forum.opennet.ru

"Уязвимость в Ghostscript, приводящая к выполнению кода злоумышленника"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "Уязвимость в Ghostscript, приводящая к выполнению кода злоум..."	–1 +/–
Сообщение от Аноним (-), 15-Апр-23, 11:27
> Пайп ортогонален json'у. Никто не мешает читать из пайпа json и парсить > его. Ах, увы, bash не умеет, надо внешние утилиты подключать. JSON вообще крайне мало кто может спарсить корректно в его сложном виле > Юниксвей сакс. А мне нормалек. И в гробу я ваш json видал, парщиво что для человека, что для машины. Хотя XML по этому критерию так то еще хуже будет. Да, вы представляете, на уровне машины JSON парсить ничем таким не хорошо. А XML так вообще крындец, если со ВСЕМИ спеками. Типа XSLT какого-нибудь (кто про него вообще помнит, но так можно было и формально если кто его не умеет, спеки не полностью реализованы, лол). И кстати XSLT был явно изобретен Капитаном НеОчевидностью. Потому что нормальному человеку врубиться в то как это работает вообще без поллитры не реально. А так все просто, не нравится не пользуйтесь. Посмотрим кто кого по эффективности.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в Ghostscript, приводящая к выполнению кода злоумышленника, opennews, 13-Апр-23, 10:21 [смотреть все]

А куда бы вы встроили уязвимость, чтобы получить максимальный эфеект , Аноним, 13-Апр-23, 10:21 (1) //
- В IME, Аноним, 13-Апр-23, 10:21 (4)
- В поле для комментариев Чтобы по ключевым словам и выражениям сразу нафик с пляж, Аноним, 13-Апр-23, 10:25 (5)
- Очевидно же В CPU , Tron is Whistling, 13-Апр-23, 11:56 (17) //
  - Meltdown не даст соврать , Tron is Whistling, 13-Апр-23, 11:56 (18) //
    - ME тоже , Аноним, 13-Апр-23, 12:24 (23)
      - Перейдут на арм , Аноним, 13-Апр-23, 19:58 (61)
        
        Получится PSP , Аноним, 13-Апр-23, 21:43 (66)
- EFI, ptr, 14-Апр-23, 10:20 (79)
Это если пользоваться гуйными ФМ В туйных nnn, ranger, xplr такой проблемы не, Аноним, 13-Апр-23, 10:21 (2) //
- Чё ты там забыл, в той консоли В гуйне намного удобнее организовывать данные, о, Аноним, 13-Апр-23, 11:12 (9) //
  - Интеграция приложений в GUI гораздо сложнее, чем у текстовых Поэтому в GUI мень, Аноним, 13-Апр-23, 11:55 (16) //
    - Например , Аноним, 13-Апр-23, 12:07 (20)
      - В терминале софт отдаёт текст, а BusyBox, CoreUtils и т д хорошо умеют в тексте, Аноним, 13-Апр-23, 14:29 (36)
        
        1 Гуй нужен для людей, а не для роботов В топку ваш парсинг портянок портянкам, Аноньимъ, 13-Апр-23, 17:43 (57)
        
        Если код писать не дано или не научили, то - да Роботов писать - это писать код, Аноним, 13-Апр-23, 20:46 (64)
        
        ГУЙ нужен для взаимодействия с ЧЕЛОВЕКОМ, а не для интеграции приложений Для инт, Аноньимъ, 14-Апр-23, 01:32 (68)
        
        У гуя проблема в том что автоматизировать в нем действия крайне сложно и неудобн, Аноним, 14-Апр-23, 08:38 (70)
        
        Ты не прав, есть куча решений для автоматизации гуя, в том числе и для линукса , Аноним, 14-Апр-23, 15:38 (92)
        
        Пример есть Git, статья - посмотреть на код Какую книгу читать Не GUI автомати, Аноним, 14-Апр-23, 16:11 (93)
        
        https www google com search client firefox-b-d q gui automation toolsПорядок д, Аноним, 14-Апр-23, 17:02 (95)
        
        1 Нет у гуя никакой проблемы автоматизации, ниже вам объяснили 2 Еще раз, для , Аноньимъ, 14-Апр-23, 17:53 (97)
        
        Кроме того что там в РАЗЫ больше возни И не делается здесь и сейчас , одностро, Аноним, 15-Апр-23, 11:11 (115)
        
        А таки этот гражданин ничего не понял в мощи юниксвэя зря, так то очень мощны, Аноним, 14-Апр-23, 08:44 (71)
        
        Нет никакой мощи юниксвея это миф Юниксвей - оправдание технологической ущербно, Аноньимъ, 14-Апр-23, 17:50 (96)
        
        Вот те раз, а я этой мощью пользуюсь во всю и для меня это был повод с винды на , Аноним, 15-Апр-23, 11:23 (116)
        
        Пайп ортогонален json у Никто не мешает читать из пайпа json и парсить его Ах,, Аноним, 14-Апр-23, 22:31 (103)
        
        JSON вообще крайне мало кто может спарсить корректно в его сложном вилеА мне нор , Аноним, 15-Апр-23, 11:27 (117)
    - Намного, несравнимо проще Пишешь какие хочешь desktop файлы и они довольно гибк, Аноним, 13-Апр-23, 12:07 (21)
      - Врёшь А потому скушно Уведомления ломаются и скрипты долго не живут Шины меня, Аноним, 13-Апр-23, 14:30 (37)
        
        P S Покажи репо с твоим кодом скриптов для GUI , Аноним, 13-Апр-23, 14:33 (38)
- А если жить в бункере на дне Марианской впадины будет ещё безопаснее , Аноним, 13-Апр-23, 11:12 (10) //
  - Этого гражданина в безопасники не брать, о том какое давленеи на глубине 11 кило, Аноним, 13-Апр-23, 12:25 (24) //
    - Бункеры просто надо нормальные строить и не будет там никакого давления , Аноним, 13-Апр-23, 19:57 (60)
      - Ага Держащие 1100 килограмм на квадратный сантиметр Чувак, это больше ТОННЫ на, Аноним, 14-Апр-23, 09:01 (73)
        
        Я и говорю в хорошем бункере и от апокалипсиса укрываться приятно А Марс это фе, Аноним, 14-Апр-23, 10:31 (80)
        
        Для этого его сперва построить надо И при прочих равных, то что люди могут стро, Аноним, 14-Апр-23, 20:59 (100)
    - А что не так с давлением Как известно, подведение кислорода и отведение углекис, Аноним, 13-Апр-23, 20:06 (62)
      - Сразу вспомнился фантастический фильм Abyss, на таком принципе там оборудование , ryoken, 14-Апр-23, 07:54 (69)
      - Всего 1100 атмосфер примерно Покруче чем жить в трубопроводе высокого давления , Аноним, 14-Апр-23, 09:00 (72)
        
        Ты забыл про космическую радиацию , Аноним, 14-Апр-23, 10:35 (81)
        
        Она может быть не настолько страшным фактором как ее малюют и есть хоть какие-то, Аноним, 14-Апр-23, 21:07 (101)
      - Ой, а вот встроенная в человека система авто-очистки лёгких нифига не рассчитана, AHOHNM, 14-Апр-23, 19:48 (98)
- Ты ещё шнур питания предложи вытащить из системного блока , Аноним, 13-Апр-23, 17:05 (48)
Давайте ко мне того комментатора, который орал что в стандарте не может быть уяз, Аноним, 13-Апр-23, 10:21 (3) //
- У тебя лапки - тут баг в реализации, а не стандарте , Аноним, 13-Апр-23, 10:45 (7) //
  - Вот только не надо эту чушь писать когда все сразу взяли и реализовали как в ста, Аноним, 13-Апр-23, 11:11 (8) //
    - Кто все Там список из одного пункта - Гхостскрипт , Аноним, 13-Апр-23, 11:16 (12)
      - Так никого больше и нет А символы обрабатываются строго по страндарту Потому ч, Аноним, 13-Апр-23, 11:24 (13)
    - Ты приведешь ссылку на соответствующий параграф в стандарте, или как обычно , Аноним, 13-Апр-23, 11:57 (19)
      - То что стандарт не описал порядок обработки байтов это недоработка стандарта, а , Аноним, 14-Апр-23, 10:38 (82)
        
        Напомню, что в новости говориться о выходе за пределы буфера Ты утверждаешь, чт, Аноним, 14-Апр-23, 13:13 (87)
Хрень 233 vince-чего-то-там ещё и жрала память как не в себя Отключил, запрет, pashev.ru, 13-Апр-23, 10:33 (6) //
- в LTS-версиях Ubuntu, нет сырых обнов, там и по сей день апдейты несут толькоgho, Енот Берт, 19-Апр-23, 23:25 (166)
А есть вообще дистрибутивы без этого добра, кроме генту , Аноним, 13-Апр-23, 11:12 (11) //
- А разве есть что то кроме генту Кто эти люди сидящие не на генту , Аноним, 13-Апр-23, 11:46 (15) //
  - Люди с личной жизнью , kawaii_Аноним, 13-Апр-23, 14:11 (32) //
    - Ох уж эти единоличники , Аноним, 13-Апр-23, 15:11 (43)
- В дебиане, установленного через netinstall iso, c установкой пакетов с --no-inst, Аноним, 13-Апр-23, 14:27 (35) //
  - apt-cache policy libgs9, Аноним, 14-Апр-23, 09:07 (75)
Ахаха, лучшие погромисты опять запутались в вычислении размера if pw- limit -, Анонимусс, 13-Апр-23, 11:43 (14) //
- Тебе напомнить кто знаки меньше и больше путает , Аноним, 13-Апр-23, 12:22 (22) //
  - Да, напомните, пожалуйста , Чукча, 16-Апр-23, 16:17 (165)
- Хороший пример как не надо писать код При том не только на си но и вообще , Аноним, 13-Апр-23, 12:27 (25)
- А что не так , Иваня, 13-Апр-23, 12:57 (29) //
  - Выглядит подпоркой А именно в коде была нелогичность, отклонение от цели - ошиб, Аноним, 13-Апр-23, 14:47 (40)
  - в новости говорится о символах и о байтах Конечно, если все символы однобай, Аноним, 13-Апр-23, 19:30 (59) //
    - MBCS пытались стандартизировать ещё в 90ых И даже дефайны какие-то придумали Н, InuYasha, 15-Апр-23, 13:08 (124)
Офигенная закладка Изначальный код был добавлен 2015-07-20 После этого было пар, Анонин, 13-Апр-23, 12:34 (26) //
- Ясно, понятно , Аноним, 13-Апр-23, 12:42 (28)
- А ты не допускаешь, что это просто сишники обделались в миллиардпервый раз , Аноним, 13-Апр-23, 15:13 (44) //
  - sed s сишники people g Обычная тема, зачем нужна автоматизация - снижение бра, Аноним, 13-Апр-23, 15:18 (45)
  - Ты ж понимаешь что и то, и другое нефальсифицируемо Могли сишники обделаться как, Аноним, 13-Апр-23, 15:44 (46)
  - Обделаться не может только тот, кто ничего не делает Учитывая количество софта н, Tron is Whistling, 14-Апр-23, 09:04 (74) //
    - Или тот, который использует недоязык и не делает выводов, из года в год наступая, Аноним, 14-Апр-23, 13:07 (85)
      - Это те, кто уже прошли путь от рубей до хруста , Tron is Whistling, 14-Апр-23, 13:27 (88)
    - Осталось понять, где связь с количеством софта на сях и конкретно этим багом , Аноним, 14-Апр-23, 13:09 (86)
    - Сишники с рождения, как вы выражаетесь, обделанные - даже в стандартной библио, fidoman, 14-Апр-23, 15:10 (90)
      - Не видишь логики в strncpy Сочувствую - на гошечку, Tron is Whistling, 14-Апр-23, 15:29 (91)
        
        А ты видишь логику в том, что strncpy при определенных условиях не добавляет нол, Аноним, 14-Апр-23, 16:49 (94)
        
        Ладно, так и быть Есть у тебя Black cat went up the alley Тебе надо cat на , Tron is Whistling, 15-Апр-23, 09:23 (109)
        
        В таком случае ты бы пользовался memcpy , Аноним, 15-Апр-23, 12:10 (118)
        
        Немножко семантически криво получится, не так ли , Tron is Whistling, 15-Апр-23, 12:36 (121)
        
        Да нет, это как раз прямо выразит твои намерения , Аноним, 15-Апр-23, 12:44 (123)
        
        Теперь второй пример У тебя есть I am a f ng rUST programmer Нам бы надо за, Tron is Whistling, 15-Апр-23, 09:29 (110)
        
        Может справится, а может и нет - в зависимости от того, как ты напишешь вызов П, Аноним, 15-Апр-23, 12:29 (120)
        
        Неправильный ответ Правильный ответ - справится И даже нулями забьёт лишнее, ка, Tron is Whistling, 15-Апр-23, 14:45 (133)
        
        Это правильный ответ Ты можешь ошибиться с вызовом strncpy так же, как и сотни , Аноним, 15-Апр-23, 14:50 (134)
        
        А теперь объясняю логику strncpy реально работает с терминатором и переменной д, Tron is Whistling, 15-Апр-23, 09:30 (111)
        
        То, что ты объяснил - это не логика, а нелепо спроектированное поведение, с кото, Аноним, 15-Апр-23, 12:42 (122)
        
        Для тебя - нелепо, мне - норм И выстрелить себе в ногу там не так просто, если , Tron is Whistling, 15-Апр-23, 14:37 (130)
        
        - во время -, Tron is Whistling, 15-Апр-23, 14:37 (131)
        
        Основные выстрелы в ногу встречаются как раз не там Основные выстрелы в ногу вст, Tron is Whistling, 15-Апр-23, 14:41 (132)
        
        Высокоуровневые лепилы в принципе таких нелепых ошибок не допускают, потому чт, Аноним, 15-Апр-23, 15:05 (136)
        
        Так и запишем, не допускают ошибок , Аноним, 15-Апр-23, 17:33 (138)
        Так и запишем, не допускают ошибок Адекватными, простите, чем - и что вы с ними, Аноним, 15-Апр-23, 17:33 (139)
        
        посочуствуй ещё, чувствительный наш в strncpy логику нашли, давай искать в strnc, fidoman, 14-Апр-23, 20:16 (99)
        
        А с strncat-то что у тебя , Tron is Whistling, 14-Апр-23, 22:22 (102)
        
        Вот уж действительно, показательный пример Человек, который сам не может банальн, fidoman, 15-Апр-23, 06:53 (105)
        
        Хосспаде, родной, тебя смущает разница в поведении вызовов RTFM , Tron is Whistling, 15-Апр-23, 09:13 (106)
        И в том, и в другом поведении есть своя логика Но любителям зачёсывать и круглое, Tron is Whistling, 15-Апр-23, 09:14 (107)
        
        Да, я люблю, когда функции именуются правильно, чтобы название отражало суть, а , fidoman, 15-Апр-23, 19:04 (143)
        
        Люби, кто тебе мешает Просто не лезь туда, где тебе не понятно , Tron is Whistling, 16-Апр-23, 10:55 (148)
        
        strncat используется для объединения двух строк переменной длины с терминатором,, Tron is Whistling, 15-Апр-23, 09:34 (112)
        
        Всё это написано в учебнике Только пишут ли там про то, что ты сам должен просч, fidoman, 15-Апр-23, 19:02 (142)
        
        Расчёта Кроме того, буферы могут быть фиксированной длины - если допускается обр, Tron is Whistling, 16-Апр-23, 10:56 (149)
        
        А у strncpy трактуются как-то по-другому , fidoman, 15-Апр-23, 19:31 (144)
        
        Внезапно да RTFM, не вижу смысла в слепоглухонемом споре , Tron is Whistling, 16-Апр-23, 10:51 (145)
        
        Вот уж действительно, спорить о C с человеком, который чуть что сбегает в PHP , fidoman, 16-Апр-23, 12:28 (152)
        
        Если мне нужен свервысокий уровень - я бегу в PHP Если мне нужно очень быстро и , Tron is Whistling, 16-Апр-23, 14:21 (159)
        
        к счастью, пых изначально делался заматеревшими гошниками, и притащить туда то,, Tron is Whistling, 16-Апр-23, 14:23 (161)
        Тьфу блин, гошниками, сишниками , Tron is Whistling, 16-Апр-23, 14:24 (162)
        
        Пытаться делать ВСЁ на одной моднявке привет гошечка , даже то, для чего она не, Tron is Whistling, 16-Апр-23, 14:22 (160)
        
        Ну так не делай Только это очень странно, не пользоваться и при этом нахваливат, fidoman, 16-Апр-23, 15:04 (163)
        
        Ага, тот самый мануал, который советует использовать strlcpy именно из-за упорот, Аноним, 16-Апр-23, 13:12 (154)
        
        В каком стандарте у нас есть strlcpy Без BSD_SOURCE везде соберётся Што нащёт ви, Tron is Whistling, 16-Апр-23, 14:13 (155)
        
        Всю эту сишную логику можно понять только после того, как ты на асме занимался с, Tron is Whistling, 15-Апр-23, 09:35 (113)
        
        Какой-то стокгольмский синдром по отношнию к недотехнологиям Смешно, как у неко, Аноним, 15-Апр-23, 13:55 (126)
        
        Ты с трудом понимаешь, что такое буфер , отсюда и вот это вот недоразумение , Tron is Whistling, 15-Апр-23, 14:20 (127)
        Чтобы две строки плюсиком сложить в разных этих вот всяких тебе придётся целую, Tron is Whistling, 15-Апр-23, 14:35 (129)
        
        А чтобы сложить в сях не плюсиком , аллокацию типа не надо делать , Аноним, 15-Апр-23, 15:01 (135)
        
        У каждого сишника есть свой набор нормальных функций работы со строками В конечн, fidoman, 15-Апр-23, 18:29 (141)
        Если у тебя буфер целевой строки превышает по размеру обе-двое - зачем , Tron is Whistling, 16-Апр-23, 10:52 (146)
        
        А буфер целевой строки аллоцировать не надо Речь о сложении, а не о добавлении , Аноним, 16-Апр-23, 13:04 (153)
        Если мне из всех строк нужна только сложенная и размер dst позволяет - зачем мне, Tron is Whistling, 16-Апр-23, 14:16 (156)
        На входе мне пришли допустим 6 строк, ага Длины уже известны Мне их надо в одну, Tron is Whistling, 16-Апр-23, 14:18 (157)
        ключевые заголовки SIP разбираем, ага , Tron is Whistling, 16-Апр-23, 14:18 (158)
        
        Дадад, эту логику могут понять только избранные Нельзя просто сказать - не додум, fidoman, 15-Апр-23, 18:23 (140)
        
        Нельзя Потому что никто не ошибался, просто ты отказываешься понимать смысл раб, Tron is Whistling, 16-Апр-23, 10:53 (147)
        Вот с этого и надо было начинать C - не твоё DДелай как я - выбирай дуализм Д, Tron is Whistling, 16-Апр-23, 10:58 (150)
        
        естественно именно в похапэ тебя никто силком не тащит, щито угодно мой выбор , Tron is Whistling, 16-Апр-23, 11:01 (151)
- Ну так надо что-то регулярно портить и героически исправлять Иначе скажут проек, fidoman, 14-Апр-23, 12:31 (84)
Это ж кто же мог подумать что с си бывают экранировнные символы и они занимают ц, Аноним, 13-Апр-23, 12:40 (27) //
- но-но не приуменьшай их способности зато они знают 14 вариантов инициализации , annonn, 13-Апр-23, 13:11 (30) //
  - Это с ники знают С си все более уныло , Аноним, 13-Апр-23, 13:21 (31)
- погодите а UTF8, UTF16 отменили там же изначально по несколько байт на символ, penetrator, 13-Апр-23, 14:16 (33) //
  - Скорее что применили слишком недавно , Аноним, 13-Апр-23, 14:48 (41)
- Ну как бы clang предупреждает о них А кто пользуется gcc - тот сам себе злобный, Аноним, 13-Апр-23, 17:07 (49) //
  - Шланг явно что-то знал , Аноним, 13-Апр-23, 17:15 (52) //
    - Но гнутый ни в чём не виноват , Бывалый смузихлёб, 14-Апр-23, 09:27 (76)
  - Современные gcc и clang выдают примерно одинаковые предупреждения, не надо сказо, Аноним, 15-Апр-23, 11:03 (114)
ghostscript - это традиционный уязвимостейдром Его не починить, только выкинуть, Аноним, 13-Апр-23, 17:02 (47) //
- Всё что ты назвал ещё хуже , Аноним, 13-Апр-23, 17:15 (51) //
  - Ясно , Аноним, 13-Апр-23, 17:19 (53)
- Скажешь тоже Там багов ещё больше, если целенаправленно покопаться, поскольку р, Аноним, 13-Апр-23, 17:20 (54) //
  - Китайцы-не китайцы, но это лучшая реализация PDF из известных, даже гугл у них л, Аноним, 13-Апр-23, 17:28 (55) //
    - P S в mupdf JS вообще неотключаем , Аноним, 13-Апр-23, 17:28 (56)
      - Ну-ну pkg options mupdfmupdf - DOCS onmupdf - JS offmupdf - SCROLL on, Аноним, 13-Апр-23, 22:03 (67)
    - Ага безопасность закрыть глаза и не видеть опасности Удалить антивирус и говори, Аноним, 14-Апр-23, 10:40 (83)
  - Существует Адобовский Идеальнее не бывает, потому что это собственно разработч, Tron is Whistling, 15-Апр-23, 09:21 (108)
Это относится ко всем графическим либам А разрабам десктопов сколько не говори т, Аноним, 13-Апр-23, 18:30 (58)
C in CVE stands for C language , Аноним, 13-Апр-23, 20:21 (63)
Можно ли отключить Ghostscript в Nautilus , Аноним, 14-Апр-23, 09:37 (77)
Уязвимости присвоен максимальный уровень опасности 10 из 10 Red Hat Priority , Аноним, 14-Апр-23, 09:50 (78)
Вероятность ошибки растёт со сложностью системы Сложность PS просто зашкаливает, InuYasha, 15-Апр-23, 13:44 (125) //
- Ничего, сейчас всё на хрусте перепишут Поддерживать будет 0 1 от спецификации,, Tron is Whistling, 15-Апр-23, 14:21 (128)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру