From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sun, 15 Aug 2004 20:39:39 +0400 From: =?koi8-r?B?5MXOydMg883J0s7P1w==?= To: Alexey Morsov Message-ID: <20040815163939.GA25010@dhcppc2> Mail-Followup-To: =?koi8-r?B?5MXOydMg883J0s7P1w==?= , Alexey Morsov , ALT Linux Community References: <411B66CA.1040504@ricom.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <411B66CA.1040504@ricom.ru> Cc: ALT Linux Community Subject: [Comm] Re: =?koi8-r?b?4dTBy8kg1MnQwQ==?= buffer overflow X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 16 Aug 2004 08:30:19 -0000 Archived-At: List-Archive: List-Post: On Thu, Aug 12, 2004 at 04:47:06PM +0400, Alexey Morsov wrote: AM> Не секрет что многое в линуксе (а точнее там где используються AM> некоторые распространенные функции Си - скажем strcpy, sprintf) AM> подвержено переполнению буфера - и является уязвимым место многих AM> сервисов... Я бы сказал что подавляющее большинство ошибок безопасности с этим и связано. Собственно проблема в том, что в C отсутствует тип данных "строка". Есть только тип данных "указатель на символ", который и используется для работы со строками. Следить за тем, чтобы не было записи в память, не принадлежащую этой переменной, должен сам программист. AM> Собственно вопрос - как обстоят с этим дела и как можно AM> попроверять, поисследовать, помониторить на этот счет (про snort AM> слышал но не пользовался)? Копать в сторону утилит типа valgrind, которые умеют отлавливать некоторые проблемы такого рода. В общем случае проблема неразрешима, и является основной причиной крайней неразумности использования языка С для написания прикладного ПО. -- С уважением, Денис http://freesource.info