|
 Все новости от 16 декабря 2004 г.
Студенты обнаружили десятки ошибок в Unix-ПО
Студенты специалиста по вычислительной технике, иконоборца Даниеля Бернштейна обнаружили 44 уязвимости в различных Unix-приложениях.
Ошибки — от мелких просчетов в сравнительно редко используемых программах до более серьезных пробелов в защите ПО, поставляемого с большинством версий операционной системы Linux, — были выявлены в рамках выпускного курса Бернштейна в Университете штата Иллинойс в Чикаго.
Список этих ошибок появился в среду на веб-сайте студента Джеймса Лонгстрита. Бернштейн, профессор вычислительной техники университета, пока не ответил на просьбу прокомментировать находки.
За два дня до этого компания, специализирующаяся на тестировании ПО, объявила, что в течение четырех лет, пользуясь собственным аналитическим инструментом, она обнаружила 985 ошибок в последней версии ядра Linux. Это число кажется большим, но оно меньше, чем в большинстве коммерческих программ, утверждает компания.
Как следует из учебных заданий, размещенных на веб-сайте Бернштейна, каждый учащийся в течение осеннего семестра должен был найти 10 ошибок, за что ему причитается 60% зачета. Судя по тому, что на 25 студентов приходится всего 44 обнаруженных ошибки, теперь им остается надеяться лишь на удачу.
 Предыдущие публикации:
|
 |
 | Не Лох
16 Dec 2004 8:21 PM |
Отлично!
Если такие задания давать по всем вузам, то МС от зависти лопнет просто :))
Это же такая помошь линуксоидам.
Так держать профессор!
|
|
| Alexander S.
16 Dec 2004 10:32 PM |
А если посылать всех студентов на картошку, то буржуи просто лопнут от зависти. Это же какая помощь селу!
Так держать, советская власть! |
|
| Кузя
17 Dec 2004 2:00 AM |
| Наш студент всё равно умнее и сообразительнее. |
|
| Не Лох
17 Dec 2004 2:50 AM |
Перегибаете Александр.
Задания то давались по теме обучения. Давались программистам.
А вы программистов на картошку :))
|
|
| tstone - saldo mail.ru
17 Dec 2004 7:33 AM |
Да, побольше бы таких работ.
Только надо бы еще не забывать исправлять эти ошибки :-)
Может тогда и доживем до "трастед компьютинг" (или как там оно правильно пишется).
2 Alexander S.:
тяжелая юность?
|
|
| Wintermute - devnul.ru
17 Dec 2004 8:24 AM |
| Не знаю, как вы, а я, прочитав описания этих дыр, прото поразился убогости программ, в которых их нашли. И ведь многим это убожество нравится... На вкус, на цвет... |
|
| Петя
17 Dec 2004 10:02 AM |
| Unix-ПО и Unix-ОС это настолько разные вещи, что непонятно зачем вообще нужна эта тупая заметка.. |
|
| AD - adastral-on.net
17 Dec 2004 11:49 AM |
> Не знаю, как вы, а я, прочитав описания этих дыр, прото поразился
> убогости программ, в которых их нашли. И ведь многим это убожество
> нравится... На вкус, на цвет...
У тебя просто непонимание идеологии unix. unix - инструментальная ОС... можно сказать - язык программирования. Ты же не требуешь от языков программирования наличия опрератора с неонкой внутри?
PS все не смотрел, дошел только до cups. Но так как ты все программы из списка заклеймил, то нужно считать что и cups тоже? Так вот, гражданин, это у вас дыра в мозгу, считать cups примитивом и убожеством. Или признайся, что посмотрел только на первые 5 (abc*). |
|
| Ron
17 Dec 2004 1:02 PM |
2 AD:
Сами-то программы по функционалу может и не убожество, но код опенсорсный в основной своей массе - настоящее гуано. Каждый раз, как надо в какой-нибудь код залезть - это просто настоящий шок...
|
|
| Wintermute - devnul.ru
17 Dec 2004 1:10 PM |
2 AD: "просто непонимание идеологии unix. unix - инструментальная ОС"
Да куда уж мне, примитивному...
"можно сказать - язык программирования"
Я в курсе. Вот только для обычных людей ОС, грубо говоря, это программа, обеспечивающая взаимодействие прикладных программ с аппаратным обеспечением и окружением. Я так всегда полагал, что язык программирования нужен для написания ОС, а не наоборот. Ну, юниксоидам видней.
"то нужно считать что и cups тоже? Так вот, гражданин, это у вас дыра в мозгу, считать cups примитивом и убожеством"
Я просмотрел их все. Что такое cups - без понятия, так как из названия назначение понять нельзя (это справедливо, кстати, для большинства юниксовых команд и программ), а сам ею не пользовался и, Бог даст, не придется. Но однотипность способов "завала" всех этих программ (типа, мусор во входном потоке) наводит на размышления. Да и способы управления этими программами хороши для 60 годов XX века, когда придумали юникс. В 2004 году они вызывают недоумение. |
|
| Имя
17 Dec 2004 2:20 PM |
2 Ron
"Сами-то программы по функционалу может и не убожество, но код опенсорсный в основной своей массе - настоящее гуано. Каждый раз, как надо в какой-нибудь код залезть - это просто настоящий шок..."
К сожалению весь комерческий код в разработке которого мне до сих пор приходилось участвовать - вот это настоящее гавнище. может быть это просто мне не повезло или работал не в тех компаниях...
Считаю что дело в людях а не в деньгах. Как выглядит код зависит от того, кто его пишет. Если пишет хороший спец, то и код хороший. А если пишет еще и за деньги, то код еще лучше. |
|
| zenith
17 Dec 2004 2:43 PM |
2Ron
>Каждый раз, как надо в какой-нибудь код залезть - это просто настоящий шок...
А с чем ты сравниваешь? Проприетарный-то код не доступен, спец по гуано мля.
2Wintermute
>Что такое cups - без понятия
Ха, чувствуется специалист, CUPS - Common UNIX Printing System. Ты некомпетентен в данных вопросах, поэтому лучше промолчи. |
|
| Ron
18 Dec 2004 12:39 PM |
> А с чем ты сравниваешь? Проприетарный-то код не доступен,
Сравниваю, к примеру, с MFC и ATL, исходники которых идут в составе VS. По крайней мере, такой х-еты как ф-ия main в 2000 с лишним строчек там не наблюдаецца.
|
|
| A
18 Dec 2004 11:22 PM |
2 Wintermute:
> так как из названия назначение понять нельзя (это справедливо, кстати, для большинства
> юниксовых команд и программ)
Ну это зря... CUPS = Common Unix Printing System. Активно используется в MacOS X. Надеюсь, тут никто не считает эту ОС студенческой поделкой ?
Кое что из команд:
ls = list
chmod = change mode
chattr = change attribute
cp = copy
mv = move
md = make direcory
mkfs = make filesystem
И т.д. А вот DirectX можно перевести как "Прямой X". Так что твой аргумент обоюдоострый.
-
2 Имя:
> К сожалению весь комерческий код в разработке которого мне до сих пор приходилось
> участвовать - вот это настоящее гавнище.
Они ничем не отличаются.
Принципы разработки и там и тут одинаковые - есть один рулевой, которому куча народу скидывает то, что написали. Естественно, у каждого свои взгляды на стиль написания и свое понимание задачи. |
|
| Сергей М
19 Dec 2004 4:15 PM |
Только вот мало кто из вас, злорадствующих, поинтересовался а что именно исследовалось. Так вот, по большей части это бета-версии, ко многим из которых ниразу не притрагивалась рука человека по два-три года. Т.е. кто-то (чаще всего одиночка) начал проект, а потом забросил, по различным причинам.
Вот кое-какие данные по указанным проектам (там где указан просто "Devедщзьуте status" - это данные с SourceForge.net):
2fax.txt ?
abc2midi.txt ?
abc2mtex.txt ?
abcm2ps.txt FreeBSD Ports, freshmeat.net [Development Status] 4 - Beta
abcpp.txt Development Status: 4 - Beta, 5 - Production/Stable, no files released!!!
abctab2ps.txt ?
asp2php.txt ?
bsb2ppm.txt SourceForge Development Status: 4 - beta
changepassword.txt ?
chbg.txt SourceForge Development Status: 5 - Production/Stable
convex3d.txt Development Status: 4 - Beta
csv2xml.txt tested v0.5.1, current v0.5.2, Development Status: 4 - Beta
cups.txt production
cups2.txt production
dxfscope.txt ?
elm-bolthole-filter.txt tested v2.6.1, current - v2.6.2 with fix for reported vuln.
greed.txt ?
html2hdml.txt tested FreeBSD Ports html2hdml v1.0.3; Development Status: 5 - Poduction/Stable, v1.0.5
iglooftp.txt tested FreeBSD Ports v0.6.1, present v1.2.4 for Linux 29$ (shareware)
iglooftp2.txt tested FreeBSD Ports v0.6.1, present v1.2.4 for Linux 29$ (shareware)
jcabc2ps.txt клон abc2ps
jpegtoavi.txt Development Status: 4 - Beta
junkie.txt Development Status: 3 - Alpha
linpopup.txt ?
meshviewer.txt FreeBSD Ports
mpg123.txt FreeBSD Ports, version 0.59r, latest news 16. Jan. 2003 (seems to be unmaintaned)
mplayer.txt current version 1.0pre5try2 (still pre-release)
napshare.txt Development Status: 5 - Production/Stable
nasm.txt ?
o3read.txt ftp://siag.nu/pub/o3read/
pcal.txt Development Status: 6 - Mature
pgn2web.txt Development Status: 3 - Alpha
qwik-smtpd.txt Development Status: 1 - Planning, 4 - Beta, 5 - Production/Stable
ringtonetools.txt http://ringtonetools.mikekohn.net/
rtf2latex2e.txt 5 - Production/Stable
tnftp.txt ?
uml-utilites.txt ?
unrtf.txt ?
vb2c.txt Development Status: 2 - Pre-Alpha
vilistextum.txt Development Status: 6 - Mature
xine-lib.txt Development Status: 4 - Beta
xlreader.txt Development Status: 4 - Beta
yamt.txt FreeBSD ports, unmaintained
yanf.txt Development Status: 4 - Beta
А между прочим, NT4 по-моему вплоть до 4-го сервиспака ложилась в синий экран если ей любой мусор плюнуть в netbios-session порт!
А она, между прочим, не была бета версией. |
|
| Сергей М
19 Dec 2004 4:47 PM |
2 Ron:
> ф-ия main в 2000 с лишним строчек там не наблюдаецца.
это способ защиты от копирования алгоритма - если у тебя хватит мозгов разобратся в этом - значит ты достаточно умен, что бы самому написать то же самое, только быстрее чем разбираешься :) |
|
| A
19 Dec 2004 6:30 PM |
2 Сергей М:
> А между прочим, NT4 по-моему вплоть до 4-го сервиспака ложилась в синий экран если ей
> любой мусор плюнуть в netbios-session порт!
Она ложилась от обычного флуд-пинга вплоть до SP3 (если я правильно помню). Типа, ping -f где_там_win_nt4 - и можно идти перегружать кнопкой. Один раз случайт ак целую подсеть увалили - ошиблись адресом и отправили пинги в соседний корпус через несколько *nix машин. Всем пофиг, а в конце пути десяток машин под NT4 оказались. Через пять минут тамошний админ нам звонил - посмотрел логи на своём линуховом сервере :) |
|
| Сергей М
19 Dec 2004 10:47 PM |
2 A:
Это, по-моему, другая трабла, но тоже имевшая место быть, к сожалению |
|
| Сергей М
19 Dec 2004 10:48 PM |
2 А:
привееднный же мной пример как раз из разряда большинства багов, найденых студентами - некорректные (с точки зрения алгоритма) данные на входе |
|
| Сергей М
20 Dec 2004 1:19 AM |
2 Wintermute:
> так как из названия назначение понять нельзя
а то fdisk - это очень мнемонично.
> способы управления этими программами
Ну да, конечно. у программы должен быть единственный способ управления - мышкой. Причем, если хоть одну функцию можно выполнить с клавиатуры - то это уже устаревшая программа, а если из командной строки - то ваще изгой.
А вы не задумывались над тем, что Visual Studio - это make со встроенным редактором и отладчиком, а компиляция и сборка так и выполняется комманд-лайн версиями компилятора и линкера? |
|
| tstone - saldomail.ru
20 Dec 2004 7:29 AM |
> А вы не задумывались над тем, что Visual Studio - это make со
> встроенным редактором и отладчиком, а компиляция и сборка так
> и выполняется комманд-лайн версиями компилятора и линкера?
А им задумываться БГ не разрешает :-))
|
|
| Wintermute - devnul.ru
20 Dec 2004 10:16 AM |
2 Сергей М: "Ну да, конечно. у программы должен быть единственный способ управления - мышкой. Причем, если хоть одну функцию можно выполнить с клавиатуры - то это уже устаревшая программа, а если из командной строки - то ваще изгой"
Я разве где-то упоминал, какой способ управления должен быть у программы? Или ты такой продвинутый телепат, что мои мысли читаешь? А может, просто дурью маешься?
"А вы не задумывались над тем, что Visual Studio - это make со встроенным редактором и отладчиком, а компиляция и сборка так и выполняется комманд-лайн версиями компилятора и линкера"
Куда уж мне думать-то, я ведь даже не знаю таких замечательных программ cups и сат.
По поводу VS - я в курсе и про линкер, и про компилятор. Мне конечно, подход Power++, где это все было оформленно в качестве DLL, нравится больше. Решила MS сделать IDE в виде make-переростка - их проблемы, мне по барабану было, как оно внутри работает. С тех пор люди придумали куда более простые, удобные и современные системы управления проектами, нежели make. В качестве примера могу привести jam или Ant/NAnt. Так MS в правильном направлении движется, теперь IDE у них надстройка над инструментом по имени msbuild. Пошукай по Инету, что это такое и с чем ее едят. |
|
| Сергей М
20 Dec 2004 11:49 AM |
Wintermute:
Мне в общем-то по барабану было бы куда кто движется, если бы ни одно но. Проблема в том, что этот "убогий" интерфейс управления позволяет делать вещи, которые на винде простому смертному, как правило, не сделать не зная хоть какого ни-будь языка программирования, поддерживающего com. И еще при этом необходимо, что бы все "кусочки", которые хочется "срастить", имели удобоваримый сом-интерфейс. Кроме того, в большинстве случаев, серверы эти - out-of-proc, и непомерно здоровы, а потому, организация пакетной обработки данных, как правило, все равно потребляет дофига ресурсов и времени на обработку: зачем загружать гуи, если всё что надо - это автоматически прочитать файло, пришедшее по почте в xls, сохранить его в csv, csv положить на cvs, потом заправить его в какую ни-будь статистическую программу, выдающую только bmp на выходе, преобразовать этот bmp в tiff и отправить факсом в соседний оффис?
на *иксе это делается легко (Только не надо меня урезонивать, что bash - это язык программирования :) |
|
| Сергей М
20 Dec 2004 11:57 AM |
Wintermute:
маленькое дополнение: все это происходит на сервере, т.е при полном отсутствии вмешательства человека. |
|
| Сергей М
20 Dec 2004 12:00 PM |
Wintermute:
> Или ты такой продвинутый телепат, что мои мысли читаешь
> Да и способы управления этими программами хороши для 60 годов XX века,
Это ваши слова? |
|
| Wintermute - devnul.ru
21 Dec 2004 12:00 PM |
Сергей М: "Это ваши слова"
Слова мои, музыка Ваша: "Ну да, конечно. у программы должен быть единственный способ управления - мышкой" Будьте любезны, процитируйте, где я в этой ветке упоминаю мышку.
Остальное опущу, так как не хочу повторяться про 60-е годы. А Вам в реальной жизни рекомендую выбросить холодильник и хранить дома продукты в холодном подвале - зачем загромождать жилые помещения, если все, что надо, это снизить температуру окружающей среды до +4 градусов по Цельсию? |
|
| dem
21 Dec 2004 3:47 PM |
2Wintermute Кстати да. Погреб штука классная. Уж не хуже холодильника. Только вот дом нужен отдельный.
А вы с 60-х годов дышать по новому стали? Или пешком совсем перестали ходить? А орехи микроскопом колите? |
|
| fi
22 Dec 2004 3:38 PM |
то Wintermute
Ага, ant - мне пришлось как-то проект на нем делать, КОШМАР!!!! После make очень сложно писать - очень ограниченная семантика. Да, конечно, это хорошо что не нужно многих других программ, но это критично только для win. А в остальном куча ляпов. Кое-что поправили после мой репортов, но очень много осталось - по идеологическим причинам. |
|
|
