- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 22:44 , 09-Окт-23 (1) +3
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., коньюктивит, 23:31 , 09-Окт-23 (6) +1
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Карлос Сношайтилис, 23:48 , 09-Окт-23 (11) +6 [^]
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 23:49 , 09-Окт-23 (12) +3
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 01:27 , 10-Окт-23 (21) +2
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., коньюктивит, 01:39 , 10-Окт-23 (22) –3
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 01:40 , 10-Окт-23 (23) +1
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., коньюктивит, 01:42 , 10-Окт-23 (24)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 02:56 , 10-Окт-23 (27) +3
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 03:12 , 10-Окт-23 (28) +5
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 05:39 , 10-Окт-23 (32) +2
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 06:53 , 10-Окт-23 (39)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Rootlexx, 16:21 , 10-Окт-23 (65)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 16:43 , 10-Окт-23 (67)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., MaleDog, 18:32 , 10-Окт-23 (70) +1
И в чем противоречие? При чтении строки выделяется буфер, длинна строки включая '\n' не должна превышать размер буфера. LINE_MAX обычно 2048 байт. Дальше программист сам решает что делать с огрызком меньше 2048, но не закончившимся '\n'.
Можно выбросить, можно на ской страх и риск добавить '\n'. А можно выбросить и весь файл, как не соответствующий стандарту или поврежденный. Ведь такой файл вполне может получиться при аварийном обрыве записи, например при записи вырубили питание или прибили процесс, или при передаче сеть отвалилась.
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 16:56 , 11-Окт-23 (89)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., MaleDog, 21:41 , 28-Окт-23 (95)
При том, что когда-то давно, когда безупречная работа компьютеров и сетей не гарантировалась, а ресурсы были не бесконечные, некие ребята решили. А давайте хоть как-то сделаем текстовый файл читаемым в случае аварии при записи. И придумали такие правила: Длинна строк в текстовом файле конечна и файл обязательно заканчивается символом перевода строки. Так в случае если файл битый мы прочитаем все целые строки, а если целый и мы прочитаем его до конца, то мы можем убедиться в его целостности тем что в его конце будет строка нулевой длинны. Большинство конфигов в linux и прочих unix-like текстовые. Те кто писал разбор cue-файлов для просто решили следовать стандартам. Так он мог использовать стандартные библиотеки для чтения текстовых файлов. Не нравится - вы конечно всегда можете пропатчить разбор cue в нужном вам плеере.
Конечно вариант с пустой строкой в конце не идеальный, но альтернативой было бы рассчитывать контрольную сумму от содержимого и как-то помещать ее в текстовый файл, что делало бы уже этот файл не таким уж и текстовым.
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 20:24 , 10-Окт-23 (72)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., MaleDog, 00:45 , 11-Окт-23 (77)
POSIX. И те кто его соблюдает не будут испытывать проблем с парсингом текстовых файлов совместимых с POSIX. Вне зависимости от того какую систему они используют. Linux, unix, bsd и т.п. даже windows и macos кмк. Остальные... ну можно теоретически ездить и по левой стороне дороги, и кто-то из встречных даже будет уворачиваться, но рано или поздно возможно столкновение с камазом.
Кстати, современные приложения пытаются как могут и даже подстраиваются к строкам гораздо длиннее LINE_MAX, но последнюю строку без терминатора в большинстве случаев игнорируют.
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., MaleDog, 01:01 , 11-Окт-23 (78) +1
Может за пределами linux жизнь и есть, но весьма печальная. У каждого в доме есть роутер и он на 99% под linux. Более 70 % сайтов в интернете либо отдаются целиком nginx под linux(под windows он полноценно и работать не сможет), либо проксируются им же. Более 60% почтовых серверов exim, более 30% postfix.Т. е. вся сетевая инфраструктура работает под linux. ПО принтеров тоже в большинстве своем linux. Windows только у админов локалхоста, либо в корпоративных сетях за периметром из linux.
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 17:20 , 11-Окт-23 (90)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Простой Пользователь, 23:03 , 09-Окт-23 (2)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Карлос Сношайтилис, 23:21 , 09-Окт-23 (4) –3
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 23:35 , 09-Окт-23 (7) +2
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Анонин, 23:38 , 09-Окт-23 (8) +3
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Карлос Сношайтилис, 23:53 , 09-Окт-23 (13) +1
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 00:11 , 10-Окт-23 (15) +1
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 00:14 , 10-Окт-23 (17) +4
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., FF, 11:45 , 10-Окт-23 (55)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., MaleDog, 18:58 , 10-Окт-23 (71)
Иногда signed int используется для того чтобы положительным результатом вернуть значение, а отрицательным код ошибки. Иначе придется возвращать значение через указатель. Компиляторы кстати могут предупреждать о преобразованиях:
test.c:9:14: warning: conversion to ‘uint32_t’ {aka ‘unsigned int’} from ‘int32_t’ {aka ‘int’} may change the sign of the result [-Wsign-conversion]Кто бы еще за этим следил бы. Обычно наоборот включают блокировку таких сообщений.
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 20:26 , 10-Окт-23 (73) –1
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., MaleDog, 01:38 , 11-Окт-23 (80)
Не все сишники пишут под x64_86 и не то чтобы было большой проблемой проверить на >0 и привести к нужному типу. Ну и не все представляют, что завтра его либа станет использоваться в миллионе проектов ее использование расширится за пределы заложенные разработчиком.
Ну и есть люди, которые портируют не разбираясь в вопросе. К примеру кто-то написал драйвер датчика i2c под arduino, а следом кто-то пишет модуль ядра linux.
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 13:36 , 11-Окт-23 (87)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., FF, 11:42 , 10-Окт-23 (54)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Anonymous_3680, 15:12 , 12-Окт-23 (91)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 00:12 , 10-Окт-23 (16) –1
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Анонимусс, 01:03 , 10-Окт-23 (19) +3
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 03:24 , 10-Окт-23 (29)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 04:45 , 10-Окт-23 (31)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 06:04 , 10-Окт-23 (34) +2
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 06:05 , 10-Окт-23 (35) +2
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., iPony129412, 10:12 , 10-Окт-23 (48)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 12:26 , 10-Окт-23 (58) +2
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., MaleDog, 01:14 , 11-Окт-23 (79)
"Заткнись с*ка, я сам знаю что мне делать с моими файлами."(c) Вряд ли большинству линуксоидов нужна функция мгновенного поиска везде и во всем. Если нужен поиск чего-то конкретного, то они либо заранее продумают как разместить файлы чтобы их было просто искать. либо напишут или подберут свою систему индексации, что будет в 100 раз эффективнее "универсальной системы". Вот я несколько лет назад писал систему индексирования почтовых архивов, где среди нескольких миллионов писем нужно было найти письма отправленные и полученные неким пользователем. И не то чтобы прям так сложно .eml распарсить.
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., Аноним, 05:59 , 10-Окт-23 (33) –1
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., anonblmus, 09:00 , 10-Окт-23 (46) +1
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., хрю, 12:32 , 10-Окт-23 (59)
- Уязвимость в libcue, приводящая к выполнению кода при загруз..., MaleDog, 18:21 , 10-Окт-23 (69)
Не спасет. Были уже там и косяки с разбором аргументов, и выедание всей памяти, когда память под разбор HTTP-запроса выделяли по "Content-Length". Уйдут только проблемы с памятью, и то не факт, учитывая что на 100% все не перепишут, а так и будут тягать сишные библиотеки через unsafe. А даже если и перепишут, то всегда останутся узкие места, где для ускорения потребуется код на С или ASM. То же самое и к go относится.
|
Версия для распечатки
Уязвимость в libcue, приводящая к выполнению кода при загрузке файлов в GNOME,
opennews, 09-Окт-23, 22:44 [смотреть все]
