Re: Faille critique découverte dans GLIBC

To: debian-user-french@lists.debian.org
Subject: Re: Faille critique découverte dans GLIBC
From: Vincent Lefevre <vincent@vinc17.net>
Date: Thu, 29 Jan 2015 11:54:33 +0100
Message-id: <[🔎] 20150129105433.GC8083@xvii.vinc17.org>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 54C93FB6.1040401@wanadoo.fr>
References: <[🔎] 54C88BD1.9040406@jupin.net> <[🔎] 54C93FB6.1040401@wanadoo.fr>

On 2015-01-28 20:59:50 +0100, Philippe Deleval wrote:
> C'est une blague? A mon avis, tout programmeur utilisant la fonction de
> bibliothèque C char *strcpy (s, ct) devrait être renvoyé de la boîte où il
> travaille pour faute grave! Il y a à côté strncpy(char *strncpy (s, ct, n),
> le petit n fait la différence.

Enfin, strncpy n'est pas vraiment safe non plus. Un problème est
que si le n est trop petit, le buffer n'est plus forcément terminé
par un \0, ce qui peut être en soi un trou de sécurité: si on
copie la chaîne contenue dans le buffer, cela peut donc copier
des données au-delà du buffer, et on se retrouve donc avec des
bugs du type heartbleed. La vraie solution est d'avoir une fonction
qui fait un abort() quand le n est trop petit... et si le serveur
est critique, on n'écrit pas en C.

-- 
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Reply to:

References:
- Faille critique découverte dans GLIBC
  - From: JUPIN Alain <ajupin@jupin.net>
- Re: Faille critique découverte dans GLIBC
  - From: Philippe Deleval <philippe.deleval@wanadoo.fr>

Prev by Date: Re: Faille critique découverte dans GLIBC
Next by Date: Re: Localhost
Previous by thread: Re: Faille critique découverte dans GLIBC
Next by thread: Re: Faille critique découverte dans GLIBC
Index(es):
- Date
- Thread