anonymous@RULINUX.NET~# | Last login: 2024-12-23 23:49:34 |
Регистрация Вход | Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск |
Форум - Talks | [RSS] |
В актуальной версии Java обнаружилась уязвимость, связанная с обработкой чисел с плавающей точкой. Присваивании double-переменным чего-нибудь очень маленького с большим количеством значащих цифр (конкретные "волшебные" числа лежат в диапазоне от 2.2250738585072011E-208 до 2.2250738585072013E-208) уводит фреймворк в бесконечный цикл со стопроцентной загрузкой процессора. Как минимум уязвимости подвержены 32 и 64-битные windows-версии JRE/JDK 1.6.0_23, проверялась (успешно) и 32-битная OpenSuse-версия. Судя по всему, ошибка заключена в коде, отвечающем за аппроксимацию вещественных значений - код, пытающийся подобраться как можно ближе к правильному значению, в подобных условиях просто зацикливается.
Любопытно, что всего месяц назад точно такая же проблема была обнаружена в PHP. Тогда у разработчиков ушло всего два дня на исправление, но вряд ли стоит ожидать такой оперативности от Oracle. С учетом того, сколь незначительными усилиями можно использовать данную уязвимость для эффективной DoS-атаки, разработчикам стоит самим взяться за спасение утопающих. В качестве основного рецепта предлагается фильтровать потенциально вредоносную последовательность 2.225073858507201 (вредоносные числа, мама дорогая) перед конвертацией полученных извне строк в числа.
anonymous(*) (2011-02-09 14:40:00)
Mozilla/5.0 (Windows NT 5.1; rv:2.0b10) Gecko/20100101 Firefox/4.0b10
|
|
|
Скрыть
Re: FYI: "вредоносные числа"> подвержены 32 и 64-битные windows
|
Esoptro(*)(2011-02-09 17:49:08)
Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.2.13) Gecko/20101203 SUSE/3.6.13-0.2.1 Firefox/3.6.13 |
Скрыть
Re: FYI: "вредоносные числа"Моя любимая винда! Ничего новее вин3.1 (из продуктов MS, разумеется) на моём компе не стояло. |
Скрыть
Re: FYI: "вредоносные числа"там ни слова не сказано про то: что для того что бы ее запустить нужен DOS. >На самом деле Windows 3.x не стоит называть операционной системой, потому что она является многофункциональной надстройкой для DOS, то есть работает на её основе.
это оболочка а не полноценная ОС. Esoptro(*)(2011-02-09 18:20:48)
Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.2.13) Gecko/20101203 SUSE/3.6.13-0.2.1 Firefox/3.6.13 |
Скрыть
Re: FYI:Ну и что? А операционная система ГНУ/Линупс является надстройкой над ядром Торвальдса. |
Скрыть
Re: FYI:>Ну и что? А операционная система ГНУ/Линупс является надстройкой над ядром Торвальдса.
|
Скрыть
Re: FYI:Это к какой ещё полноценной ОС? К MsDOS, которая была уёбищной надстройкой к биосу и в которой не было даже унифицированных интерфейсов для работы с графикой, коммуникационными средствами, даже свопа не было, не говоря уж о контроле за распределением ресурсов и программы сами таскали за собой код для рисования графики, вывода звуков, работы с сетью? |
Скрыть
Re: FYI:>Это к какой ещё полноценной ОС? К MsDOS, которая была уёбищной надстройкой к биосу
|
Скрыть
Re: FYI:просто имхо сравнивать закрытый софт в виде связки Дос+Вин 3.11, и открытые Линукс кернел + ГНУтые проги, не совсем корректно |
|
|
|
Этот тред читают 2 пользователя: |
Анонимных: 2 Зарегистрированных: 0 |
Re: FYI: "вредоносные числа"
ППЦ.
Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.2.13) Gecko/20101203 SUSE/3.6.13-0.2.1 Firefox/3.6.13