Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Files и librsvg, opennews (??), 13-Авг-23, (0) [смотреть все] Вот переписали бы на Ой, это ведь была libsvg когда-то , Аноним (1), 09:50 , 13-Авг-23, (1) +14 // В расте не может быть уязвимости , Sergey (??), 10:10 , 13-Авг-23, (2) +1 // Раст и есть уязвимость , Аноним (78), 07:36 , 14-Авг-23, (78) –1 Ну так именно поэтому тут проблема с путями, а не с переполнением буфера или ove, Анонимусс (?), 10:29 , 13-Авг-23, (3) +9 // А где по вашему больше виноват человек кодер где пути или где память , Sergey (??), 10:34 , 13-Авг-23, (4) // И там и там виноват Но с памятью ошибки опаснее, пути не дадут выполнить произ, Анонимусс (?), 10:41 , 13-Авг-23, (5) +6 Скрыто модератором, Аноним (-), 16:14 , 13-Авг-23, (49) +3 Ну, это как установить мину, а потом сказать - виноват тот, кто наступил, не над, Аноним (99), 03:01 , 16-Авг-23, (99) Скрыто модератором, Аноним (78), 14:20 , 13-Авг-23, (33) +2 Там логическая ошибка, а не типичный сишный обсёр с указателями , Шарп (ok), 12:37 , 13-Авг-23, (22) +2 // Нет, это типичная логическая ошибка на Расте, каких в будущем будет много И так, Аноним (-), 13:14 , 13-Авг-23, (24) // Они время жизни указателя отследить не могут не то что пути , Аноним (78), 14:22 , 13-Авг-23, (35) Это типичная ошибка на чем угодно, и это отдельный класс уязвимостей с тех пор, , Аноним (97), 03:51 , 15-Авг-23, (97) Ну так и об указателях можно сказать, что это логическая ошибка работы с указате, Anon3 (?), 17:35 , 13-Авг-23, (55) // Это не получится Надо создать новый язык, заточеный на безопасную работу с файл, ИмяХ (?), 18:54 , 13-Авг-23, (61) +1 Ну, не то, чтобы не получится Но, наверно, вы правы Во первых семантика работы с, Anon3 (?), 20:38 , 13-Авг-23, (68) +1 Вот именно, это лишний раз доказывает, что сознательные программисты компании не, Аноним (30), 14:12 , 13-Авг-23, (30) // Компании в твоём сказочном мире , Аноним (78), 14:22 , 13-Авг-23, (36) А, ну да, точно И поэтому гугловцы решили переписать сетевой стек фуксии с го н, Аноним (45), 15:43 , 13-Авг-23, (45) // Пока что только отзывы от фанатов в духе выбрать ржавчину было самой большой ош, Аноним (67), 20:27 , 13-Авг-23, (67) +1 Какой современный социолог Расплывчатый сомнительный опрос и твердый вывод э, Аноним (93), 22:37 , 14-Авг-23, (93) На HN пару раз видел, там любят ржавчину , Аноним (67), 22:46 , 14-Авг-23, (95) Она и была librsvg Библиотека для РАСТЕРИЗАЦИИ svg , Аноним (76), 06:09 , 14-Авг-23, (76) +1 1 phar_dir_read ошибка в файле dirstream c немного ошиблись с вычислением разме, Аноним (-), 10:45 , 13-Авг-23, (6) –1 // Я про то что как бы оказалась что Раст будет способствовать понижению уровня про, Sergey (??), 10:49 , 13-Авг-23, (9) +2 // ты делаешь такой вывод из одной cve шки было бы интересно глянуть, что там было, Аноним (11), 10:54 , 13-Авг-23, (11) // История помнит Delphi Раст, конечно, не столь удобный и продуманный, но все воз, tty0 (?), 00:43 , 14-Авг-23, (73) Ахаха, а у сишных бракоделов, которые даже размер буфера вычислить не могут, сил, Анонин (?), 11:08 , 13-Авг-23, (13) –1 // Откуда инфа что не могут , Ефрщ (?), 12:08 , 13-Авг-23, (19) Посмотри на число уязвимостей и сложи 2 2 про переполнение не забудь , Аноним (26), 13:38 , 13-Авг-23, (26) Посмотри на чём пишут софт и на чём только переписывают привет миры и сложи 1 и , Аноним (67), 14:07 , 13-Авг-23, (28) Посмотрел В андроиде в последнийх версиях _новую_ нативную системщину старают, Аноним (30), 14:20 , 13-Авг-23, (32) –1 Как я понимаю, ты радуешься за успехи корп в эмбеддовке, но это не серьёзно Как, Аноним (67), 14:26 , 13-Авг-23, (39) –1 Похоже, не читал ссылку Свободен, пионер Скоро в школу ага, попробуй найди сто, Аноним (30), 14:41 , 13-Авг-23, (41) –2 Твои аргументы не звучат сколько-нибудь убедительно , Аноним (67), 14:58 , 13-Авг-23, (42) Если бы умели считать, то и уязвимостей не было glibc https www opennet ru op, Анонин (?), 18:22 , 13-Авг-23, (59) 5 Оно и видно что не силён, ведь все 7 из 7 уязвимостей в ноде ни как не связан, Аноним (21), 12:19 , 13-Авг-23, (21) +1 // О, у нас спец по ноде Неужели все 7 тоже сишные дырени , Анонин (?), 14:13 , 13-Авг-23, (31) –1 // И 1108 того я тоже не говорила, виноваты разрабы ноды , Аноним (101), 00:24 , 18-Авг-23, (101) Да ладно, нормально все тут с путями, они вообще с Unix пришли , Sergey (??), 10:45 , 13-Авг-23, (7) –1 // смотрю в Windows проблем вообще нет , Аноним (8), 10:49 , 13-Авг-23, (8) // Скрыто модератором, Аноним (-), 10:50 , 13-Авг-23, (10) –2 Просто про проблемы никто не знает кроме правильных людей , Аноним (78), 16:33 , 13-Авг-23, (51) Проблема не с путями, а с тем, куда ось дает доступ То что кто угодно может чита, Анонин (?), 11:10 , 13-Авг-23, (14) –2 // Selinux может ограничивать доступ не только к файлам и сетке но и к памяти , Sergey (??), 11:55 , 13-Авг-23, (17) // Может, это круто Ну и где ваш Selinux Его нужно установить и настроить, причем, Анонин (?), 14:10 , 13-Авг-23, (29) В первом абзаце жалуется на то, что ему SELinux папа не настроил, и тут же во вт, Аноним (46), 15:47 , 13-Авг-23, (46) Еще раз для таких отбитых как ты SELinux - это просто костыль для ядра, потому , Анонин (?), 18:16 , 13-Авг-23, (58) И как же должно быть нормально, о великий кексперт , uis (??), 19:21 , 13-Авг-23, (64) Что бы сделать что-то подобное мандатному доступу - надо договориться Кому надо, Аноним (93), 22:30 , 14-Авг-23, (92) В смысле установить и намтроить В Федоре все по дефаульту пашет В 2005 году т, Sergey (??), 19:11 , 13-Авг-23, (62) –1 Только 2 из уязвимостей связаны с повреждением памяти , Аноним (12), 11:07 , 13-Авг-23, (12) Специальные элементы директорий и были большой ошибкой и костылём для т, Аноним (12), 11:12 , 13-Авг-23, (15) –2 // Вот это очень правильно Тем более, что в хорошей фс может быть не единственный , Аноним (75), 05:40 , 14-Авг-23, (75) Видите ли - так еще много контента ресурсы референсит Кроме того - а как вы нав, Аноним (-), 18:23 , 14-Авг-23, (83) Уязвимость в librsvg Не может быть Эта библиотека написана на безопасном язык, Аноним (18), 11:59 , 13-Авг-23, (18)   // Дык и уязвимость безопасная Просто фича такая, не дырень же , Аноним (20), 12:14 , 13-Авг-23, (20) +1   // Ещё какая дырень , Аноним (78), 14:25 , 13-Авг-23, (38)   Все верно Там ведь наверное выход за пределы массива Или обращение к невыделен, Аноним (30), 14:30 , 13-Авг-23, (40) +1   // Так растовики и считать не умеют выдумывают проценты и сами в них верят , Аноним (78), 16:32 , 13-Авг-23, (50) +1   Не-а Это наглядная иллюстрация к утверждению, что Раст затрудняет процесс напис, gleb (?), 16:40 , 13-Авг-23, (52)   // https www opennet ru opennews art shtml num 48680 CVE-2018-11235 в гит - возмо, Анонин (?), 18:13 , 13-Авг-23, (57)   а время покажет пока утверждение косвенно подтверждает тот факт, что ВСЕ прое, glebiao (ok), 15:30 , 16-Авг-23, (100)   Нет, Rust тут не поможет ни один баг не про double-free и не про use-after-free, Аноним (23), 12:39 , 13-Авг-23, (23) +1 Интересно, как поможет Rust, если он тихо проглатывает численные переполнения в , Витюшка (?), 13:46 , 13-Авг-23, (27) // Переполнения не выходят за границы отведенной памяти Значение становится невали, Аноним (56), 18:09 , 13-Авг-23, (56) +1 // В смысле не выходят А это тогда что https stackoverflow com questions 24898, Витюшка (?), 23:42 , 13-Авг-23, (71) // Там же по ссылке написаноПроверка не дала выйти за границу , Анонимусс (?), 02:22 , 14-Авг-23, (74) доступ по индексу проверяется в рантайме Программа аварийно завершилась - досту, Аноним (93), 22:08 , 14-Авг-23, (90) В Rust индекс имеет тип usize А значит при overflow вновь попадёт в валидный ин, Витюшка (?), 00:17 , 15-Авг-23, (96) при обработке файлов в формате RealMedia Ну вряд ли много кто сейчас помнит-то , Kuromi (ok), 15:27 , 13-Авг-23, (43) –1 // Тем не менее, этот формат должен поддерживаться, иначе пользователи будут ныть , Аноним (67), 15:37 , 13-Авг-23, (44) // Утрутся и сконвертируют Распространители контента, не пользователи У пользоват, Аноним (69), 20:59 , 13-Авг-23, (69) –1 // Но ведь у пользователей всё работает Это очень популярный формат на самом деле,, Аноним (67), 21:40 , 13-Авг-23, (70) +1 Debian 10 Gnome Распакован через Gnome Files tmp ls -alитого 12drwx, Аноним (56), 16:41 , 13-Авг-23, (53) Это все от использования всяких ИИ-копилотов Деградация налицо, обленились , Минона (ok), 00:38 , 14-Авг-23, (72) больше уязвимостей нет, тащ майор, just yet it (?), 14:04 , 14-Авг-23, (79) С каких пор это уязимость Если хомяк не монитруется с noexec, то ЭТО уязвимость, Аноним (80), 16:16 , 14-Авг-23, (80) // noexec - nosuid nodev noexec, Аноним (80), 16:16 , 14-Авг-23, (81) Попробуй tmp монтировать с noexec, потом поделишься впечатлениями Сам ты уязви, Аноним (67), 18:15 , 14-Авг-23, (82) // А чо такого mount -v tmptmpfs on tmp tmpfs, local, noexec, nosuid stattim, другой Аноним (?), 19:11 , 14-Авг-23, (84) // Маловероятно, что это рабочая станция -- куча юзерского софта обломится Да и см, Аноним (67), 19:16 , 14-Авг-23, (86) Угу, это не рабочая станция, это ноут, с которого я пишу этот коммент И да, ку, другой Аноним (?), 19:23 , 14-Авг-23, (87) Вайнтрикс DE , Аноним (67), 20:07 , 14-Авг-23, (88) Да вроде работал пару лет назад не помню уже для чего использовал - вино у меня, Аноним (89), 22:06 , 14-Авг-23, (89) В Debian 10 многие tmpfs смонтированы с noexec и nosiud по-умолчанию Запускать ч, Аноним (93), 22:23 , 14-Авг-23, (91) // Скрыто модератором, Аноним (-), 06:41 , 15-Авг-23, (98) Проблема в том, что, как сказал релокант, нот всего семь А играть приходи, Аноним (93), 22:41 , 14-Авг-23, (94) 1,6,7,12,15,18,23,27,43,53,72,79,80,94

Сообщения

[Сортировка по времени | RSS]

18. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
Сообщение от Аноним (18), 13-Авг-23, 11:59
Уязвимость в librsvg?! Не может быть! Эта библиотека написана на безопасном языке!
Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+1 +/–
	Сообщение от Аноним (20), 13-Авг-23, 12:14
	Дык и уязвимость безопасная. Просто фича такая, не дырень же.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от Аноним (78), 13-Авг-23, 14:25
	Ещё какая дырень.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+1 +/–
	Сообщение от Аноним (30), 13-Авг-23, 14:30
	Все верно. Там ведь наверное выход за пределы массива? Или обращение к невыделенной памяти? Или, может быть, ее дважды освободили? Хм... Так, что там еще... "Думать за программиста над задачей, предметной областью и не допускать АБСОЛЮТНО ЛЮБЫХ ВООБРАЗИМЫХ ошибок"? А, нет, это сишники выдумали это утверждение и приписывают его растоманам и языку. Пусть тешатся, болезные, ибо как им еще самоутверждаться, оправдываться за 70% ошибок в своих поделках.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	50. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+1 +/–
	Сообщение от Аноним (78), 13-Авг-23, 16:32
	Так растовики и считать не умеют выдумывают проценты и сами в них верят.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от gleb (?), 13-Авг-23, 16:40
	Не-а. Это наглядная иллюстрация к утверждению, что Раст затрудняет процесс написания (требует повышенного внимания программиста) и следовательно, косвенно способствует появлению логических ошибок. Сдаётся мне, таких новостей будет появляться всё больше.
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

	57. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от Анонин (?), 13-Авг-23, 18:13
	https://www.opennet.me/opennews/art.shtml?num=48680 CVE-2018-11235 в гит - возможность выхода за границы базового каталога репозитория через использование символов "../" в относительном пути к субмодулю, определённому в файле ".gitmodules" О нет! У сишников в штанишках такая же уязвимость была! Возможно программирование на си требует повышенного внимания программиста и следовательно, косвенно способствует появлению логических ошибок. А вот аналогичная в питоне https://www.opennet.me/opennews/art.shtml?num=59040 https://www.opennet.me/opennews/art.shtml?num=59190 - в гитлабе https://www.opennet.me/opennews/art.shtml?num=57093 - опять питон, только еще рут получает https://www.opennet.me/opennews/art.shtml?num=49440 - сишечка https://www.opennet.me/opennews/art.shtml?num=55934 - go (moby, docker/cli и containerd) https://www.opennet.me/opennews/art.shtml?num=57978 - и любимое - выход за пределы массива на сишечке, а потом за пределы каталога)) И так далее... Поэтому ваше утверждение... мягко говоря имеет слабое обоснование
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от glebiao (ok), 16-Авг-23, 15:30
	а время покажет. пока утверждение косвенно подтверждает :) тот факт, что ВСЕ проекты на Расте пишутся чрезвычайно долго и результат, по-первости, падает на любой чих (яркий пример: inkscape позапрошлого года)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема