Parsing 在哪里可以获得GNU Bison 3.5.4+;的Windows可执行文件;?
在3.5.4之前的版本中发现了野牛中的病毒 GNU Bison 3.5.4之前的版本允许攻击者造成拒绝服务 (应用程序崩溃) 是否有适用于Windows的3.5.4+可执行文件Parsing 在哪里可以获得GNU Bison 3.5.4+;的Windows可执行文件;?,parsing,gnu,bison,flex-lexer,yacc,Parsing,Gnu,Bison,Flex Lexer,Yacc,在3.5.4之前的版本中发现了野牛中的病毒 GNU Bison 3.5.4之前的版本允许攻击者造成拒绝服务 (应用程序崩溃) 是否有适用于Windows的3.5.4+可执行文件 或者,如何使windows可执行?到今天为止,关于Bison有两个CVE,它们都只是关于Bison本身(生成器),而不是生成的解析器。所以(典型的)用户不应该担心这些CVE 我已写信给米特,以避免混淆。现案文如下: GNU Bison 3.5.4之前的版本允许攻击者造成拒绝服务 (应用程序崩溃)。注意:只有当野牛与不受
或者,如何使windows可执行?到今天为止,关于Bison有两个CVE,它们都只是关于Bison本身(生成器),而不是生成的解析器。所以(典型的)用户不应该担心这些CVE 我已写信给米特,以避免混淆。现案文如下: GNU Bison 3.5.4之前的版本允许攻击者造成拒绝服务 (应用程序崩溃)。注意:只有当野牛与不受信任的动物一起使用时才有风险 输入时,观察到的错误会导致特定错误的不安全行为 编译器/体系结构。错误报告旨在显示可能发生的崩溃 在Bison本身中发生,而不是在由生成的代码中发生崩溃 野牛 3.7.1之前的GNU Bison在lib/obstack.c中free之后有使用权 (从gram_lex调用)当遇到“\0”字节时。注:存在风险 只有当Bison与不可信的输入一起使用时,观察到的错误才发生在 导致特定编译器/体系结构的不安全行为。错误报告被删除了 旨在证明撞车可能发生在野牛身上,而不是撞车可能发生在野牛身上 在Bison生成的代码中发生
感谢@rici在这方面的帮助。我真的没有收到漏洞通知。Bison有一个错误导致它在某些错误输入上崩溃。GCC也有这样的bug。顺便说一句,没有人说过GCC中的那些bug是DoS漏洞,因为你不允许攻击者在你的机器上运行构建工具。(如果他们能够做到这一点,他们可能已经利用了一个漏洞。)如果构建工具崩溃,那就是一个bug。没什么了,也没什么好激动的。据我所知,该漏洞被引入到使用Bison编译的二进制文件中。这有可能吗?没有。这只是当你经营野牛时的一个问题。(如果它确实影响了Bison生成的程序,升级Bison不会有多大帮助。你的硬盘上满是Bison生成的程序;更改Bison不会改变任何东西。你甚至不需要安装Bison来运行这些程序。)Anubhav:你用boson构建的解析器是安全的。(除非您自己的代码中有bug。)构建解析器也是安全的,因为您没有试图利用自己的漏洞。最糟糕的情况是bison可能会崩溃,而不是构建解析器,但这是极不可能的,即使发生了这种情况,所发生的一切都是一个0程序在您的一台开发机器上崩溃。无论如何,如果您的程序员不知道如何从源代码构建bison,您可以在linux/unix机器上运行bison 9n。将生成完全相同的C(或C++)代码。解析器生成过程中没有平台依赖性。