On 30 Jan 2015, at 00:01, Vadim A. Misbakh-Soloviov <m...@mva.name> wrote:
> В письме от Чт, 29 января 2015 23:50:49 пользователь Igor Sysoev написал: >> В сочетании nginx/glibc тоже нет уязвимости. > > В общем случае — да :) > > Но, на сколько я понял намёк ОП, он имеет в виду, что (не смотря на > отсутствие > PoC) потенциальная уязвимость есть (если подшаманить на основе > exim-эксплойта) > + иметь необновляемую годами систему "старым" glibс (2.2x<2.18), то может > можно и словить. > > Мало ли, какие [умные люди] крутят NgX 0.7.x на МСВС каком-нибудь :) Ну, или > какой-нибудь там Debian old-stable (а то и Maemo какой-нибудь. Любителей > нестандартных развлечений ведь много). > > А так, да, в большинстве систем, где не забывают обновлять пакетную базу и > вовремя "стабилизировать" новые версии (а юзеры не забывают обновляться) > проблем быть, конечно, не должно. nginx перед вызовом gethostbyname() вызывает свой аналог inet_addr() и сам обрабатывает длинный адрес, поэтому даже в комбинации nginx-0.7.0/glibс-2.3 проблемы нет. -- Igor Sysoev http://nginx.com _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru