Welcome! Log In Create A New Profile

Advanced

Re: CVE-2015-0235 - GHOST

January 29, 2015 04:12PM
On 30 Jan 2015, at 00:01, Vadim A. Misbakh-Soloviov <mva@mva.name> wrote:

> В письме от Чт, 29 января 2015 23:50:49 пользователь Igor Sysoev написал:
>> В сочетании nginx/glibc тоже нет уязвимости.
>
> В общем случае — да :)
>
> Но, на сколько я понял намёк ОП, он имеет в виду, что (не смотря на отсутствие
> PoC) потенциальная уязвимость есть (если подшаманить на основе exim-эксплойта)
> + иметь необновляемую годами систему "старым" glibс (2.2x<2.18), то может
> можно и словить.
>
> Мало ли, какие [умные люди] крутят NgX 0.7.x на МСВС каком-нибудь :) Ну, или
> какой-нибудь там Debian old-stable (а то и Maemo какой-нибудь. Любителей
> нестандартных развлечений ведь много).
>
> А так, да, в большинстве систем, где не забывают обновлять пакетную базу и
> вовремя "стабилизировать" новые версии (а юзеры не забывают обновляться)
> проблем быть, конечно, не должно.

nginx перед вызовом gethostbyname() вызывает свой аналог inet_addr() и сам
обрабатывает длинный адрес, поэтому даже в комбинации nginx-0.7.0/glibс-2.3
проблемы нет.


--
Igor Sysoev
http://nginx.com

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

CVE-2015-0235 - GHOST

Vladimir Getmanshchuk January 28, 2015 03:40AM

Re: CVE-2015-0235 - GHOST

mva January 29, 2015 03:34PM

Re: CVE-2015-0235 - GHOST

Igor Sysoev January 29, 2015 03:52PM

Re: CVE-2015-0235 - GHOST

mva January 29, 2015 04:02PM

Re: CVE-2015-0235 - GHOST

Igor Sysoev January 29, 2015 04:12PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 269
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 500 on July 15, 2024
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready