форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
Сообщение от opennews (??) on 23-Ноя-11, 12:28
Австралийский исследователь Сильвио Кезаре (Silvio Cesare) представил (http://www.scmagazine.com.au/News/280893,tool-kills-hidden-linux-bugs-vulnerabilities.aspx) проект Clonewise (http://foocodechu.com/main/?q=node/8), в рамках которого подготовлен инструментарий для выявления общих частей в исходных текстах различных программ и автоматического анализа такого кода на предмет наличия известных уязвимостей. Clonewise помогает решить проблему с возникновением скрытых уязвимостей, которые остаются неисправленными на протяжении длительного времени. Код анализатора написан на языке С++ и распространяется (https://github.com/silviocesare/PackageCloneDetection) под лицензией GPLv3. Дополнительно подготовлен GUI-интерфейс на языке Java для управления процессом и визуализации идентичных блоков кода в различных пакетах. Поддерживается работа с репозиториями с пакетами в формате  RPM и DEB (для загрузки используется yumdownloader и apt-get). При анализе и сопоставлении данных активно использ... URL: http://www.scmagazine.com.au/News/280893,tool-kills-hidden-linux-bugs-vulnerabilities.aspx Новость: http://www.opennet.ru/opennews/art.shtml?num=32373
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+10 +/–
Сообщение от Аноним (??) on 23-Ноя-11, 12:28
Полезная штука.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+1 +/–
	Сообщение от Xasd (ok) on 23-Ноя-11, 12:39
	а вот программиисты которые занимаются Copy-Past -- бесполезны. 9000 раз же всем говорили... и сёравно находятся такие "умники"... зачем придумывают всякие git submodule, если сёравно "крутой компьютерщик Вася" вазьмёт да и скопирует пару файлов чужих исходников в свой проект :-/ :-/ # p.s.: если конешно не преследуются цели создания fork
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+1 +/–
	Сообщение от Аноним (??) on 23-Ноя-11, 13:13
	Балмер что ли? Зачем изобретать велосипеды, когда все уже написано до нас?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	–1 +/–
	Сообщение от Xasd (ok) on 23-Ноя-11, 13:26
	> Балмер что ли? Зачем изобретать велосипеды, когда все уже написано до нас? тыг вот и сделай ссылку на этот "уже написанный" чужой код.. а не присваивай себе чужые ошибки :-)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+4 +/–
	Сообщение от Xasd (ok) on 23-Ноя-11, 13:35
	в Балмеровской Windows XP -- кстате какраз было много Copy-Past`нутых чужих ошибок из BSD-сетевого-стэка :-) [в то вермя как в самой той оригинальной BSD их уже исправили]
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	20. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	–3 +/–
	Сообщение от 1 (??) on 23-Ноя-11, 15:45
	пруф или не было?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	26. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+2 +/–
	Сообщение от Аноним (??) on 23-Ноя-11, 16:33
	> пруф или не было? MS11-083 :)
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	32. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	–4 +/–
	Сообщение от z (??) on 23-Ноя-11, 17:14
	А где ссылка на аналогичную уязвимость в *BSD?
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	33. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+1 +/–
	Сообщение от Аноним (??) on 23-Ноя-11, 17:14
	Что бы не выдумывал Карманов, а рабочие эксплоиты от этого эксплоитами не перестанут быть :-) http://downloads.securityfocus.com/vulnerabilities/exploits/... http://seclists.org/fulldisclosure/2011/Nov/index.html#106 О том, что "I calculated that it would take approximately 52 days for the host to enter a condition where this vulnerability is  triggerable. " изначально всем было известно.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	53. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+1 +/–
	Сообщение от Аноним (??) on 24-Ноя-11, 04:19
	> О том, что "I calculated that it would take approximately 52 days > for the host to enter a condition where this vulnerability is >  triggerable. " изначально всем было известно. А ботам пофигу. Надо долбить 52 дня? Будут в фоне долбить 52 дня. Мне они вон SSH лет 6 уже пытаются сбрутить. Безуспешно, но боты не унывают. Потому что пока они этого еще не умеют :)
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	60. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
	Сообщение от ол on 26-Ноя-11, 09:45
	классная картинка
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+5 +/–
Сообщение от Alen (??) on 23-Ноя-11, 12:57
Антивирус по опенсоурсному - это антидырус ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+2 +/–
	Сообщение от Аноним (??) on 23-Ноя-11, 13:15
	> Антивирус по опенсоурсному - это антидырус ;) Антивирус, а точнее средство автоматического отслеживания атак и определения взлома в опенсорсе бы не помешал. Кернел оргом клянусь.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
	Сообщение от Lain_13 on 23-Ноя-11, 13:31
	И, кстати, это правильно. Нужно избавляться от проблем, а не их последствий.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	19. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+1 +/–
	Сообщение от Аноним (??) on 23-Ноя-11, 15:34
	> Антивирус по опенсоурсному - это антидырус ;) Так заткнуть дыру - это ж умнее чем вместо этого ловить то что через нее валится?!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
Сообщение от Аноним (??) on 23-Ноя-11, 14:31
А что за странное пятно слева сверху на графе?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
	Сообщение от Guest (??) on 23-Ноя-11, 14:50
	это бесформенное пятно
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
	Сообщение от SsD on 23-Ноя-11, 14:54
	Сферический конь в вакууме
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	39. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
	Сообщение от Lain_13 on 23-Ноя-11, 18:19
	Если учесть, что 90% это лочные срабатывания, то это определённо именно он и есть.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	40. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+2 +/–
	Сообщение от Lain_13 on 23-Ноя-11, 18:20
	> лоЧные Эк я по Же-то промазал-то…
	Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

	22. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+1 +/–
	Сообщение от Crazy Alex (??) on 23-Ноя-11, 15:58
	Даже если он будет частью операционки (кстати как вы это себе представляете?) то что помешает авторам софта также таскать его с собой? И наоборот - им и сейчас ничего не мешает использовать нормальный внешний libpng. А мозилловцев за повадку "всё своё ношу с собой" надо вообще сапогами бить. Начиная с неиспользования готовых внешних бибилиотек декодирования аудио/видео, кстати.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	24. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+5 +/–
	Сообщение от Карбофос (ok) on 23-Ноя-11, 16:12
	>затычка для детских болезней open-source'а Ваня, очнись. этими болезнями кишат и закрытые проекты. прикинь?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	37. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+8 +/–
	Сообщение от gegMOPO4 (ok) on 23-Ноя-11, 17:37
	Именно, что кишат. Любой более-менее крупный закрытый проект тащит с собой целый зоопарк необновляемого стороннего купленного закрытого кода. Для свободного софта в Линуксе это исключение (420 срабатываний на десятки тысяч приложений).
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	27. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+8 +/–
	Сообщение от Аноним (??) on 23-Ноя-11, 16:41
	> 1. "инструментарий для ... автоматического анализа ... кода на предмет наличия ИЗВЕСТНЫХ > уязвимостей" (выделено мной) И что? У MS бывали дыры в общедоступных либах типа злибы, и ничего, не смущались. > Fedora было выявлено пять пакетов, в которых проявляется уязвимость ... исправленная > ещё в начале апреля" А у MS вообще анимированные курсоры позволяли в ядро проломиться. И дыр в GDI+ было оптом в всех парсерах форматов - от жпега до WMF. Чем это лучше? > Это ещё одна затычка для детских болезней open-source'а Про детские болезни вякать после MS11-083 довольно нагловато, имхо. Это у вас в TCP/IP стеке детские болезни, если оно позволяет ремотным пакетом кернел мод поиметь. > причиной которых является огрехи в архитектуре ОС и методике разработки. А MS11-083 почему-то у MS случился. По логике получается что там не огрехи а сплошной мегафэйл, да? Потому что в *BSD/Linux такого лютого пи...ца с дырявостью сетевого стека не наблюдается. > Так libpng просто напрашивается стать частью ОС, но вместо этого дублируется > (!!) в десятках проектов. Так кто виноват что бакланы из микрософта не предоставляют возможность попросить "дайте нам libpng"? В линухе так и делают обычно, указывая libpng в зависимостях вместо копипи...нга кода из нее. Но есть же винды, где это не вариант. А переть с собой всю библу - так прога сильно распухает и тяжелеет. Вот и выкручиваются как умеют. > А вот это уже ППЦ. Не, ППЦ - это когда ремотный пакет влетает в кернел и выполняется. Как в MS11-083. Вот это лютенько, ничего не скажешь.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
Сообщение от анон on 23-Ноя-11, 15:08
копирасты обрадуюются это ж нахаляву такой инструмент!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
	Сообщение от Аноним (??) on 23-Ноя-11, 15:33
	А ты не тырь у копирасов. Это как минимум некультурно.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	41. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+2 +/–
	Сообщение от Lain_13 on 23-Ноя-11, 18:32
	Не, им он практически без толку. Он ищет известные фрагменты кода, а не «код, которые делает то же самое, что и в нашем патенте».
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
Сообщение от Аноним (??) on 23-Ноя-11, 16:04
> Дополнительно подготовлен GUI-интерфейс на языке Java для управления процессом и визуализации идентичных блоков кода в различных пакетах. На Java? Жаль.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	36. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+1 +/–
	Сообщение от тоже Аноним (ok) on 23-Ноя-11, 17:33
	Это интерфейс для присобачивания этой системы к всяческим НетБинсам, Эклипсам и т.п. На чем еще он должен быть?
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	57. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+1 +/–
	Сообщение от Суровый on 24-Ноя-11, 16:30
	На ассемблере
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

61. "Инструментарий для выявления скрытых уязвимостей, возникающи..."	+/–
Сообщение от alex (??) on 29-Ноя-11, 22:03
Буду очень благодарен за небольшой HOWTO как этим воспользоваться ? Для поиска одинаковых кусков кода в проекте например ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема