forum.opennet.ru

"Уязвимость в libcue, приводящая к выполнению кода при загрузке файлов в GNOME"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в libcue, приводящая к выполнению кода при загруз..."	+/–
Сообщение от Аноним (89), 11-Окт-23, 16:56
> И в чем противоречие? При чтении строки выделяется буфер, длинна строки включая > '\n' не должна превышать размер буфера. LINE_MAX обычно 2048 байт. С этим >>> Держи формальное определение: >>> TEXT := LINE* >>> LINE := [^\n]* "\n" > Дальше > программист сам решает что делать с огрызком меньше 2048, но не > закончившимся '\n'. > Можно выбросить, можно на ской страх и риск добавить '\n'. А можно > выбросить и весь файл, как не соответствующий стандарту или поврежденный. Ведь > такой файл вполне может получиться при аварийном обрыве записи, например при > записи вырубили питание или прибили процесс, или при передаче сеть отвалилась. Какому такому стандарту и при чём тут вообще POSIX? File format Cuesheet files are standard text (ASCII) files. You can use any text editor, such as Notepad or Wordpad, to edit your cuesheet. Do not save your cuesheet in any non-text format. The recommended file extensions for your cuesheet are.cue or.txt.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в libcue, приводящая к выполнению кода при загрузке файлов в GNOME, opennews, 09-Окт-23, 22:44 [смотреть все]

Ох, эта libcue такая кривая дрянь, вы таки не поверите По-моему даже если файл , Аноним, 09-Окт-23, 22:44 (1) //
- О, да Я помню как долго с этим бился Бывало, отредактируешь cue sheet в винде , коньюктивит, 09-Окт-23, 23:31 (6) //
  - Ты будешь смеяться, но это пофиксили Буквально пару недель назадhttps github , Карлос Сношайтилис, 09-Окт-23, 23:48 (11) //
    - Мне не смешно Code taken from https stackoverflow com questions 1756275 bison, Аноним, 10-Окт-23, 16:54 (68)
  - Причем тут Linux , Аноним, 09-Окт-23, 23:49 (12) //
    - Потому что в Linux написал скрипт баше, и уже программист , Аноним, 10-Окт-23, 06:51 (38)
      - Прикол в том, что вантузники никогда не смогут осилить GNU bash , Аноним, 10-Окт-23, 13:41 (60)
        
        И правильно делают Я бы на их месте тоже не стал менять язык программирования н, Аноним, 10-Окт-23, 16:20 (64)
  - Текстовый файл -- это последовательность строк Строка -- это последовательность, Аноним, 10-Окт-23, 01:27 (21) //
    - Фубару и Аимпу в винде и андроиде пофиг Мне тоже , коньюктивит, 10-Окт-23, 01:39 (22)
      - Я специально удаляю конец последней строки в файле, потому что мне пофик , Аноним, 10-Окт-23, 01:43 (25)
    - Можно ещё сказать, что когда убираешь символ конца строки после последней строки, Аноним, 10-Окт-23, 01:40 (23)
      - Но для этого вы должны использовать специальную библиотеку Libcue называется , коньюктивит, 10-Окт-23, 01:48 (26)
      - Бесконечных вещей всего две Вселенная и человеческая глупость , Аноним, 10-Окт-23, 06:58 (41)
        
        Есть теория, согласно которой Вселенная конечна, но постоянно расширяется, так ч, ryoken, 10-Окт-23, 08:06 (43)
        
        С глупостью то же самое , Герострат, 10-Окт-23, 10:58 (51)
        
        Ну почему жеКонца глупости таки можно достичь - в конце тоннеля или в отдельном , Бывалый смузихлёб, 10-Окт-23, 16:40 (66)
    - И да, держи формальное определение , коньюктивит, 10-Окт-23, 01:42 (24)
    - Странно, я всегда думал что файл - это просто набор байт, который можно интерпре, Аноним, 10-Окт-23, 02:56 (27)
      - А ещё в конце файла обязательно должен быть байт 0x1A в Windows кстати copy , Аноним, 10-Окт-23, 08:55 (44)
    - n 8212 это не часть строки Это разделитель строк Зачем он нужен в конце фа, Аноним, 10-Окт-23, 03:12 (28)
      - Потому что при склейке файлов утилитой cat уютный мирок кекспертов по строкам на, Аноним, 10-Окт-23, 06:55 (40)
    - Бред какой-то , Аноним, 10-Окт-23, 05:39 (32)
    - А теперь предоставь ссылку на компетентный источник , Аноним, 10-Окт-23, 06:53 (39)
      - https pubs opengroup org onlinepubs 9699919799 basedefs V1_chap03 html , Rootlexx, 10-Окт-23, 16:21 (65)
        
        Although POSIX 1-2017 does not distinguish between text files and binary files , Аноним, 10-Окт-23, 16:43 (67)
        
        И в чем противоречие При чтении строки выделяется буфер, длинна строки включая , MaleDog, 10-Окт-23, 18:32 (70)
        
        С этимКакому такому стандарту и при чём тут вообще POSIX File format Cuesheet fi , Аноним, 11-Окт-23, 16:56 (89)
        
        При том, что когда-то давно, когда безупречная работа компьютеров и сетей не гар, MaleDog, 28-Окт-23, 21:41 (95)
        
        Ну то есть для юниксов, то есть для линуксов Алё За их пределами жизнь есть Пр, Аноним, 10-Окт-23, 20:24 (72)
        
        POSIX И те кто его соблюдает не будут испытывать проблем с парсингом текстовых , MaleDog, 11-Окт-23, 00:45 (77)
        
        Может за пределами linux жизнь и есть, но весьма печальная У каждого в доме ест, MaleDog, 11-Окт-23, 01:01 (78)
        
        В 90 офисов уборщица есть, но не она правила устанавливает , Аноним, 11-Окт-23, 03:33 (84)
        
        За их пределами и возник этот Cuesheet The cue sheet format was invented by Jeff, Аноним, 11-Окт-23, 17:20 (90)
Что ни день, то новая уязвимость Терпим , Простой Пользователь, 09-Окт-23, 23:03 (2)
Господи, это же просто тестовый файл Как можно написать кривой код, его читающи, Карлос Сношайтилис, 09-Окт-23, 23:21 (4) //
- Там сгенерированный си-парсер Т е дело не в си, а в том, как этот парсер описа, Аноним, 09-Окт-23, 23:29 (5) //
  - Там грамматика для бизона, насколько я понимаю, Карлос Сношайтилис, 09-Окт-23, 23:42 (9)
  - Дело и в криворуких кодерах, которые в парсере использовали signed int, а в trac, Анонин, 09-Окт-23, 23:42 (10)
- тут как раз свой велосипед был бы к месту, я даже сейчас её не использую в Go , FF, 10-Окт-23, 11:40 (53)
C 76 5 Не удивительно Типичное integer overflow С ядерным Ганди, это было весел, Аноним, 09-Окт-23, 23:35 (7) //
- Ядерный Ганди это придуманная байка вроде, Аноним, 10-Окт-23, 08:56 (45) //
  - Да, возможно веселая придуманная байка А это реальная невеселая уязвимость Приче, Аноним, 10-Окт-23, 10:34 (49) //
    - Написать свою реализацию Increase Decrease Да не, мы пару тактов процессора сэк, Аноним, 11-Окт-23, 03:30 (83)
Нафига они вообще использовали int для INDEX Разве cue sheet допускает там отриц, Анонин, 09-Окт-23, 23:38 (8) //
- Ошиблись Идеальных разработчиков не бывает Кто-то чаще лажает, кто-то реже Про, Карлос Сношайтилис, 09-Окт-23, 23:53 (13) //
  - Так водителей всех идеальных тоже не бывает Зато как получат штраф в 5-10 от ср, Аноним, 10-Окт-23, 00:11 (15) //
    - Чтобы устанавливать штрафы, нужно начать платить зарплату тем, чей код бесплатно, Аноним, 10-Окт-23, 06:13 (36)
      - Так многим и платят, посмотри сколько разрабов ядра и других крупных проектов на, Аноним, 10-Окт-23, 11:15 (52)
  - Тем не менее, использование signed int налево и направо 8212 ужасно плохая пр, Аноним, 10-Окт-23, 00:14 (17) //
    - я наоборот использую signed даже где будет только unsigned, чтобы потом наоборот, FF, 10-Окт-23, 11:45 (55)
      - Но ты же добавляешь проверки, что значение не отрицательное перед использованием, Анонин, 10-Окт-23, 12:05 (56)
        
        Разумеется Особенно после того как стал работать на Go - там эти бесячьи провер, FF, 10-Окт-23, 21:41 (76)
      - Воот, лень про это было писать в 16-битную эпоху ещё экономили, в 32-битную рас, Аноним, 10-Окт-23, 13:49 (62)
    - Иногда signed int используется для того чтобы положительным результатом вернуть , MaleDog, 10-Окт-23, 18:58 (71)
      - Вот за это сишников надо не то что убивать, а пытать бесконечно Значение должно , Аноним, 10-Окт-23, 20:26 (73)
        
        Не все сишники пишут под x64_86 и не то чтобы было большой проблемой проверить н, MaleDog, 11-Окт-23, 01:38 (80)
        
        Это совершенно не важно, подо что они пишут Передача кода ошибки и самого факт, Аноним, 11-Окт-23, 03:26 (81)
        
        Ага, а потом вот такие программисты пишут жирный код и десять байтов накапли, Аноним, 11-Окт-23, 13:36 (87)
  - проблема в электричестве, которое питает железо, позволяющее выполнять машинные , FF, 10-Окт-23, 11:42 (54)
- Ты не поверишь, но да, бывают - в особенности встречаетсая на дисках с непрерывн, Anonymous_3680, 12-Окт-23, 15:12 (91)
Вы обратили внимание сколько сервисов надо остановить чтобы это отключить Syste, Аноним, 10-Окт-23, 00:12 (16) //
- Так это же unix way для каждой мелочи делать свою программуWrite programs that d, Аноним, 10-Окт-23, 00:26 (18) //
  - Вот именно, что well Ну а сейчас есть одно системпшшш, которое портянками юнитов, Аноним, 10-Окт-23, 01:17 (20)
  - Этот unix way для каждой мелочи делать свою программу как то не довел до добра с, Neon, 15-Окт-23, 03:59 (94)
ну хоть что-то стабильно и работает , Анонимусс, 10-Окт-23, 01:03 (19)
Почему они tracker-miner в bwrap не завернули, как thumbnailer , Аноним, 10-Окт-23, 03:24 (29)
Я думал, это в винде такая порочная мода, пихать паразитные фоновые задачи живущ, Аноним, 10-Окт-23, 04:45 (31) //
- Предварительный индекс ускоряет поиск файлов Так делают и в Gnome tracker , и , Аноним, 10-Окт-23, 06:04 (34) //
  - И, традиционно, это первые кандидаты на отключение , Аноним, 10-Окт-23, 10:41 (50) //
    - Чел, спасибо что ты есть Столько телеметрии поставлено, и для чего Им будто пл, Аноним, 10-Окт-23, 12:18 (57)
      - да, отключение baloo и аналогов в винде не только освободили мне до трети ЦПУ по, InuYasha, 13-Окт-23, 17:46 (92)
- Помню как этот гном трекер наглухо подвешивал систему при закачке фильмов на hdd, Аноним, 10-Окт-23, 06:05 (35)
- Чтобы ты ввёл только слово, и сразу нашлось А не как в Windows XP 8212 смотри, iPony129412, 10-Окт-23, 10:12 (48) //
  - Всегда отключаю эти 171 супер-пупер-интеллектуальные 187 фоновые индексации , Аноним, 10-Окт-23, 12:26 (58) //
    - Нормальный индексатор просканирует диск один раз и успокоится Но это если норма, Аноним, 10-Окт-23, 13:54 (63)
      - А где вы нормальные-то видели В винде то же самое , anonblmus, 10-Окт-23, 20:42 (74)
        
        А что не так в винде Там он действительно один раз просканировал и норм , Аноним, 10-Окт-23, 20:44 (75)
        
        Ага, скачал новую собачку - и заверте- Простите, счас у всех ССД, они не вертятс, InuYasha, 13-Окт-23, 17:47 (93)
  - Заткнись с ка, я сам знаю что мне делать с моими файлами c Вряд ли большинст, MaleDog, 11-Окт-23, 01:14 (79) //
    - Мне просто абзац как нужна Правда, не по содержимому, а по именам, но в линуксе, Аноним, 11-Окт-23, 03:28 (82)
      - fzf вполне быстро ищет , _, 11-Окт-23, 14:31 (88)
Удивительно На днях на компе к которому подключаюсь ssh раньше был десктопом , Аноним, 10-Окт-23, 05:59 (33)
Я этот tracker-miner забыл с какой версии убунты в обязательном пришибаю при уст, anonblmus, 10-Окт-23, 09:00 (46)
Смысла во всех этих индексёрах, построителей превьюшек и кучи всего остального , хрю, 10-Окт-23, 12:32 (59) //
- Не спасет Были уже там и косяки с разбором аргументов, и выедание всей памяти, , MaleDog, 10-Окт-23, 18:21 (69) //
  - Процессоры по пять гигагерц, но у погромистов по-прежнему узкие места для обрабо, Аноним, 11-Окт-23, 07:29 (86)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру