forum.opennet.ru

"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
Сообщение от opennews (ok), 06-Янв-24, 10:23
В библиотеке Qt выявлена уязвимость (CVE-2023-51714) в реализации протокола HTTP/2, позволяющая добиться записи своих данных за пределы выделенного буфера. Уязвимость вызвана целочисленным переполнением в коде разбора упакованных заголовков (HPack) и проявляется при получении более 4 ГБ суммарных данных HTTP-заголовков или 2 ГБ для одного заголовка. Проблема устранена в обновлениях Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60395
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 , opennews, 06-Янв-24, 10:23 [смотреть все]

Не понимаю почему бы всем не приложить усилия к одной реализации которая потом м, Аноним, 06-Янв-24, 10:46 (6) //
- Потому что у дырявой сишки до сих пор нет нормального пакетного менеджера , ПомидорИзДолины, 06-Янв-24, 10:53 (8) //
  - можно npm взять, 12yoexpert, 06-Янв-24, 10:56 (9)
  - похоже это уже становится достоинством, Аноним, 06-Янв-24, 10:57 (10)
  - ну так оно будет включено во все пакетные менеджеры для всех языков которые подд, Аноним, 06-Янв-24, 11:02 (11)
  - Это пожалуй к лучшему - никто не включит 2FA под угрозой расстрела, и не скачает, Аноним, 06-Янв-24, 11:14 (14) //
    - Ну дак надо проектировать нормально С множеством мастеров и приватными зеркалам, ПомидорИзДолины, 15-Янв-24, 14:17 (127)
- const unsigned sum unsigned name size value size size_t sum if q, Аноним, 06-Янв-24, 12:20 (19) //
- Безопасность в коде определяется не отсутствием дыр, а возможностью программист, Агл, 06-Янв-24, 13:13 (22) //
  - Если попало в новости, значит, вовремя не прикрыли , Аноним, 06-Янв-24, 13:34 (23) //
    - Как раз вовремя, потому что не пришлось втихую патчить , Аноним, 06-Янв-24, 14:34 (26)
  - Обезвреживать, глеб егорыч, Аноним, 07-Янв-24, 04:53 (50)
- По версии местных ыкспертов, программисты, которые допускают такие ошибки, должн, Аноним, 06-Янв-24, 15:20 (32) //
  - Именно так, потому как надо точно понимать то что ты пишешь и хотя бы владеть ин, Аноним, 06-Янв-24, 18:19 (37) //
    - гугловцы утверждают, что мало помогает, прям совсем Но да, поверю тебе, что они, Аноним, 06-Янв-24, 23:39 (44)
      - Наоборот, гугловцы предлагают одни из лучших инструментов для тестирования и они, Аноним, 07-Янв-24, 09:22 (55)
    - Судя по тому что практически в любом мало мальски крупном проекте был юи такие о, Аноним, 07-Янв-24, 21:27 (86)
- зачем вообще писать на С генерируя такие конструкции, Аноним, 06-Янв-24, 15:45 (35) //
  - А что и на что вы предлагаете заменить , Аноним, 06-Янв-24, 19:11 (38) //
    - Тут гогнодизайн в самом API вместо того, чтобы size ф-ии как, и везде в мире,, Аноним, 07-Янв-24, 16:38 (67)
    - Ну и qAddOverflow зачем-то берёт последний аргумент по указателю, хотя в да, Аноним, 07-Янв-24, 16:44 (68)
  - А ты вообще в курсе _ЧТО_ такое Qt не думаю - , _, 06-Янв-24, 20:32 (40) //
    - Qt Что-то из области маркетинга, видимо , Аноним, 08-Янв-24, 13:14 (101)
  - Кути пришли из 90х Ты помнишь плюсы тех лет , Аноним, 06-Янв-24, 22:14 (43) //
    - а из каких годов пришел HTTP 2 , Советский инженер, 07-Янв-24, 10:32 (61)
- А если всё проверять то будет не производительно и код дольше писать Окажется, Аноньимъ, 07-Янв-24, 04:19 (49) //
  - В данном случае это особенность формата HPACK, он хитрый и нужно много проверять, Аноним, 07-Янв-24, 16:48 (69) //
    - Автоматически увеличивает строк кода в сишечной программы в 3-5 раз Соответстве, Аноньимъ, 07-Янв-24, 17:12 (76)
      - Чушь пишеь, это c и здесь всё можно посахарить до уровня питона, Аноним, 07-Янв-24, 17:35 (79)
        
        Сишка и сипипишка конечно отличаются Сишка просто несколько хромосом лишних име, Аноньимъ, 07-Янв-24, 18:29 (81)
        
        Какая ты всё-таки бестолочь C тормоз и не гибкий ЯП, Аноним, 07-Янв-24, 19:25 (82)
        
        Если С - не гибкий, пишите на F , Аноньимъ, 08-Янв-24, 12:39 (100)
        
        Ага, каждая программа гвоздями прибита к конкретной Net Core, дофига зависимост, Аноним, 07-Янв-24, 21:48 (90)
        
        Net поддерживает компиляцию в нативный код как и Java к слову, но с ограничени, анон, 07-Янв-24, 23:24 (91)
        У С дела с этим гораздо ХУЖЕ И вообще, дотнетовские программы то обычно жаст в, Аноньимъ, 08-Янв-24, 12:18 (99)
        
        жаст котегов себе заведи жаст пяток Ну чтобы выяснить, что кроме жаст ещё нуж, Котофалк, 09-Янв-24, 09:27 (117)
- Просто кому-то захотелось выпендриться и написать феерическое const unsigned ч, cheburnator9000, 07-Янв-24, 13:11 (63)
- Размер то они проверили, но не осилили сложить два unsigned без переполнения, Аноним, 07-Янв-24, 17:15 (77)
При каких условиях можно достичь 2 ГиБ данных на один HTTP-заголовок 0_o, Аноним, 06-Янв-24, 12:35 (20) //
- Куки OAuth2, например Если они оказались всего 4 Кб, то вам просто повезло, выд, Аноним, 06-Янв-24, 13:37 (25)
- Многие уязвимости как раз происходят, котому что кому в голову придет посылать , Аноним, 07-Янв-24, 08:03 (54) //
  - Не, это не так работает Присылается 1 байт, а в заголовке указывается что на са, Аноним, 07-Янв-24, 16:53 (72)
- Это защита от намеренных атак на протокол, клиент сервер могут прислать что угод, Аноним, 07-Янв-24, 16:52 (71)
БезопасТный в этом случае не помог бы , Аноним, 06-Янв-24, 14:36 (27) //
- Помог бы Если программа не существует, в ней 0 ошибок , Аноним, 07-Янв-24, 10:00 (58)
А откуда такие высокие номера версий, сразу 4 и 5 В 6 2 x например последняя 6, nora puchreiner, 06-Янв-24, 14:36 (28) //
- Так коммерческие версии же Их открывают только через год , Аноним, 06-Янв-24, 14:43 (29) //
  - Они вроде собирались переходить на открытие исходников коммерческой версии через, Аноним, 06-Янв-24, 15:09 (30)
Пора на slint переходить , Аноним, 06-Янв-24, 15:42 (34) //
- Переходи, разрешаю , Аноним, 07-Янв-24, 09:26 (56) //
  - Перешел Прикольно , Аноним, 08-Янв-24, 14:58 (103)
- В расте в релизе по дефолту отключены проверки на переполнение чисел Там были б, Аноним, 08-Янв-24, 10:22 (95)
Замечу, что это в том числе следствие подхода 171 Qt 8212 это экосистема 1, Аноним, 06-Янв-24, 16:21 (36) //
- Так всё порезано на модули Используйте себе на здоровье только QtGui, если надо, Аноним, 07-Янв-24, 02:15 (46) //
  - Что в самом Qt GUI багов и недоделанных фич мало, что ресурсы разбазаривают на , Аноним, 07-Янв-24, 13:36 (65) //
    - Ну как бы всё это можно использовать и в приложении гуишном, например, впн-клиен, Аноним, 07-Янв-24, 15:03 (66)
    - Опять же, если нужно кроссплатформ, то практически безальтернативно А так пороб, Аноним, 07-Янв-24, 21:06 (83)
      - libcurl кроссплатформенна , Аноним, 07-Янв-24, 21:40 (88)
Вколько раз говорили тулкиты зло Закопать свою реализцию и заменить на libcurl, Аноним, 06-Янв-24, 20:10 (39) //
- до тех пок пока в libcurl не найдут прекрасное PS опенет заполонили какие, _, 06-Янв-24, 20:36 (42) //
  - Автор libcurl занимается написанием http-библиотеки профессионально Авторы Qt -, Аноним, 07-Янв-24, 01:17 (45) //
    - Да он дырявый по самые помидоры , Ананимус, 07-Янв-24, 02:19 (47)
      - Да вроде нетhttps github com curl curl issues, Аноним, 07-Янв-24, 10:04 (59)
        
        Да точно, посмотри список их CVE , Ананимус, 08-Янв-24, 11:06 (96)
    - Но не умеет писать нормальную документацию В частности, нет обзорной справки о , Аноним, 07-Янв-24, 17:08 (74)
      - У меня документация никаких проблем не вызвала , Аноним, 07-Янв-24, 21:38 (87)
      - Очень спорное утверждение libcurl используется в git, cmake, rsyslog, libreoffi, Ананимус, 08-Янв-24, 11:11 (97)
    - Она же на С, а не на С , anonymous, 08-Янв-24, 03:58 (94)
- Зачем работодатель платит тебе зарплату если проще заменить тебя на более толков, cheburnator9000, 07-Янв-24, 13:07 (62) //
  - Более толковый человек уже наверняка где-то работает, Аноним, 07-Янв-24, 17:38 (80)
Очень хороший протокол, зря ругаете Три уже есть, миллион на подходе , ОШИБКА Отсутствуют данные в поле Name, 06-Янв-24, 20:33 (41)
Учитывая огромный объем проекта Qt всего одна уязвимость такого рода это не прос, Аноним, 07-Янв-24, 09:59 (57) //
- Просто на Qt мало чего сделано, где могут искать уязвимости Только неадекват бу, Аноним, 07-Янв-24, 17:11 (75) //
  - Интересно, проект KDE согласен с твоим мнением , Аноним, 07-Янв-24, 21:09 (84) //
    - KDE - это абсолютно неважный код Судя по тому, что плазма по-прежнему падает , Аноним, 07-Янв-24, 21:43 (89)
      - И самое странное, что она падает только у тех, кто ей не пользуется , Аноним, 07-Янв-24, 23:30 (92)
    - Проект KDE может иметь какое угодно мнение, но оно никого не волнует с их менее , Аноним, 08-Янв-24, 18:17 (111)
      - 32 из 7 23 Linux-десктопы всех десктопов , Аноним, 09-Янв-24, 15:29 (123)
хм у QT есть свой http2 удивлен, Аноним, 10-Янв-24, 00:34 (124)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру