|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Dmitry Radishev 2:5015/42 28 Sep 2003 00:27:34
To : •®ЄҐа
Subject : закрытие не используемых портов..
--------------------------------------------------------------------------------
Saturday September 27 2003 22:21, Хокер wrote to Dmitry Radishev:
DR>> Because it is used only for padding at the end of the data,
DR>> the occurrence of any "=" characters may be taken as evidence
DR>> that the end of the data has been reached (without truncation
DR>> Сухой остаток: символ "=" может появляться только в конце
DR>> данных, и может служить признаком конца. А значит, по появлению
DR>> "=" обработка должна прерываться.
Х> Процитированная англоязычная часть так криво написана, что многие ее
Х> трактуют "выравнивание является признаком конца". Хотя некоторые
Х> смотрят внимательнее и замечают, что тут говорится о возможности
Х> проверить (в некоторых случаях), покоцались ли данные в процессе
Х> передачи, а вовсе не о поведении декодера при встрече "=".
Х> Дерьмовенький RFC... :)
Как и многие другие :-)
Hо что "=" может появиться _только_ в конце данных написано совершенно
однозначно. Как и то, что "=" не соответствует никакой битовой комбинации
входного потока. А это _однозначно значит_, что "=" таки является признаком
конца (и именно поэтому можно проверить не покоцались ли данные...)
DR>> Что _именно_ делать, если после "=" идет ещё что-то -
DR>> действительно не написано. Hо - оно точно нужно?
Х> Hужно. Hа bugtraq@securityfocus.com на эту тему сейчас идет один из
Х> самых больших флеймов, которые я там видел. Если один алгоритм делает
Х> одно, а второй - второе - сие может плохо кончится. Скажем, антивирус
Х> считает, что после '=' никаких данных нет и быть не может, а Outlook
Х> Express, mutt, emacs считают, что данные после '=' очень даже можно
Х> декодировать. Результат - можно создать червя, которого антивирусы не
Х> будут видеть. Вообще не будут - будут думать, что аттач пустой. Или
Х> что там левые данные неисполнимого формата.
Формально - это ляп в msoe и прочих. Согласно rfc "=" _является_ признаком
конца данных, и если msoe интерпретирует что-то "за" логическим концом данных -
это такой же баг, как и переполнение буфера.
Фактически же - антивирус должен защищать от вирусов, а не оправдываться что
"гранаты не той системы". Многие вирусы _используют дыры_ в почтовых клиентах -
и если антивирусы героически защищают, например, от аттачей с поддельным
mimetype (известная дыра) - то я не вижу причин (даже политических) тем же
антивирусам не защищать от поддельного конца base64, что _тоже_ есть дыра,
ничем не лучше и не хуже дыры с mimetype.
Спорим - когда появится вирус, использующий эту дыру, AVP и DrWEB дружно
начнут его ловить, наплевав на какие-то флэймы на секьюритифокус?
All the best //DiBR [TEAM ВСЕ МАСТДАЙ] [шестая базовая]
[http://dibr.nnov.ru]
--- [LPT] LaMerZ PrOfeSsIoNaL TeaM /member/
* Origin: Lamers Must Survive (2:5015/42)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
