
     
  • 10.81, Аноним (16), 19:09, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ахаха, ну ты даешь Ты вкинул в тему цифру про пять процентов и ушел от ответа ... текст свёрнут, показать
     
     
  • 11.82, Урри (ok), 19:30, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    где просьба Ну и кроме того - что, своих мозгов не хватает по картинке оцени... текст свёрнут, показать
     
     
  • 12.83, Аноним (16), 19:45, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    к твоему сообщение написан текст и там даже знак вопроса что же это может быт... текст свёрнут, показать
     
     
  • 13.84, Урри (ok), 20:02, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ааааа Да все, что не 5 Начиная с iot, пробегая через мобильные девайсы и зака... текст свёрнут, показать
     
  • 8.74, Аноньимъ (ok), 18:22, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно да, на одной конкретной платформе не собирается миллиард строк кода от ... текст свёрнут, показать
     
     
  • 9.77, Урри (ok), 18:37, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И что же у вас за платформа такая ... текст свёрнут, показать
     
     
  • 10.86, Аноньимъ (ok), 00:17, 31/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хайку ос на эльбрусе ... текст свёрнут, показать
     
  • 8.75, Аноньимъ (ok), 18:29, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я то разницу вижу А вот вы подменяете понятия, тир 2 это то же поддержка Ит то... текст свёрнут, показать
     
     
  • 9.76, Урри (ok), 18:36, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Че, реально А-ха-ха-ха-ха-ха Впрочем не хотите купить у меня программу, кот... текст свёрнут, показать
     
  • 3.35, Аноним (16), 17:49, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да ну, аж интересно что же такое важное и значимое не поддерживается на уровне Tier 1-2 и занимает аж 95%? Заодно и с пруфцами что LibSSH  там есть. А то цифра звучит... ну скажем взятой с потолка))

    Список поддерживаемыъ платформ можно увидеть тут https://doc.rust-lang.org/nightly/rustc/platform-support.html

     
     
  • 4.38, пох. (?), 20:23, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Для хрустобоя все что не поддерживается - неважное и незначимое.

    > Список поддерживаемыъ платформ можно увидеть тут https://doc.rust-lang.org/nightly/rustc/platform-support.html

    ожидание - список на пару страниц. Реальность: в tier1 восемь строчек. Винда, винда, винда и винда. 64 bit only. И еще, вот, нате-подавитесь - линoops и максось. В единственно-верных позах.

    Нда, с другой стороны - а чего еще от макак ждать...

    Про tier2 не будем - мне ваши "guaranteed to build" нафиг не упали. ЭТУ гарантию обеспечивает llvm, угу. А вот что _ваша_ поделка что-то там build после этого, а не "такая херня, такая херня получается" - никто, похоже, не гарантирует вовсе.

    Разумеется это то что нужно для low-footprint библиотечки собирающейся везде где вообще есть поддержка posix.

     
     
  • 5.41, Аноним (16), 21:03, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Разумеется, потому что 32бит в тиер2 Мамонтам там и место - последний интеловый... большой текст свёрнут, показать
     
     
  • 6.43, Бздун (?), 21:32, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > i586-unknown-freebsd
    > бздя

    Даже в консервативной фре - ожидаемый по умолчанию класс ЦПУ теперь i686 и вообще, x86 перевели в Tier2.

     
     
  • 7.45, пох. (?), 21:55, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но 3d-party си-компилятор для нее, как видишь - пока еще не сломали. Потому что без него не будет ничего работать вообще, кроме голой фри, которая никому не нужна ни на 586, ни на чем другом.


     
  • 6.44, пох. (?), 21:53, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Мамонтам там и место

    значит хрустикам вскоре найдется место на помойке - вместе с модными еще в прошлом году штанами от усраччи.

    > Но если найдется тот кто это поддержит и протестит - это будет просто прекрасно.

    не найдется - ваш хруст не нужен никому кроме ошпаренных макак, любителей свежайшего. А те не умеют в долгосрочные сложные проекты, если их не финансирует гугль, или, например, гугль.

    И это в общем-то хорошо. Очередная антитехнология далеко не уйдет с винды, винды, винды, и винды.

    > https://gcc.gnu.org/gcc-11/criteria.html

    а вот это, чувак, не "кое-как собирается сам бинарник". Это проходят тесты DejaGNU - гарантирующие не сборку бесполезного компилятора, а то что этот компилятор хотя бы периодически после этого компилит работающий на этой платформе код - причем всеми своими фронтендами. Для начала - на этой платформе они вообще должны работать, что не очень просто, операционная система нужна (а не ведроид).

    При том что это gcc11, то есть снова нечто уже маловостребованное за пределами линoops под единственноверную архитектуру из-за троянцев в механизме.

    К счастью, libssh пока вроде не требует для своей сборки моднейших версий компилятора - соберется и устаревшей на десять лет.

    > Ни макоси, ни винды. Печалька.

    диствительна. У них ведь, бедолажек, нет своего си компилятора?

    А вот своего хруста, не завязанного на llvm единственноправильной версии - действительно нет и не будет никогда и нигде.

    Т.е. его не будет никогда и нигде кроме платформ, куда эппл захочет спортировать свой код, и при этом еще сами хрустики осилят на него портироваться.

    Закапывайте...

     
     
  • 7.46, Аноним (16), 22:31, 28/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > если их не финансирует гугль, или, например, гугль.
    > не уйдет с винды, винды, винды, и винды.

    Э... гугль или гугль? Винды и винды?
    Дед, ты опять забыл таблетки выпить?

    Но дело в том что их и так финансирует гугл. В Rust Foundation - как раз google, facebook, microsoft, aws, huawei, а в спонсорах - arm, github и еще кто-то.

    Т.е. те же самые google, facebook, microsoft, huawei которые являются Platinum и Gold members в Linux Foundation))) Так что можешь не беспокоиться.

     
     
  • 8.50, пох. (?), 00:13, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ну так под платформы, одобряемые гуглем и да, это винда - ему же нужно чтоб у р... текст свёрнут, показать
     
  • 6.58, нах.. (?), 21:09, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Разумеется, потому что 32бит в тиер2. Мамонтам там и место - последний интеловый 32bit only проц вышел 10 лет назад (атом), а последний нормальный десктопный - в далеком 2006. Но если найдется тот кто это поддержит и протестит - это будет просто прекрасно.

    Да вы профи. А ну брысь в школу, каникулы уже кончились.

     
  • 5.64, Аноньимъ (ok), 12:13, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://gcc.gnu.org/install/binaries.html
    >Please note that we did not create these binaries, nor do we support them. If you have any problems installing them, please contact their makers.

    У GCC нет тир 1 и 2 как явления.

     
     
  • 6.65, пох. (?), 12:18, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    бть... какие ж вы все же ди-лы...

    У gcc есть tier1 и 2. Как раз тем и отличаются, что одно тестируют, а другое - собралось, ну уже хорошо. Но он не распространяется в бинарниках, как и _любой_ gnu софт - ждите, д-лы. gnu распространяется своими разработчиками в виде исходников. Традиция тех времен, когда их принято было собирать у себя и для себя.

    Придут добрые дяденьки и за вас все соберут, только к проекту они не имеют никакого отношения.
    Может даже тесты запустят, прежде чем вам эту сборку вывалить на лопате.

    А может нет, вы ж д-лы, вы и так схаваете.

     
     
  • 7.66, Аноньимъ (ok), 12:27, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это прекрасно.

    Я прямо заворожен и лишился слов.

    Так вот. Это не то, что под тир 1 подразумевается обычно.

     
     
  • 8.67, пох. (?), 13:20, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кем подразумевается - хрустиками Вы и из этого новую религию сделали P S е... текст свёрнут, показать
     
     
  • 9.80, Аноньимъ (ok), 18:58, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и зачем вы так с разбегу в лужу садитесь сразу https docs freebsd org en a... текст свёрнут, показать
     
  • 5.69, Урри (ok), 13:34, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    пох, ты конечно идиот. Но здесь отлично выступил.
    Зацени как у народца подгорает-то, что их любимый растик полторы платформы всего поддерживает.
     
     
  • 6.73, Аноним (20), 17:57, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а какие ещё платформы нужны, вот по-честному? Кроме икс 86-64 и арм? Лигаси платформы не нужны, потому что кто под них будет переписывать? Надо новый код писать. А какой-нибудь авз микроконтроллер можно и на Си делать, там всё-таки проги должны быть маленькими и с памятью штык в штык работать (хотя кто-то вроде и Раст на микроконтроллеры запихивает).
     
     
  • 7.79, Урри (ok), 18:51, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну а какие ещё платформы нужны, вот по-честному? Кроме икс 86-64 и
    > арм?

    Растишечным хелловорлдам, действительно, и одного windows/x86_64 хватать должно.
    Даже не могу поспорить, все так.

     
     
  • 8.87, Аноним (20), 03:12, 31/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А не хелловордам Ну хоть одна платформа не лигаси и не нишевая есть ... текст свёрнут, показать
     
  • 2.53, Аноним (53), 09:52, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В продакшн версиях приложений на расте нет никаких проверок переполнения.
     
     
  • 3.60, Аноним (20), 02:04, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда инфа? В расте вроде проверки никто вменяемый не выключает в сейф коде
     

  • 1.42, Аноним (-), 21:23, 28/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Переполненые буфера - это прекрасно!
     
  • 1.48, СССР (?), 23:14, 28/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а кто юзал полноценно и libssh b libssh2? Первый я покурил хорошо, написал класс для работы с pty, реализовал sudo -u ser -i. В целом достаточно удобно. Единственное пришлось подумать как фиксировать конец потока, sleep не вариант ) пока не нулевая длинна блока тоже. Но там есть калбэки, возможно они вызываются когда происходит реальный конец вывода.
    На libssh2 затэстил простой пример но не через pty. по факту что интереснее не сравнивал. У кого есть опыт с либами?  
     
     
  • 2.56, Аноним (56), 20:03, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажите, как ограничить возможность их использования в системе по максимуму, если их удалить нельзя, так как другие программы не работают без них.
     
     
  • 3.70, BorichL (ok), 14:46, 30/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятно, пора перевестись в класс умственно отсталых по информатике и ВТ.
     
  • 3.85, СССР (?), 00:09, 31/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Расскажите, как ограничить возможность их использования в системе по максимуму, если их
    > удалить нельзя, так как другие программы не работают без них.

    Не совсем понимаю вопрос. вам для чего их удалять? Просто отключите сервис в системе и будет вам счастье.

     

  • 1.49, СССР (?), 23:18, 28/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "В качестве запасного метода защиты можно ограничить список поддерживаемых методов обмена ключами только алгоритмами с одинаковым размером хэша" -  это же для решения проблем на сервере?
     
     
  • 2.54, Аноним (53), 09:52, 29/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно перейти на telnet внутри vpn
     

  • 1.89, Аноним (-), 07:39, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > операция смены ключа допускает применение криптографических
    > хэшей с размером слепка, отличающимся от первоначально использованного алгоритма

    Кто вообще придумал такое переобувание в полете?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру