http://www.cert.fi/haavoittuvuudet/2009 ... 9-073.html
Voisiko joku kertoa tällaiselle tavalliselle tallaajalle, onko haavoittuvuus otettavava vakavasti myös Mac-käytössä? Tiedote kun ei millään tavalla tarkenna mitä käyttiksiä asia koskee
![[:$]](./images/smilies/icon_redface.gif "Punastuu"){kind=icon}
XML-ohjelmakirjastojen haavoittuvuus
-
Omppu-ukko
- Viestit: 278
- Liittynyt: 2.8.2008 klo 19.19
XML-ohjelmakirjastojen haavoittuvuus
Iski silmään tiedote viestintäviraston sivuilta:
http://www.cert.fi/haavoittuvuudet/2009 ... 9-073.html
Voisiko joku kertoa tällaiselle tavalliselle tallaajalle, onko haavoittuvuus otettavava vakavasti myös Mac-käytössä? Tiedote kun ei millään tavalla tarkenna mitä käyttiksiä asia koskee
http://www.cert.fi/haavoittuvuudet/2009 ... 9-073.html
Voisiko joku kertoa tällaiselle tavalliselle tallaajalle, onko haavoittuvuus otettavava vakavasti myös Mac-käytössä? Tiedote kun ei millään tavalla tarkenna mitä käyttiksiä asia koskee
MacBook Pro Retina 13-inch/Late 2012/2,5 GHz Intel Core i5/8 Gt 1600 MHz:n DDR3/OS X 10.10
iPad 2 3G iOS 8
iPad 2 3G iOS 8
-
TheKraken
- Viestit: 19516
- Liittynyt: 21.3.2005 klo 9.33
- Paikkakunta: Helsinki
Re: XML-ohjelmakirjastojen haavoittuvuus
Mikäli päivitykset ovat kunnossa niin et oikein muuten tuota voi huomioon ottaa. Tietty nettiletkut voit pistää poippi ja oikoa foliopipon vähän paremmin, mutta tuskinpa tuosta isompaa riesaa syntyy OS X:lle, jos millekään muullekaan alustalle.
Apachet ja pythonit eivät myöskään kuulu OS X:n perusasennukseen. Tai no Apache tulee perusasennuksessa, mutta se pitää erikseen laittaa päälle.
Apachet ja pythonit eivät myöskään kuulu OS X:n perusasennukseen. Tai no Apache tulee perusasennuksessa, mutta se pitää erikseen laittaa päälle.
-
karjalankarhu
- Viestit: 836
- Liittynyt: 19.12.2008 klo 14.01
Re: XML-ohjelmakirjastojen haavoittuvuus
Näyttää olevan palvelin muistin ylivuodon tekeminen useilla sulkulausekkeilla, joka avaa mahdollisuuden suorittaa omaa koodia hyökkäyksen kohteessa. Ei tavallisen käyttäjän kannalta ole merkittävä, jos ei aja xml-sovelluksia tai palvelinta omalla koneella. Tämä on kyllä hakemalla haettu virhe joka näköjään vaatii sisäänkirjautumista palvelimelle tai käyttäjä tunnukssen varastamista. Pääkohde on datan siirtorajapinnoissa ja erityisesti palvelusektorin sovelluksissa. Ei syytä huoleen ![[:/]](./images/smilies/icon_eek.gif "Pettynyt")
Neljä perus elementtiä - maa, ilma, tuli ja vesi.
-
securapple
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: XML-ohjelmakirjastojen haavoittuvuus
Hei!
Tarkkoja tietoja haavoittuvuudesta ei tainnut olla. Potentiaalisesti tämä koskee kaikkia ohjelmistoja joissa tehdään XML-parsintaa.
Itse en tiedä tarkkaan miten xml-parsinta on OS X:ssä tehty, onko joku yleinen käyttislaajuinen kirjasto vai sovelluskohtaisia kirjastoja.Mutta noin yleensä esim. safarin pitää jollain tapaa xml parsia, joten ainakin safariin pitäisi olla tulossa jonkilainen fixi.
Ongelma on laaja, ja iso läjä fixejä on tulossa eri valmistajilta. Nuo erikseen mainitut softat ovat niitä joita vastaan tuo codenomiconin työkalu on ehditty ajaa.
Ajo voi kestää päiviä, jopa viikon riippuen testisetin koosta ja kohdepalvelimen nopeudesta. Muistelen, että pahimmillaan yhden ainoan hankalasti muotoillun, mutta standardin mukaisen HTTP-requestin prosessointi vei tehokkaaltakin palvelimelta(hpux) 17 sekuntia. Tollasia kun tykittää pari tuhatta kappaletta niin aikaa kuluu...
Applelta (ja muilta toimijoilta) tulee päivityksiä sitten jos ja kun ne tuon codenomiconin stress toolin ostavat ja ajaa sen testisetit tuotteisiinsa sekä tekevät korjaukset.
-Securapple
Itse en tarkkaan tiedä miten xml-parsinta on toteut
Tarkkoja tietoja haavoittuvuudesta ei tainnut olla. Potentiaalisesti tämä koskee kaikkia ohjelmistoja joissa tehdään XML-parsintaa.
Itse en tiedä tarkkaan miten xml-parsinta on OS X:ssä tehty, onko joku yleinen käyttislaajuinen kirjasto vai sovelluskohtaisia kirjastoja.Mutta noin yleensä esim. safarin pitää jollain tapaa xml parsia, joten ainakin safariin pitäisi olla tulossa jonkilainen fixi.
Ongelma on laaja, ja iso läjä fixejä on tulossa eri valmistajilta. Nuo erikseen mainitut softat ovat niitä joita vastaan tuo codenomiconin työkalu on ehditty ajaa.
Ajo voi kestää päiviä, jopa viikon riippuen testisetin koosta ja kohdepalvelimen nopeudesta. Muistelen, että pahimmillaan yhden ainoan hankalasti muotoillun, mutta standardin mukaisen HTTP-requestin prosessointi vei tehokkaaltakin palvelimelta(hpux) 17 sekuntia. Tollasia kun tykittää pari tuhatta kappaletta niin aikaa kuluu...
Applelta (ja muilta toimijoilta) tulee päivityksiä sitten jos ja kun ne tuon codenomiconin stress toolin ostavat ja ajaa sen testisetit tuotteisiinsa sekä tekevät korjaukset.
-Securapple
Itse en tarkkaan tiedä miten xml-parsinta on toteut
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
karjalankarhu
- Viestit: 836
- Liittynyt: 19.12.2008 klo 14.01
Re: XML-ohjelmakirjastojen haavoittuvuus
Täällä http://web.nvd.nist.gov/view/vuln/detai ... -2009-2625 tämmöinen Apache Xerces2 Java, as used in Sun Java Runtime Environment (JRE) in JDK and JRE 6 before Update 15 and JDK and JRE 5.0 before Update 20, and in other products, allows remote attackers to cause a denial of service (infinite loop and application hang) via malformed XML input, as demonstrated by the Codenomicon XML fuzzing framework ja tässä Sun sivu http://sunsolve.sun.com/search/document ... 6-263489-1 on näköjään java parserointiin liittyvä virhe. Eli todennäköiseti Mac saa uuden java updaten pikaisesti jolla java versio nousee 1.5.0_20 sinänsä Mac ei ole mainittu tuossa Sunin tiedotteessa "This issue can occur in the following Java SE and Java SE for Business releases for Windows, Solaris, and Linux" ja ihan tarkkaa versiota ei kerrottu ohessa viimeinen versionumero Java(TM) 2 Runtime Environment, Standard Edition (build 1.5.0_19-b02-304) joka tuli päivtysten mukana. Todennäköisesti Sunin sivut ovat vähän aikaa tukossa päivityksien takia. Vieläkään ei syytä huoleensecurapple kirjoitti:Hei!
Tarkkoja tietoja haavoittuvuudesta ei tainnut olla. Potentiaalisesti tämä koskee kaikkia ohjelmistoja joissa tehdään XML-parsintaa.
![[:#]](./images/smilies/47_47.gif "Salaisuus"){kind=small}
Neljä perus elementtiä - maa, ilma, tuli ja vesi.
-
TheKraken
- Viestit: 19516
- Liittynyt: 21.3.2005 klo 9.33
- Paikkakunta: Helsinki
Re: XML-ohjelmakirjastojen haavoittuvuus
Kun tuossa on Solariskin ihan erikseen mainittu, niin voisi melkein jopa päätellä, että OS X:ää asia ei koske, edes serveripuolella.
-
securapple
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: XML-ohjelmakirjastojen haavoittuvuus
Hei!
Toista vielä että vaaravyöhykkeessä ovat kaikki softat jotka totetuttavat XML-parsintaa : http://www.codenomicon.com/labs/xml/
ote : "This study is part of the CROSS project at Codenomicon, and therefore only open source XML libraries and projects have been tested." sekä "We cannot discuss the security of commercial XML products or library versions within the CROSS project, as the project is intended to benefit the open source community only."
Nyt on siis testattu xml open source -parsijoita joista tuo apache xerces esimerkkinä.
-Securapple
Toista vielä että vaaravyöhykkeessä ovat kaikki softat jotka totetuttavat XML-parsintaa : http://www.codenomicon.com/labs/xml/
ote : "This study is part of the CROSS project at Codenomicon, and therefore only open source XML libraries and projects have been tested." sekä "We cannot discuss the security of commercial XML products or library versions within the CROSS project, as the project is intended to benefit the open source community only."
Nyt on siis testattu xml open source -parsijoita joista tuo apache xerces esimerkkinä.
-Securapple
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
