Security gnuplot 5.x缓冲区溢出漏洞
我想在我雇主分别运行Windows7和Windows10的硬件平台戴尔工作站和笔记本电脑上使用gnuplot 5.x。我们的系统管理部门已发现与此软件相关的缓冲区溢出漏洞 在Google上对gnuplot缓冲区溢出的简单搜索会产生一些与此相关的信息,例如: 我不是C++精明的软件程序员,也不是网络安全专家。我在这些帖子中看到的评论如下: 链接1:攻击者可能会利用此漏洞溢出重要数据以劫持控制流。 链接3:这允许攻击者在受害者打开巧尽心思构建的文件时,造成拒绝服务分段错误和内存损坏,或可能产生未指明的其他影响 我在想:真的吗?。这些评估可信吗?如果可信,那么这么一个长期存在且广泛使用的工具怎么会有这么严重的缺陷 您可以想象,我在获得雇主批准安装和使用gnuplot方面遇到了困难。如果您能提供任何基于证据的信息来阐明这一问题,我们将不胜感激 多谢各位。Security gnuplot 5.x缓冲区溢出漏洞,security,buffer,gnuplot,overflow,Security,Buffer,Gnuplot,Overflow,我想在我雇主分别运行Windows7和Windows10的硬件平台戴尔工作站和笔记本电脑上使用gnuplot 5.x。我们的系统管理部门已发现与此软件相关的缓冲区溢出漏洞 在Google上对gnuplot缓冲区溢出的简单搜索会产生一些与此相关的信息,例如: 我不是C++精明的软件程序员,也不是网络安全专家。我在这些帖子中看到的评论如下: 链接1:攻击者可能会利用此漏洞溢出重要数据以劫持控制流。 链接3:这允许攻击者在受害者打开巧尽心思构建的文件时,造成拒绝服务分段错误和内存损坏,或可能产生未
Maziar.所有程序都有bug。您指出了2018年发现的两个特定bug,它们在项目bug跟踪器上报告,并在随后的第一个版本中修复。在这两种情况下,如果你给它某些格式不正确的命令,你可能会使程序崩溃。这些特定的错误不再存在于当前版本的程序中,因为它们已被报告并修复。但在gnuplot和您计算机上运行的每一个程序中都可能存在类似的bug。这就是不完美世界中的生活 换句话说,您或您的雇主的安全策略必须决定,如果您向程序提供垃圾,该程序是否真的会崩溃
更现实的担忧是gnuplot本质上是一种脚本语言。它可以读取和写入用户有权访问的任何文件。如果您运行来自恶意源的gnuplot脚本,它可能会覆盖您的文件或向系统发出有害的命令。这与下载并执行*.com或*.exe文件或python脚本以及恶意源提供的任何其他系列命令的情况相同。这并不是对程序的控诉,只是对用户不严格的安全措施的控诉。所有程序都有漏洞。您指出了2018年发现的两个特定bug,它们在项目bug跟踪器上报告,并在随后的第一个版本中修复。在这两种情况下,如果你给它某些格式不正确的命令,你可能会使程序崩溃。这些特定的错误不再存在于当前版本的程序中,因为它们已被报告并修复。但在gnuplot和您计算机上运行的每一个程序中都可能存在类似的bug。这就是不完美世界中的生活 换句话说,您或您的雇主的安全策略必须决定,如果您向程序提供垃圾,该程序是否真的会崩溃
更现实的担忧是gnuplot本质上是一种脚本语言。它可以读取和写入用户有权访问的任何文件。如果您运行来自恶意源的gnuplot脚本,它可能会覆盖您的文件或向系统发出有害的命令。这与下载并执行*.com或*.exe文件或python脚本以及恶意源提供的任何其他系列命令的情况相同。这并不是对该程序的控诉,只是对用户不严格的安全措施的控诉。谢谢Ethan!是否有任何链接信息,你可以直接告诉我,以确认这些错误不再存在。我将以此为基础,支持我向我的雇主提出的安装请求。Bug 2093、2094,通过本次提交得到修复:但说真的,在例行报告和修复的几十个Bug中,这两个Bug没有什么特别之处。非常感谢!谢谢你,伊桑!是否有任何链接信息,你可以直接告诉我,以确认这些错误不再存在。我将以此为基础,支持我向我的雇主提出的安装请求。Bug 2093、2094,通过本次提交得到修复:但说真的,在例行报告和修复的几十个Bug中,这两个Bug没有什么特别之处。非常感谢!