Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: null pointer dereference vulnerability in 0.1.0-0.8.13

To: nginx-ru@xxxxxxxxx
Subject: Re: null pointer dereference vulnerability in 0.1.0-0.8.13
From: Executier Godlike <xmail@xxxxxxxxxx>
Date: Wed, 28 Oct 2009 01:58:50 +0300
Cc: postmaster@xxxxxxxxxxxxx
In-reply-to: <80701696.20091028001925@xxxxxxxxxxxxx>
Organization: Brute Force Lab
References: <20091026184545.GW7141@xxxxxxxxxxxxx> <80701696.20091028001925@xxxxxxxxxxxxx>

> Здравствуйте, Игорь.
> 
> В   src/http/ngx_http_parse.c  вторую  уязвимость  находят.  Возникает
> желание  попросить  людей,  разбирающихся  в  С,  включить  паранойю и
> взглянуть своим незамыленным взглядом на код из этого файла. Вдруг там
> ещё что-то найдётся...

Преждевременная оптимизация корень всех зол (с). С учётом того как
разросся nginx и сколько модулей зачастую работает при обработке запроса
рискну предположить что если переписать всё попроще то особых потерь
производительности  в реальных условиях не будет.

Я ещё обратил внимание что последние две уязвимости были добавлены
очень давно.

Впрочем, не ошибается только тот кто ничего не делает.

Follow-Ups:
- Re: null pointer dereference vulnerability in 0.1.0-0.8.13
  - From: Gena Makhomed

References:
- null pointer dereference vulnerability in 0.1.0-0.8.13
  - From: Igor Sysoev
- Re: null pointer dereference vulnerability in 0.1.0-0.8.13
  - From: Михаил Монашёв

Prev by Date: Re: Залипания nginx 0.7.62 на Solaris 10
Next by Date: Re: nginx-0.8.21
Previous by thread: Re: null pointer dereference vulnerability in 0.1.0-0.8.13
Next by thread: Re: null pointer dereference vulnerability in 0.1.0-0.8.13
Index(es):
- Date
- Thread