Уязвимость в приложениях на базе HTTP-библиотеки Hyper,
opennews (??), 06-Янв-23, (0) [смотреть все]
- Скрыто модератором,
Аноним (1), 21:28 , 06-Янв-23, (1) +5 //
- Скрыто модератором,
Прохожий (??), 01:46 , 07-Янв-23, (54) –1 //
- Скрыто модератором,
Аноним (72), 02:30 , 07-Янв-23, (72) –1 //
- Скрыто модератором,
Аноним (90), 02:43 , 07-Янв-23, (90) //
- Ожидаемое поведение, в документации все описано JFrog решили в очередной раз поп,
ПомидорИзДолины (?), 21:35 , 06-Янв-23, (2) +16 //
- Второй параграф в документации,
ПомидорИзДолины (?), 21:38 , 06-Янв-23, (3) +7 //
- Делают комбайн со 100500 возможностей - фуфуфу гигантская кодовая база, сложно п,
НяшМяш (ok), 22:35 , 06-Янв-23, (17) +2 //
- Можешь как угодно называть уязвимость ниже уже назвали задокументированным пов,
Аноним (25), 23:24 , 06-Янв-23, (25)
- Проблема этой ветки обсуждения в том, что некоторые комментаторы пытаются экстра,
Прохожий (??), 12:40 , 07-Янв-23, (194) +5
- Если ты бездумно используешь метод я буду сохранять все байтики в память , кото,
НяшМяш (ok), 17:45 , 07-Янв-23, (240)
- У них там с башкой проблема Remote is always implicitly untrusted ,
Аноним (72), 02:32 , 07-Янв-23, (73) +3 //
- Нет Remote может быть nginx в режиме reverse proxy, который сделает все проверк,
ПомидорИзДолины (?), 03:15 , 07-Янв-23, (125)
- Это же библиотека для сборки из кирпичиков, а не полнофункциональный сервер А л,
Аноним (148), 04:13 , 07-Янв-23, (148) +8
- Так и в си UB описаны, необходимость проверок тоже Но почему-то в си это фаталь,
Аноним (25), 23:26 , 06-Янв-23, (27) +1 //
- Правда, сам ты весь список не читал, просто слышал звон Никаких почему-то не б,
Аноним (35), 23:40 , 06-Янв-23, (35) +2
- В расте или в имплементации какой-то библиотеки на расте Ты чем читал Молодец,,
Аноним (90), 02:55 , 07-Янв-23, (104) +4 //
- Дополню Запросы со слишком большим телом почикает nginx Расходимся,
kai3341 (ok), 02:14 , 07-Янв-23, (68) +1 //
- Я бы сказал безмозглое поведение - выделять оперативную память под запрос целико,
MaleDog (?), 04:07 , 07-Янв-23, (145) +1 //
- Еще поди можно так - кидаем много запросов с небольшим Content-Length, но с тело,
MaleDog (?), 04:15 , 07-Янв-23, (149) //
- В данном случае упоролись всё же Воины Борьбы Супротив Раста, раз и после нескол,
Прохожий (??), 11:44 , 07-Янв-23, (176) //
- Так это специальная функция для чтения запроса целиком Когда он заведомо неболь,
Аноним (267), 23:40 , 07-Янв-23, (267)
- Безопасность не поместилась в оперативную память,
Аноним (4), 21:39 , 06-Янв-23, (4) +13 //
- боров-чекер оказался слишком жирным боровым и не влез в оперативку,
Аноним (228), 21:54 , 06-Янв-23, (10) +2 //
- борров чекер проверяется и работает на этапе компиляции в скомпилированном коде ,
Alladin (?), 22:29 , 06-Янв-23, (15) //
- Я знаю что это такое, просто мне слово нравится боров,
Аноним (228), 23:07 , 06-Янв-23, (19)
- я может что-то не понимаю, но раст с кучей не умеет что ли работать Если на эта,
Аноним (228), 23:16 , 06-Янв-23, (23)
- Компилятор не проверяет, сколько именно памяти есть в системе - это не его задач,
Прохожий (??), 01:18 , 07-Янв-23, (49)
- способствует программисту потерять бдительность,
Проффесор (?), 01:45 , 07-Янв-23, (53) –1
- Не способствует, а освобождает программиста от слежения за определённым классом ,
Прохожий (??), 01:48 , 07-Янв-23, (56) +1
- Способствует Более того создает впечатление у новичков что программирование - ,
Проффесор (?), 01:55 , 07-Янв-23, (60)
- Так таким значит надо писать на Java, Go, Dart, C , JS наконец с Питоном -- вы ж,
Свидетель ржавоговы (?), 03:15 , 07-Янв-23, (123) –1
- Добывай огонь трением, мало ли, спички закончатся,
Анимус (?), 19:08 , 10-Янв-23, (363)
- Ок, ясно,
Аноним (228), 21:47 , 06-Янв-23, (6) //
- Скрыто модератором,
Аноним (228), 21:49 , 06-Янв-23, (7) +2 //
- Всё правильно Ещё со времён Юниксов и Си правильно Программа или библиотечная ,
pashev.ru (?), 21:51 , 06-Янв-23, (8) +1 //
- Всё верно,товарищ Проверки выхода за границы массива - тоже отдельная задача Эту,
Аноним (133), 22:10 , 06-Янв-23, (12) –10 //
- Так если подумать и реализовано неправильно Если заведомо нет проверок на длину,
Dzen Python (ok), 23:48 , 06-Янв-23, (42) //
- А если не только подумать, тыкая пальчиком в небо, а ещё почитать доку, например,
Прохожий (??), 01:39 , 07-Янв-23, (52) +3 //
- В стандартах на протоколы не пишут, что можно делать use-after-free, что память ,
Аноним (228), 02:15 , 07-Янв-23, (69) –2
- дебилизм какой-то, давайте напишем в документации ядра линукс, что хакеры не дол,
Аноним (245), 19:46 , 07-Янв-23, (246) –2
- Функция выделяет памяти столько, сколько её попросили Никаких UB при этом нет ,
freecoder (ok), 22:24 , 07-Янв-23, (251)
- Там написали, что ты не должен это выставлять наружу, в недоверенное окружение ,
Аноним (90), 00:36 , 08-Янв-23, (278) –1
- как же тупо, тупо никаких ограничений на выделение по Content-Length ,
Alladin (?), 21:53 , 06-Янв-23, (9) –1 //
- И каким должно быть универсальное ограничение на выделение памяти для универсаль,
Аноним (29), 23:28 , 06-Янв-23, (29) +1 //
- Очевидно, так как растоманы решили - чтоб отказ в обслуживании ,
Аноним (228), 23:33 , 06-Янв-23, (31) –1 //
- Очевидно библиотека должна посмотреть размер свободной памяти на машине, помнож,
Аноним (72), 02:37 , 07-Янв-23, (80) –2 //
- А что если на машине 64гб рам, а в слайсе сигруппы приложению выделили всего 256,
Аноним (330), 02:46 , 07-Янв-23, (93) +1
- Очевидно чтение реквеста должно быть блочным, а не запихать всё в память и отд,
Омномним (?), 12:27 , 07-Янв-23, (190) –1
- Ты про такой протокол, как UDP и на нем основанных слышал Знаешь, как там всё р,
Прохожий (??), 12:57 , 07-Янв-23, (197)
- Дед, ты таблетки забыл принять на ночь Что ты, блин, несешь, старый идиот Ты дл,
Аноним (228), 18:29 , 07-Янв-23, (243)
- И вообще, дед, причем тут UDP или TCP Это нижележащий уровень, транспортные про,
Аноним (228), 19:22 , 07-Янв-23, (244)
- Добавить рандом в либу И привязать его к параметру окружения Да ты просто з,
Анонн (?), 17:16 , 07-Янв-23, (238) –1
- Э-э Выделить небольшой буфер на проверку заголовков Передать их обработчику, ч,
MaleDog (?), 12:58 , 07-Янв-23, (198) +1 //
- Ну а chunked-запрос - это извращение Насколько я помню изначально chunked был т,
MaleDog (?), 13:33 , 07-Янв-23, (208)
- Почему извращение Допустим мы хотим залить контент заранее не известного объёма ,
Омномним (?), 20:47 , 08-Янв-23, (339)
- Потому, что заранее не известно когда закончится запрос Теоретически я хоть цел,
MaleDog (?), 22:28 , 10-Янв-23, (367) –1
- Тем более, что часто люди просто не думают Вот к примеру реальный случай Мне п,
MaleDog (?), 22:56 , 10-Янв-23, (368)
- Про read timeout что-нибудь слышал Ну и да - чанк не обязательно читать целиком,,
Омномним (?), 15:07 , 11-Янв-23, (371)
- Э-э, там, в той самой библиотеке, для этого есть aggregate - читает в буфер, раз,
Аноним (248), 21:27 , 07-Янв-23, (248) +2
- Можно посмотреть как эту проблему решили высокооплачиваемые программисты из Sun ,
Аноним (241), 18:00 , 07-Янв-23, (241) –2 //
- Это норм Просто макакинг-девелопмент,
Свидетель ржавоговы (?), 02:55 , 07-Янв-23, (103)
- Чудесное определение 8212 особенность работы с памятью Запомню ,
Аноним (20), 23:11 , 06-Янв-23, (20) //
- Сишник забывает очистить память в указателерастоман диды писали, надо переписат,
Аноним (228), 23:12 , 06-Янв-23, (21) +2 //
- Питонист, расскажи куда его еще копировать, заодно выдай, каким должен быть раз,
Аноним (29), 23:25 , 06-Янв-23, (26) +5 //
- Да нее, тут опять сишники виноваты,
Свидетель ржавоговы (?), 02:57 , 07-Янв-23, (107) –1 //
- Помнится си критиковали за то что программисту нужно слишком много думать и знат,
Аноним (25), 23:16 , 06-Янв-23, (22) –2 //
- У Си уязвимости, а у Раста ОСОБЕННОСТИ работы с памятью, понимать надо ,
Аноним (38), 23:42 , 06-Янв-23, (38) +1 //
- Говори толерантнее, иначе к тебе приедет айнзац-команда и до реанимации будет уч,
Dzen Python (ok), 23:44 , 06-Янв-23, (41) //
- Эх, видимо, рано я порадовался за питониста Эй, питонист Не у Раста, а в станд,
Прохожий (??), 01:57 , 07-Янв-23, (61) //
- Способность обращаться по любому адресу памяти это нормальное поведение кода, ис,
Свидетель ржавоговы (?), 03:01 , 07-Янв-23, (112) –2
- С точки зрения процессора - да, нормальное А с точки зрения программиста, котор,
Прохожий (??), 03:13 , 07-Янв-23, (122)
- Не любого кода Подавляющая часть программ состоящих из данных и кода категори,
Аноним (90), 23:12 , 07-Янв-23, (259)
- Тебе сказали - работающего на процессоре, а не под ОС, работающей на процессоре ,
Аноним (228), 00:27 , 08-Янв-23, (276)
- кем не выделенной, куда не выделенной Вот есть у меня ядро, оно стартует, и ,
Аноним (228), 00:42 , 08-Янв-23, (279)
- от слова док , как в док-станции ,
раст переусложнён (?), 11:12 , 07-Янв-23, (169) –1 //
- Уязвимость, но не в Rust и даже не в библиотеке Hyper, а в тех серверах, которые,
freecoder (ok), 22:32 , 07-Янв-23, (252) +2 //
- Мда, это даже смешно Это поведение не только записано в доке, там даже пример ес,
Анонн (?), 00:57 , 07-Янв-23, (48) +6 //
- Да ну ладно ,
Аноним (-), 04:04 , 07-Янв-23, (141) //
- Ещё один подражатель Евгения Вагановича Такая популярная на Опеннете личность, ,
Прохожий (??), 04:12 , 07-Янв-23, (147) +1 //
- Но как, Холмс ,
Аноним (-), 06:05 , 07-Янв-23, (156) –1
- Галустян, залогинься ,
псевдонимус (?), 16:31 , 07-Янв-23, (232) –1
- Скрыто модератором,
Аноним (138), 04:06 , 07-Янв-23, (143) –1 //
- Вот она победа раста над древней сишкой Растоманы накосячили с памятью и все лиш,
Анонимусс (?), 10:38 , 07-Янв-23, (165) //
- Ну и развивали бы дальше свой победоносный redox Нафига в сишный linux полезли ,
An (??), 10:50 , 07-Янв-23, (166) –1 //
- Потому что это будет просто преступлением оставить линукс таким дырявым какой он,
Анонимусс (?), 11:09 , 07-Янв-23, (168) +1
- Да, просто за драйверами зашли Сейчас с ними и уйдут обратно ,
Аноним (173), 11:36 , 07-Янв-23, (173) //
- Никто уже никуда не уйдёт, не переживай Учить язык придётся Хотя для некоторых,
Прохожий (??), 12:17 , 07-Янв-23, (187)
- Но дрова то на небезопасном Си, все равно их переписывать с нуля надо,
Аноним (294), 11:45 , 08-Янв-23, (294)
- Redox - это почти домашний проект, просто чтобы убедиться, на данном языке можно,
Прохожий (??), 12:15 , 07-Янв-23, (186) +1
- А можно написать еще хотя бы одну библиотеку для работы с HTTP, а то что-то свет,
Аноним (173), 11:37 , 07-Янв-23, (174)
- Бугагашно, чанк по частям мегабезопастные кодеры читать не научились D,
Омномним (?), 11:54 , 07-Янв-23, (181) –1 //
- так-то вообще школьная ошибка, чтение из сети по заданному размеру без лимитов ,
Омномним (?), 11:55 , 07-Янв-23, (183) –1
- О великий эксперт А где ты потом собирать будешь эти чанки Почитай на досуге п,
Прохожий (??), 13:03 , 07-Янв-23, (201) –1 //
- Никогда не останавливайся на полпути, позорься до конца Ты хотя бы посмотри как ,
Аноним (228), 13:38 , 07-Янв-23, (210) –1
//
- Жаборастера видно издалека, да Собирать будет клиентский код - там, где ему на,
Омномним (?), 16:00 , 07-Янв-23, (222) –1
- И чего У меня сейчас допустим есть асинхронная корутинная реализация HTTP на PHP,
Омномним (?), 16:04 , 07-Янв-23, (225) –1 //
- Бугагашно, читать дальше заголовка местные Воены Супротив Раста так и не научили,
Аноним (248), 21:21 , 07-Янв-23, (247) +1
- А ты по ссылочке-то пробовал пройти This may require copying the data into a sin,
Аноним (267), 23:32 , 07-Янв-23, (265)
- Пациенты клиники Кащенко в комментах в полном сборе Но вы же гаварили что в рас,
анон (?), 12:29 , 07-Янв-23, (191) +3 //
- Ну то, что си по умолчанию не проверяет границы массивов тоже задокументировано ,
Вы забыли заполнить поле Name (?), 13:02 , 07-Янв-23, (200) –4 //
- Ещё один сравниватель Си с реализацией конкретной библиотеки Как-то много вас р,
Прохожий (??), 13:05 , 07-Янв-23, (202) +2 //
- Ты читать умеешь Проблема в библиотеке ебтвм, можешь форкнуть и поправить если ,
анон (?), 13:07 , 07-Янв-23, (203) //
- Новаторство в борьбе с уязвимостями ,
Аноним (205), 13:16 , 07-Янв-23, (205)
- Очевидно, и читать, и писать он умеет А вот с осмысливанием прочитанного у него,
Прохожий (??), 13:36 , 07-Янв-23, (209) +2
- Строго говоря, это не проблема библиотеки Hyper, это проблема тех нескольких сер,
freecoder (ok), 22:46 , 07-Янв-23, (256)
- У чтения в один присест должны быть лимиты Потому что всем, кроме хрустоманов, о,
Омномним (?), 20:49 , 08-Янв-23, (340) –1
- Еще скажите, что у обращения по индексу всегда должна быть проверка выхода за гр,
freecoder (ok), 15:27 , 09-Янв-23, (353)
- Только в случае, если индекс зависит от пользовательского ввода Проверять границ,
Омномним (?), 10:44 , 18-Янв-23, (374)
- В цикле и так будет проверка на каждом шаге условия достижения конца цикла Чтоб,
freecoder (ok), 12:31 , 20-Янв-23, (375)
- Проверка на каждом шаге условия Ну удачки, чего ,
Омномним (?), 21:02 , 20-Янв-23, (376)
- Есть допустим у меня кадр 7680x4320 Мне его надо вдоль и поперёк обработать, с,
Омномним (?), 21:13 , 20-Янв-23, (377)
- Мы пациенты смеемся не с новости, а с ваших попыток оправдаться Особенно смешн,
Аноним (214), 14:38 , 07-Янв-23, (214) //
- А у тебя как всегда сишники виноваты ,
Аноним (219), 15:49 , 07-Янв-23, (219)
- Тут согласен, пациенты клиники Кащенко пишут, что чтобы избегать какой-то тип ош,
Аноним (294), 11:41 , 08-Янв-23, (292) +2 //
- Хах растобезопасность снова превратилась в тыкву,
Аноним (217), 14:55 , 07-Янв-23, (217) //
- Кстати, новость написана правильно А вот комментаторы неверно интерпретируют ск,
freecoder (ok), 22:35 , 07-Янв-23, (253) //
- Когда новость про ошибки в программах на расте не связаны с самим растом, у наСИ,
Аноним (90), 00:49 , 08-Янв-23, (282) –1 //
- Это не очень на пятилетку похоже удивительно как много ошибок в стандартной библ,
Аноним (287), 01:50 , 08-Янв-23, (287) +2 //
- Нужен новый язык Раст решает не все проблемы,
Аноним (294), 11:39 , 08-Янв-23, (291) +2 //
- Ты ещё в сортах уязвимость разбираешься Типа когда тебя взломают через неправил,
Аноним (314), 16:00 , 08-Янв-23, (312)
- Скрыто модератором,
Аноним (294), 11:38 , 08-Янв-23, (290) +1 //
- Скрыто модератором,
Аноним (314), 15:57 , 08-Янв-23, (311)
- Скрыто модератором,
Вы забыли заполнить поле Name (?), 16:17 , 08-Янв-23, (316)
- Скрыто модератором,
freecoder (ok), 17:18 , 08-Янв-23, (321) –1 //
- Когда же вы поймёте что самый безопасный язык это Carbon,
Карбон лучший (?), 14:35 , 08-Янв-23, (305) –2 //
- Что и требовалось доказать баги полностью зависят от криворуких погромиздов, яз,
Аноним (349), 14:00 , 09-Янв-23, (348) +1
2,4,6,8,9,20,21,22,38,48,141,165,174,181,191,217,253,282,305,348
|
Вариант для распечатки
