anonymous@RULINUX.NET~# Last login: 2024-12-24 00:10:10
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

FYI: "вредоносные числа"

В актуальной версии Java обнаружилась уязвимость, связанная с обработкой чисел с плавающей точкой. Присваивании double-переменным чего-нибудь очень маленького с большим количеством значащих цифр (конкретные "волшебные" числа лежат в диапазоне от 2.2250738585072011E-208 до 2.2250738585072013E-208) уводит фреймворк в бесконечный цикл со стопроцентной загрузкой процессора. Как минимум уязвимости подвержены 32 и 64-битные windows-версии JRE/JDK 1.6.0_23, проверялась (успешно) и 32-битная OpenSuse-версия. Судя по всему, ошибка заключена в коде, отвечающем за аппроксимацию вещественных значений - код, пытающийся подобраться как можно ближе к правильному значению, в подобных условиях просто зацикливается.

Любопытно, что всего месяц назад точно такая же проблема была обнаружена в PHP. Тогда у разработчиков ушло всего два дня на исправление, но вряд ли стоит ожидать такой оперативности от Oracle. С учетом того, сколь незначительными усилиями можно использовать данную уязвимость для эффективной DoS-атаки, разработчикам стоит самим взяться за спасение утопающих. В качестве основного рецепта предлагается фильтровать потенциально вредоносную последовательность 2.225073858507201 (вредоносные числа, мама дорогая) перед конвертацией полученных извне строк в числа.

 http://bugtraq.ru/rsn/archive/2011/02/01.html

anonymous(*) (2011-02-09 14:40:00)

Mozilla/5.0 (Windows NT 5.1; rv:2.0b10) Gecko/20100101 Firefox/4.0b10

[Ответить на это сообщение]
[#] [Добавить метку] [Редактировать] Ответ на: FYI: "вредоносные числа" от anonymous 2011-02-09 14:40:00
avatar
Скрыть

Re: FYI: "вредоносные числа"

ППЦ.

Tux-oid(*)(2011-02-09 14:58:22)

Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.2.13) Gecko/20101203 SUSE/3.6.13-0.2.1 Firefox/3.6.13
[#] [Добавить метку] [Редактировать] Ответ на: FYI: "вредоносные числа" от anonymous 2011-02-09 14:40:00
avatar
Скрыть

Re: FYI: "вредоносные числа"

> подвержены 32 и 64-битные windows
Венда 3.1 по-прежнему рулит!

HEBECTb_KTO(*)(2011-02-09 16:27:27)

[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: "вредоносные числа" от HEBECTb_KTO 2011-02-09 16:27:27
avatar
Скрыть

Re: FYI: "вредоносные числа"

>Венда 3.1 по-прежнему рулит!
Венда 3.1 ВНЕЗАПНО не ОС.

Esoptro(*)(2011-02-09 17:49:08)

Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.2.13) Gecko/20101203 SUSE/3.6.13-0.2.1 Firefox/3.6.13
[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: "вредоносные числа" от Esoptro 2011-02-09 17:49:08
avatar
Скрыть

Re: FYI: "вредоносные числа"

 http://en.wikipedia.org/wiki/Windows_3.1x

HEBECTb_KTO(*)(2011-02-09 17:56:25)

[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: "вредоносные числа" от HEBECTb_KTO 2011-02-09 17:56:25
avatar
Скрыть

Re: FYI: "вредоносные числа"

Моя любимая винда! Ничего новее вин3.1 (из продуктов MS, разумеется) на моём компе не стояло.

anonymous(*)(2011-02-09 18:00:09)

[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: "вредоносные числа" от HEBECTb_KTO 2011-02-09 17:56:25
avatar
Скрыть

Re: FYI: "вредоносные числа"

там ни слова не сказано про то: что для того что бы ее запустить нужен DOS.

>На самом деле Windows 3.x не стоит называть операционной системой, потому что она является многофункциональной надстройкой для DOS, то есть работает на её основе.
 http://ru.wikipedia.org/wiki/Windows_3.1x

это оболочка а не полноценная ОС.

Esoptro(*)(2011-02-09 18:20:48)

Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.2.13) Gecko/20101203 SUSE/3.6.13-0.2.1 Firefox/3.6.13
[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: "вредоносные числа" от Esoptro 2011-02-09 18:20:48
avatar
Скрыть

Re: FYI:

Ну и что? А операционная система ГНУ/Линупс является надстройкой над ядром Торвальдса.

HEBECTb_KTO(*)(2011-02-09 18:26:22)

[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: от HEBECTb_KTO 2011-02-09 18:26:22
avatar
Скрыть

Re: FYI:

>Ну и что? А операционная система ГНУ/Линупс является надстройкой над ядром Торвальдса.
к чему ты это? Вин 3.1 была надстройкой к полноценной ОС, а не к ее ядру.

Esoptro(*)(2011-02-09 20:38:29)

Mozilla/4.0 (compatible; MSIE 5.0; Windows 95)
[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: от Esoptro 2011-02-09 20:38:29
avatar
Скрыть

Re: FYI:

Это к какой ещё полноценной ОС? К MsDOS, которая была уёбищной надстройкой к биосу и в которой не было даже унифицированных интерфейсов для работы с графикой, коммуникационными средствами, даже свопа не было, не говоря уж о контроле за распределением ресурсов и программы сами таскали за собой код для рисования графики, вывода звуков, работы с сетью?

HEBECTb_KTO(*)(2011-02-09 21:01:50)

[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: от HEBECTb_KTO 2011-02-09 21:01:50
avatar
Скрыть

Re: FYI:

>Это к какой ещё полноценной ОС? К MsDOS, которая была уёбищной надстройкой к биосу
Я как и ты не симпатизирую продукции от MS но вынужден признать что во времена ДОС, альтернатив этому поделию в сегменте десктопов, почти не было.

Esoptro(*)(2011-02-09 21:43:43)

Mozilla/4.0 (compatible; MSIE 5.0; Windows 95)
[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: от Esoptro 2011-02-09 21:43:43
avatar
Скрыть

Re: FYI:

Я говорю не про альтернативы, а про то, что венда была всё-таки системой.

HEBECTb_KTO(*)(2011-02-09 22:06:37)

[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: от HEBECTb_KTO 2011-02-09 22:06:37
avatar
Скрыть

Re: FYI:

просто имхо сравнивать закрытый софт в виде связки Дос+Вин 3.11, и открытые Линукс кернел + ГНУтые проги, не совсем корректно

Esoptro(*)(2011-02-09 23:17:18)

Mozilla/4.0 (compatible; MSIE 5.0; Windows 95)
[#] [Добавить метку] [Редактировать] Ответ на: Re: FYI: от Esoptro 2011-02-09 23:17:18
avatar
Скрыть

Re: FYI:

Ты совсем неадекватен.

HEBECTb_KTO(*)(2011-02-10 01:15:51)

Этот тред читают 3 пользователя:
Анонимных: 3
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!