<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 16, 2017 at 1:29 PM, Daniel P. Berrange <span dir="ltr"><<a href="mailto:berrange@redhat.com" target="_blank">berrange@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On Tue, Mar 07, 2017 at 12:27:58AM -0500, D L wrote:<br>
> On Sun, Mar 5, 2017 at 2:47 AM, Michal Privoznik <<a href="mailto:mprivozn@redhat.com">mprivozn@redhat.com</a>> wrote:<br>
</span><span class="gmail-">> Regarding fuzzing, I think we can try several fuzzing tools to run in<br>
> parallel, as different<br>
>  fuzzers tend to find different kinds of bugs. Thus, AFL (American Fuzz<br>
> Lop) [1],<br>
> which is a coverage-guided mutation-based fuzzer with genetic algorithm,<br>
> can<br>
> take hand-crafted xml seed to fuzz our libvert target. Alternatively, we<br>
> could<br>
> develop generation-based grammar module in AFL (which is definitely<br>
> non-trivial);<br>
> so far I have not seen active development in AFL community on xml format<br>
> grammar generation. Another option could be clang-libfuzzer [2].<br>
><br>
> Several related articles show examples of fuzzing are using AFL to generate<br>
> SQL [3], llvm-afl [4], and hexml fuzzing with AFL [5]. In combination with<br>
> lcov, we<br>
>  could compare different fuzzers and guide our fuzzing tuning.<br>
<br>
</span>FYI, I would very much like to see it use a fuzzer that is open source, because<br>
I'd like the end result of the project to ideally produce some test suite or<br>
test framework that we can put in to our CI system and run daily to validate<br>
future changes.<br>
<br>
<br></blockquote><div>Hi Daniel, </div><div><br></div><div>Yes, I am definitely focusing on open source fuzzers. </div><div><br></div><div>I have been having a question for quite a while. I thought mostly behind the scenes </div><div>of each established open sources projects should have a security team working</div><div>on security testing on a regular basis. Accordingly they also have the tool chains</div><div>and standardized procedures to find, report and fix security vulnerabilities. They may</div><div>or may not work with or collaborate with the Developer teams. </div><div><br></div><div>It is also possible that some of those exploitable bugs were purely discovered just by</div><div>interested individuals as their side project/work. And some of them got CVE assigned</div><div>eventually. I was hoping to find some record</div><div> of how such bugs were discovered; i.e., there'd be some tutorial-like documentations</div><div>describing how to work on a large scale industrial fuzzing project. I primarily got </div><div>most of the impressions from the following links about libxml2 AFL fuzzing bug report:</div><div><br></div><div><a href="https://bugzilla.gnome.org/show_bug.cgi?id=744980">https://bugzilla.gnome.org/show_bug.cgi?id=744980</a><br></div><div><a href="https://bugzilla.gnome.org/show_bug.cgi?id=756263">https://bugzilla.gnome.org/show_bug.cgi?id=756263</a><br></div><div><a href="https://bugzilla.gnome.org/show_bug.cgi?id=759020">https://bugzilla.gnome.org/show_bug.cgi?id=759020</a><br></div><div><a href="https://bugzilla.gnome.org/show_bug.cgi?id=759671">https://bugzilla.gnome.org/show_bug.cgi?id=759671</a><br></div><div><a href="https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7115">https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7115</a><br></div><div><a href="https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7116">https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7116</a><br></div><div><br></div><div>Not only at libvirt community, is libxml2's situations also similar to other major open</div><div>source projects?</div><div><br></div><div>Dan</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Regards,<br>
Daniel<br>
<span class="gmail-HOEnZb"><font color="#888888">--<br>
|: <a href="http://berrange.com" rel="noreferrer" target="_blank">http://berrange.com</a>      -o-    <a href="http://www.flickr.com/photos/dberrange/" rel="noreferrer" target="_blank">http://www.flickr.com/photos/<wbr>dberrange/</a> :|<br>
|: <a href="http://libvirt.org" rel="noreferrer" target="_blank">http://libvirt.org</a>              -o-             <a href="http://virt-manager.org" rel="noreferrer" target="_blank">http://virt-manager.org</a> :|<br>
|: <a href="http://entangle-photo.org" rel="noreferrer" target="_blank">http://entangle-photo.org</a>       -o-    <a href="http://search.cpan.org/~danberr/" rel="noreferrer" target="_blank">http://search.cpan.org/~<wbr>danberr/</a> :|<br>
</font></span></blockquote></div><br></div></div>