From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.2 required=5.0 tests=AWL,BAYES_00,SPF_PASS autolearn=ham version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:reply-to :user-agent:mime-version:to:subject:references:in-reply-to :x-enigmail-version:content-type:content-transfer-encoding; bh=iqkdlSkGZBajKsCEkPkPKSMV3l/gTZFRUpnguTEqwQM=; b=hBTJCbt/IbATARgySHV2Mb3L5GW/xNHnGWCgtWrTrAfoEdfQEKRbu2dFKuYp6vSyYL /swvazw0v8YYzLq3vbGn9Pb8BS8HGSz8LnmrJymY48i8/ujMX3QvCsrmCJRxM6tKQEAf DgZZqFfq7IuUWCZOx0Mvq94eoeepskR14/yEQ= DomainKey-Signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:reply-to:user-agent:mime-version:to:subject :references:in-reply-to:x-enigmail-version:content-type :content-transfer-encoding; b=ILCcAHPwUak1d4hY0gkYu96Bmuthg8LiI9WlEEChTME87nFOVsJlEl17GWm6cJkY/Z Bgb1hsxTH8okYS1co2ZvsrLJH8YP8PjTJpqo+0KoRPMa8Y+0yD+ngkWpekm2I2swya4/ VouMGBguqWzRPejYO/kMr1m6nslRdbOv7Cs7E= Message-ID: <49E35CD8.70401@altlinux.org> Date: Mon, 13 Apr 2009 21:40:08 +0600 From: Denis Klimov User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1b4pre) Gecko/20090316 Thunderbird/3.0b3pre MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <49E35120.2040901@nevod.ru> In-Reply-To: <49E35120.2040901@nevod.ru> X-Enigmail-Version: 0.96a Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] auth-katrin.c - buffer owerflow X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: zver@altlinux.org, ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 13 Apr 2009 15:40:29 -0000 Archived-At: List-Archive: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 13.04.2009 20:50, Шигапов Ринат wrote: > Заметил 2 assert'a в auth-katrin.c для предотвращения переполнения > буфера. Не лучше ли делать strncpy вместо комбинации assert+strcpy? > Да, можно заменить, но надо учитывать не приведет ли такое копирование в дальнейшем к трудноотлаживаемому падению демона. Если нет, например копируется пароль, то просто не пройдет авторизация, но в случае если копируется не вся строка, то нужно в лог писать варнинг о том что было скопировано не все. Если неполное копирование критично для работы демона, то лучше оставить assert. Я думаю это будет налучший алгоритм. - -- Климов Денис Евгеньевич Технический директор ООО "Свободные решения" kde@spo.tyumen.ru http://spo.tyumen.ru jabber: zver@altlinux.org -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAknjXNcACgkQ/2RPAjBLeBrOCACfQtNlbUiSbts77SGxxw6Gh8Uy eMsAn3lcKMx4XWdJ9fev5tJgsqmilYL8 =jb1h -----END PGP SIGNATURE-----