| View previous topic :: View next topic |
| Author |
Message |
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
 Posted: Fri Sep 17, 2004 1:02 pm Post subject: Sicherheitsbewusssein, buffer overflows, etc, etc... |
 |
|
hi,
heute mal ein no comment:
| Code: |
Zitat von rootshell
hi stefan,
ich habe gerade dein tool lxdvd entdeckt...
sehr schön, da ich mir nächsten monat endlich einen dvd brenner kaufen will (werde!!!) *lach*
hab's deswegen noch nicht ausprobiert, nur mal kurz im code gelesen; dabei ist mir auf die schnelle eines aufgefallen:
Code:
void check_program (char * szProgram, long lSprache)
{
struct stat tmpStat;
char filename[255];
long bGefunden = 0;
printf ("Test %s", szProgram);
// Wenn kein Pfad gesetzt, dann im gesamten Pfad suchen
if (!strstr (szProgram, "/"))
{
char szPfad[4096];
int i;
char szVerzeichnis[1024];
strcpy (szPfad, getenv ("PATH"));
strcpy (szVerzeichnis, "");
for (i=0; i<strlen(szPfad); i++)
{
if (szPfad[i] == ':')
...
recht gefährlich, scheint mir...
du definierst szPath als [4096];
was passiert, wenn mein PATH > 4096 ist?
crash - boom - bang....
buffer overflow, klassischer natur... ;-)
mach doch bitte n' strncopy oder sowas draus... ;-)
ansonsten - top !!!
gruss
rootshell
|
ANTWORT
| Code: |
Wer hat denn schon einen Pfad mit mehr als 4096 Zeichen? Das wird im ganzen Leben nicht krachen. Bei der Pfadlänge würde jeder Programmstart 10 min dauern.
...
Vielleicht mal in einem nächsten Release, aber derzeit sehe ich da keinen Änderungsbedarf.
|
noch fragen, kienzle???
langsam sollte man doch halbwegs sicher programmieren - auch und gerade unter linux...
wenn dann ein autor auch noch _so_ reagiert...
dann mach ich das halt publik... 
viel spass damit....
gruss
rootshell
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
 |
hoschi
Advocate
Joined: 19 Jul 2003
Posts: 2517
Location: Ulm, Germany, Europe
|
| Posted: Fri Sep 17, 2004 1:07 pm Post subject: |
|
|
ich kann zwar nur ein "hallo welt" in c++, aber wenn ich programmieren würde dann sicher/dauerhaft/flexibel
alles andere wäre doch "gefrickel" 
_________________
Just you and me strogg! |
|
| Back to top |
|
|
Aproxx
Apprentice
Joined: 25 Jul 2003
Posts: 272
|
| Posted: Fri Sep 17, 2004 2:38 pm Post subject: |
|
|
| Was ist daran so schwer einfach ein "string" oder einen Char Pointer (C) zu verwenden? Warum alles statisch? |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Fri Sep 17, 2004 2:52 pm Post subject: |
|
|
hi,
naja, statisch kann man das schon machen, wenn man will...
jedem das seine halt...
mach ich ja auch - wie viele...
aber wenn, dann muss man halt aufpassen, dass man nicht über das ende des strings wegschreibt, sonst krachts halt... (wie hier....)
und sicherlich hat niemand einen PATH > 4096, das wird ja auch nur dann interessant, wenn jemand gezielt anfängt mit solchen werten zu arbeiten, d.h. gezielt einen exploit zu versuchen....
also wenigstens strncpy() mit NULL terminierung, dann wäre ich ja zufrieden, aber so????
und eine solch bornierte reaktion des authors?
naja, im übrigen schaut der rest des codes auch nicht viel besser aus...
btw. ist das teil (maskiert) (zum glück ) im portage tree zu finden...
in letzter zeit wurde doch wirklich genug wind um buffer overflows, exploits und ähnliche sachen gemacht.
langsam müsste doch selbst der letzte kapieren, woher der wind weht...
oder lieg ich da total falsch?
ums mal so zu sagen:
ich mach auch bestimmt mal fehler, ein anderer findet ihn, sagt mir wo er ist, dann wird er halt gefixt...
aber sowas ist einfach nicht in ordnung (SIC!!)
gruss
rootshell
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
ian!
Bodhisattva
Joined: 25 Feb 2003
Posts: 3829
Location: Essen, Germany
|
| Posted: Fri Sep 17, 2004 4:35 pm Post subject: |
|
|
Genau. Augen offen halten, Bugs reporten. - Weiter so!
_________________
"To have a successful open source project, you need to be at least somewhat successful at getting along with people." -- Daniel Robbins |
|
| Back to top |
|
|
chrib
Guru
Joined: 27 Sep 2003
Posts: 558
Location: Berlin, Germany
|
| Posted: Fri Sep 17, 2004 5:26 pm Post subject: |
|
|
Alternativ fixt man das selber und schickt dem Auto den entsprechenden Patch mit Erklärung zu.
Gruß
Christian
_________________
Der Mensch kämpft um zu überleben, und nicht, um zu Grunde zu gehen. - Paulo Coelho
It is the end of all hope. To lose the child, the faith. To end all the innocence. To be someone like me. - Nightwish - End of all hope |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Fri Sep 17, 2004 5:26 pm Post subject: |
|
|
lieber rootshell, nun stell dich doch bitte mal nicht so an, bugs werden doch nur von bösen menschen ausgenutzt und wer ist denn schon so böse ?
*gacker* wenns bekannt genug is schicks an bugtraq
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
mikkk
Tux's lil' helper
Joined: 02 Mar 2003
Posts: 126
|
| Posted: Fri Sep 17, 2004 5:51 pm Post subject: |
|
|
Das ist ja grauselig  !
So einen Buffer Overflow findet man ja schon als "Klassiker" in jedem Anfängerbuch über C/C++. Dazu kommt noch, dass in der manpage zu strcpy() ausdrücklich davor gewarnt wird. Hier mal ein Auszug aus dem Abschnitt "Bugs":
| Quote: |
If the destination string of a strcpy() is not large enough (that is,
if the programmer was stupid/lazy, and failed to check the size before
copying) then anything might happen. Overflowing fixed length strings
is a favourite cracker technique.
|
An Pisa & Co. ist wohl mehr dran als ich dachte...
mikkk |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Fri Sep 17, 2004 11:06 pm Post subject: |
|
|
hi,
mensch, das ist ja die reinste spielwiese... *gg*
| Code: |
# export HOME=`perl -e 'printf "A" x 9500'` && ./lxdvdrip
Segmentation fault
#
|
da liest sich das hier doch gleich viel besser:
| Quote: |
Wer hat denn schon einen Pfad mit mehr als 4096 Zeichen? Das wird im ganzen Leben nicht krachen. Bei der Pfadlänge würde jeder Programmstart 10 min dauern.
...
Vielleicht mal in einem nächsten Release, aber derzeit sehe ich da keinen Änderungsbedarf.
|
und noch einiges mehr....
das oben sollte allerdings schon als proof of concept durchgehen...
und ob man den puffer mit AAA's überschreibt oder mit etwas lustigeren dingen.... *grins* ich schweife ab...
gruss
rootshell
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
kavau
Tux's lil' helper
Joined: 28 Jul 2004
Posts: 87
|
| Posted: Fri Sep 17, 2004 11:18 pm Post subject: STL, anyone? |
|
|
Ich verstehe nicht, warum die Leute für sowas nicht einfach die STL benutzen... Ja, schon, man hat ein bisserl Overhead, aber nix tragisches. Und wenn man std::string anstelle von char[] verwendet, muss man sich wegen Buffer Overflows zumindest keine Sorgen mehr machen. Ausserdem ist std::string viel bequemer als das ganze strcpy() Krams, sobald man sich mal an die STL gewöhnt hat.
Leute, die solchen Code schreiben, sollten von der Gentoo-Gemeinschaft exkommuniziert werden... 
_________________
Brain surgeon general's warning: reading books and magazines may be hazardous to your ignorance. |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Fri Sep 17, 2004 11:32 pm Post subject: |
|
|
hi,
is das nich nur für c++ ???
das is ja ein reines c programm...
ansich würde ja ein strncpy() mit sizeof() dafür reichen, dann noch ein \0 dranhängen und fertig....
ist also nicht wirklich aufwendig.
allerdings hab ich bei der durchsicht noch so einiges mehr gefunden...
naja, solange man's nicht als suid root installiert...
aber immerhin kann man's dazu benutzen, eine initiale remoteshell zu kriegen...
von da dann noch ne lokale privilegieneskalation und...
your box has been r00ted !!!!
hmm, falls das ein dev liest:
könnte man das teil bitte (security)hardmasken?
danke !!!
gruss
rootshell
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
pablo_supertux
Advocate
Joined: 25 Jan 2004
Posts: 2953
Location: Somewhere between reality and Middle-Earth and in Freiburg (Germany)
|
| Posted: Sat Sep 18, 2004 12:48 am Post subject: Re: STL, anyone? |
|
|
| kavau wrote: | Ich verstehe nicht, warum die Leute für sowas nicht einfach die STL benutzen... Ja, schon, man hat ein bisserl Overhead, aber nix tragisches. Und wenn man std::string anstelle von char[] verwendet, muss man sich wegen Buffer Overflows zumindest keine Sorgen mehr machen. Ausserdem ist std::string viel bequemer als das ganze strcpy() Krams, sobald man sich mal an die STL gewöhnt hat.
Leute, die solchen Code schreiben, sollten von der Gentoo-Gemeinschaft exkommuniziert werden... |
Vielleicht weil STL C++ ist und der Kernel in C geschrieben ist? (und auch das, was rootsehll hat). Oder willst du alles in C++ umschreiben, nur um die STL zu benutzen? Ich denke nur daran, wenn KDE 60 Stunden zum Kompilieren in Anspruch nimmt, wie lang werde ich dann für das bootstrapen oder emerge rsync warten? Eine Woche? Nein danke, ich bleibe lieber bei meinem buffer overflow.
@rootshell: Ich finde, dass du übereagierst. So dramatisch finde ich nicht, und Pfade > 4096 gibt es nun wirklich nicht, hab zumindest nie gesehen.
_________________
A! Elbereth Gilthoniel!
silivren penna míriel
o menel aglar elenath,
Gilthoniel, A! Elbereth! |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Sat Sep 18, 2004 12:57 am Post subject: |
|
|
hi,
*prust*
@pablo:
oh mann, schuster bleib bei deinen leisten...
---rootshell schrieb mist hier ---, sorry
nochmal
| Code: |
# export HOME=`perl -e 'printf "A" x 9500'` && ./lxdvdrip
Segmentation fault
#
|
...und schon ist HOME > 4096
wäre nett, wenn's nur qualifizierte postings gäbe
meinst du das ernst, was du schreibst???
im übrigen habe ich grade einen exploit fertiggestellt, der eine remote shell auf port XXXX über besagten fehler öffnet...
(*gg* läuft das noch unter p.o.c.??? *gg*)
gruss
rootshell
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual
Last edited by ruth on Sat Sep 18, 2004 12:50 pm; edited 3 times in total |
|
| Back to top |
|
|
pablo_supertux
Advocate
Joined: 25 Jan 2004
Posts: 2953
Location: Somewhere between reality and Middle-Earth and in Freiburg (Germany)
|
| Posted: Sat Sep 18, 2004 1:06 am Post subject: |
|
|
| rootshell wrote: |
du bist peinlich...
|
danke, schönes Kompliment, ich fühl mich geehrt
Ich mein nur folgendes: Ich hab 2 Mal im Leben KDE (alles auf C++ geschrieben) kompiliert und ich hab mind. 60 Stunden geopfert.
Gut, die STL hat schöne Sachen, stimmt, das mit std::string ist wirklich schön, weil man sich nicht mehr um die Länge des Buffer kümmern muss. Aber wenn der ganze Kernel und fast jede Bibliothek in C++ umgeschrieben werden müsste. damit wir davon profitieren, wie lange würde man brauchen, um Gentoo zu installieren? Mit meiner Maschine eine gute Woche, oder?
Nein, rootshell, ich will auch keine Buffer overflows und ich will auch keine exploits, ich frage mich nur, ob ich auch bereit bin, den Linux kernel & tools zu kompilieren, wenn alles in C++ geschrieben wäre? Mit den von dir erzeugten exploit hast Recht, das ist schrecklich, da schließe ich toskala an: "bugs werden doch nur von bösen menschen ausgenutzt und wer ist denn schon so böse?" (wenn das wirklich wahr wäre)
_________________
A! Elbereth Gilthoniel!
silivren penna míriel
o menel aglar elenath,
Gilthoniel, A! Elbereth! |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Sat Sep 18, 2004 1:08 am Post subject: |
|
|
hi,
--- rootshell schrieb nochmal mist hier ---
was hat denn das ganze mit compilerzeit zu tun???
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual
Last edited by ruth on Sat Sep 18, 2004 12:51 pm; edited 1 time in total |
|
| Back to top |
|
|
kavau
Tux's lil' helper
Joined: 28 Jul 2004
Posts: 87
|
| Posted: Sat Sep 18, 2004 1:11 am Post subject: Re: STL, anyone? |
|
|
| pablo_supertux wrote: | | Vielleicht weil STL C++ ist und der Kernel in C geschrieben ist? (und auch das, was rootsehll hat). Oder willst du alles in C++ umschreiben, nur um die STL zu benutzen? Ich denke nur daran, wenn KDE 60 Stunden zum Kompilieren in Anspruch nimmt, wie lang werde ich dann für das bootstrapen oder emerge rsync warten? Eine Woche? Nein danke, ich bleibe lieber bei meinem buffer overflow. |
Der code ist aber für ein DVD-ripping-tool und nicht für den Kernel. C code auf C++ zu portieren ist kein großer Aufwand, weil C++ zu 98% backwardskompatibel ist. Längere Kompilierzeiten nehme ich für Sicherheit und verbessertes Design gerne in Kauf. Aber wenn Du gerne in der Vergangenheit lebst, bitte sehr, das ist Deine Entscheidung.
_________________
Brain surgeon general's warning: reading books and magazines may be hazardous to your ignorance. |
|
| Back to top |
|
|
kavau
Tux's lil' helper
Joined: 28 Jul 2004
Posts: 87
|
| Posted: Sat Sep 18, 2004 1:16 am Post subject: |
|
|
| pablo_supertux wrote: | | Ich mein nur folgendes: Ich hab 2 Mal im Leben KDE (alles auf C++ geschrieben) kompiliert und ich hab mind. 60 Stunden geopfert. |
Echt? Also, ich lass das immer meinen Computer erledigen. Von meiner eigenen Zeit gehen dann nur etwa fünf Sekunden drauf. Aber wenn Du den ganzen Code von Hand kompiliert hast, dann sind 60 Stunden schon eine beachtliche Leistung. Alle Achtung!
Für den Fall, daß ich Dich falsch verstanden habe, hier noch'n heißer Tip: Der Compiler tut seine Arbeit auch wenn man nich' vorm Bildschirm klebt und den vorbeirollenden Zeilen zuschaut...
_________________
Brain surgeon general's warning: reading books and magazines may be hazardous to your ignorance. |
|
| Back to top |
|
|
pablo_supertux
Advocate
Joined: 25 Jan 2004
Posts: 2953
Location: Somewhere between reality and Middle-Earth and in Freiburg (Germany)
|
| Posted: Sat Sep 18, 2004 1:26 am Post subject: |
|
|
| kavau wrote: | | pablo_supertux wrote: | | Ich mein nur folgendes: Ich hab 2 Mal im Leben KDE (alles auf C++ geschrieben) kompiliert und ich hab mind. 60 Stunden geopfert. |
Echt? Also, ich lass das immer meinen Computer erledigen. Von meiner eigenen Zeit gehen dann nur etwa fünf Sekunden drauf. Aber wenn Du den ganzen Code von Hand kompiliert hast, dann sind 60 Stunden schon eine beachtliche Leistung. Alle Achtung!
Für den Fall, daß ich Dich falsch verstanden habe, hier noch'n heißer Tip: Der Compiler tut seine Arbeit auch wenn man nich' vorm Bildschirm klebt und den vorbeirollenden Zeilen zuschaut... |
Hallo, ihr braucht mich nicht fertig zu machen, ich hab schon kappiert, dass ich da einen Blödsinn gepostst hab und dass Compile Zeit wirklich nix mit dem Thema zu tun hatte; irren ist menschlich; und jetzt wo ich meine Post wieder lese, sehe ich, dass ich nicht wirklich mein Hirn benutzt hab, als ich das gepostet hab, aber das gibt EUCH nicht das Recht, mich so zu behandeln, ein bisschen mehr Respekt für alle, manche vergessen schnell, dass Menschen hinter den Bildschirmen sitzen.
Und blöd bin ich auch nicht, glaubst du ich blieb da die 60 Stunden vor dem Computer sitzen, bis alles fertig war? Natürlich nicht. In der Nacht hab ich auch meinen PC ausgeschaltet (sonst kann man mit dem Lärm nicht schlafen) und am Tag weiter gemacht. Also lass das bitte.
_________________
A! Elbereth Gilthoniel!
silivren penna míriel
o menel aglar elenath,
Gilthoniel, A! Elbereth! |
|
| Back to top |
|
|
EOF
Guru
Joined: 02 Jul 2003
Posts: 345
Location: Usingen
|
| Posted: Sat Sep 18, 2004 6:45 am Post subject: |
|
|
@rootshell
Kann es nicht sein, dass du den autor von lxdvd beleidigt hast? Hätte es nicht gereicht einen exploit zu schicken? Das wäre eine möglichkeit gewesen dein umfassendes wissen zu teilen. Nun darf sich der autor über den öffentlichen pranger freuen und verliert evtl. die lust am programmieren.
@alle
Kompiliert C kompatibler C++ code mit g++ deutlich langsamer als mit gcc?
Dafür möchte ich gerne einen link.
Da C++ zur kompilezeit turing vollständig ist (stichwort meta templates) kann ich leicht C++ (nicht C) programme schreiben, die beliebig lange kompilieren ... |
|
| Back to top |
|
|
amne
Bodhisattva
Joined: 17 Nov 2002
Posts: 6378
Location: Graz / EU
|
| Posted: Sat Sep 18, 2004 7:19 am Post subject: |
|
|
Ganz ruhig, Leute. Alle mal tief ein- und ausatmen, Raucher dürfen auch rauchen. Dann gepflegt weiterposten.
_________________
Dinosaur week! (Ok, this thread is so last week) |
|
| Back to top |
|
|
ian!
Bodhisattva
Joined: 25 Feb 2003
Posts: 3829
Location: Essen, Germany
|
| Posted: Sat Sep 18, 2004 7:20 am Post subject: |
|
|
| rootshell wrote: | allerdings hab ich bei der durchsicht noch so einiges mehr gefunden...
naja, solange man's nicht als suid root installiert...
aber immerhin kann man's dazu benutzen, eine initiale remoteshell zu kriegen...
von da dann noch ne lokale privilegieneskalation und...
your box has been r00ted !!!!
hmm, falls das ein dev liest:
könnte man das teil bitte (security)hardmasken?
danke !!! |
Da du die Stellen im Code besser kennst, würde ich dich bitten das auf bugs.gentoo.org oder im IRC in #gentoo-security zu reporten. Danke!
_________________
"To have a successful open source project, you need to be at least somewhat successful at getting along with people." -- Daniel Robbins |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Sat Sep 18, 2004 8:56 am Post subject: |
|
|
hi,
| Quote: |
hi stefan,
ich habe gerade dein tool lxdvd entdeckt...
sehr schön, da ich mir nächsten monat endlich einen dvd brenner kaufen will (werde!!!) *lach*
hab's deswegen noch nicht ausprobiert, nur mal kurz im code gelesen; dabei ist mir auf die schnelle eines aufgefallen:
Code:
void check_program (char * szProgram, long lSprache)
{
struct stat tmpStat;
char filename[255];
long bGefunden = 0;
printf ("Test %s", szProgram);
// Wenn kein Pfad gesetzt, dann im gesamten Pfad suchen
if (!strstr (szProgram, "/"))
{
char szPfad[4096];
int i;
char szVerzeichnis[1024];
strcpy (szPfad, getenv ("PATH"));
strcpy (szVerzeichnis, "");
for (i=0; i<strlen(szPfad); i++)
{
if (szPfad[i] == ':')
...
recht gefährlich, scheint mir...
du definierst szPath als [4096];
was passiert, wenn mein PATH > 4096 ist?
crash - boom - bang....
buffer overflow, klassischer natur...
mach doch bitte n' strncopy oder sowas draus...
ansonsten - top !!!
gruss
rootshell
|
| EOF wrote: |
Kann es nicht sein, dass du den autor von lxdvd beleidigt hast?
|
sieht das da oben für dich wie eine beleidigung aus???
| Quote: |
Hätte es nicht gereicht einen exploit zu schicken?
Das wäre eine möglichkeit gewesen dein umfassendes wissen zu teilen.
|
nochmal:
das, was ganz oben als zitat steht, das hab ich dem autor geschickt...
also das da:
hi stefan,
ich habe gerade dein tool lxdvd entdeckt...
[...]
@EOF:
wenn du das als beleidigung auffassst, dann leben wir beide wahrscheinlich in zwei verschiedenen welten.
die reaktion des autors war folgende:
| autor wrote: |
Wer hat denn schon einen Pfad mit mehr als 4096 Zeichen? Das wird im ganzen Leben nicht krachen. Bei der Pfadlänge würde jeder Programmstart 10 min dauern.
...
Vielleicht mal in einem nächsten Release, aber derzeit sehe ich da keinen Änderungsbedarf.
|
tja, auf diese antwort hab ich's dann halt veröffentlicht - ende...
und bzgl exploit:
sobald du einen PATH hast, der lang genug ist krachts...
sollte als POC reichen:
| Code: |
# export HOME=`perl -e 'printf "A" x 9500'` && ./lxdvdrip
Segmentation fault
#
|
auch das habe ich schon geschrieben....
fazit:
der autor sieht keine notwendigkeit, den code zu ändern.
daher ist auch ein bugreport nutz-/sinnlos.
und genau deswegen hab ich das publik gemacht;
nicht, weil er einen fehler gemacht hat.
hallo, ich mach auch fehler, jeder von uns macht fehler...
der grund war die reaktion, dass er eben _nicht_ willens ist, diese fehler zu beheben.
und für ein
<<<strcpy()
>>>strncpy()
brauch ich wirklich keinen patch schicken...
gruss
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
marc
Apprentice
Joined: 13 Jan 2003
Posts: 290
|
| Posted: Sat Sep 18, 2004 9:57 am Post subject: |
|
|
rootshell schrieb: | Quote: | fazit:
der autor sieht keine notwendigkeit, den code zu ändern.
daher ist auch ein bugreport nutz-/sinnlos.
und genau deswegen hab ich das publik gemacht;
nicht, weil er einen fehler gemacht hat.
hallo, ich mach auch fehler, jeder von uns macht fehler...
der grund war die reaktion, dass er eben _nicht_ willens ist, diese fehler zu beheben.
und für ein
<<<strcpy()
>>>strncpy()
brauch ich wirklich keinen patch schicken...
gruss |
aber genau deswegen solltest du erst recht einen bugreport schreiben. fehler die offensichtlich sind sollen (müssen) veröffentlicht werden. wir nutzen os und können keinen vorteil daraus ziehen weil einer keine lust hat etwas zu ändern oder welcher grund auch immer .......
bugreport: bla bla ..... so könnte ein exploit aussehen bla bla .....
wenn der autor dann trotzig wird und sagt ich programmiere nix mehr dann lass ihn doch. ist doch unsinnig die ganze diskussion. vielleicht schreibt jemand anders einen patch und schickt ihm den author. von rootshell lässt der sich vielleicht halt nix sagen.
nix für ungut |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Sat Sep 18, 2004 10:27 am Post subject: |
|
|
hi,
*schmunzel*
| marc wrote: | von rootshell lässt der sich vielleicht halt nix sagen.
nix für ungut |
... *grins* ja, das wirds sein,. vermutlich...
gruss
flo
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
LockeAverame
Tux's lil' helper
Joined: 14 Jul 2003
Posts: 108
|
| Posted: Sat Sep 18, 2004 11:16 am Post subject: |
|
|
najo bei dem code würde ich das programm sicher nicht nutzen wollen. und ja g++ compiliert länger bei c++ kompatiblen c code, liegt am anderen frontend. ich würde auch eher seltener statische arrays nehmen da sie doch recht viel cache speicher fressen ohne großen nutzen, aber egal, bei dem code da oben macht das dann glaube auch nix mehr aus. die richtig nervigen buffer overflows sind meist die, die gcc selber produziert ^^.
achja STL is ne nette sache, aber wer gut programmiert schreibt performanter in c und hat ebenfalls nicht das problem mit solchen buffer overflows. die STL is selbst ein ziemlicher hack (ein schelm wer die header files liest).
cu |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German)
