[devel] Добавление -Werror=format-security

Afanasov Dmitry ender на altlinux.org
Ср Июн 3 16:11:28 MSD 2009


On Wed, Jun 03, 2009 at 03:05:27PM +0300, Led wrote:
> On Wednesday 03 June 2009 14:54:13 Afanasov Dmitry wrote:
> > On Wed, Jun 03, 2009 at 02:49:35PM +0300, Led wrote:
> > > On Wednesday 03 June 2009 14:20:01 Dmitry V. Levin wrote:
> > > > grep 'warning: format not a string literal and no format arguments'
> > >
> > > А как правильно предлагается чинить подобное? Я чинил приведением типа
> > > и/или заменой *printf на puts/fputs - так можно?
> >
> > printf(msg) --> printf("%s", msg)
> 
> ИМХО это костыль
не совсем :)
http://doc.bughunter.net/format-string/exploit-fs.html

суть - при передаче переменной в качестве формата, нет гарантии, что в
этой переменное не будет какого-нибудь %p, который заставит printf залезть
в стек и позволит его переписать: There is the `%n' parameter, which
writes the number of bytes already printed, into a variable of our choice.
-- 
С уважением
Афанасов Дмитрий
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20090603/dedcc91d/attachment.bin>


Подробная информация о списке рассылки Devel