topikon belul masodszor reflektalok egy hozzaszolasodra, de nem kotekedni szeretnek hidd el:
> a debian a bug-ból szokás szerint egy hatalmas vulnerability-t csinál
ezt hogy tetszik erteni? ideznek a fent emlitett blog bejegyzesbol:
The patch ensures that the suhosin configuration is set to read only, but now a memory corruption exploit can just overwrite the suhosin_config pointer and let it point to a memory area that contains a new configuration.
szo sincs rola, hogy a debianos arcok sebezhetoseget gyartottak volna. pointert hasznalnak az eredetileg fix hosszu karakterlanc helyett. a pointer meg arrol kapta a nevet, hogy memoria cimre mutat - barmi is legyen ott. a sebezhetoseg ugy valik valossa, hogy mashol - nem feltetlenul itt ebben a patchben - esetlegesen elkovetett hiba miatt (pl buffer overflow) az a memoriaterulet ahova a pointer mutat megvaltozhat, azaz rossz indulatu kod - jelen esetben suhosin konfig - kerulhet oda. tehat ez onmagaban meg nem sebezheto.
off: egyebkent meg a debianos arcok neveben kikernem magamnak a 'szokas szerint' es 'hatalmas' jelzoket.
udv, sbalazs.