forum.opennet.ru

"Уязвимость в утилите GNU split, приводящая к переполнению буфера"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость в утилите GNU split, приводящая к переполнению бу..."	+1 +/–
Сообщение от Аноним (-), 24-Янв-24, 17:10
Вот вроде говорите правильные вещи, но выводы из них делаете... мама родная... Да 30 лет назад сишка захватила мир, потому что можно было быстро наыдлокодить программу. Уже тогда была ада, но просто на ней писать было сложнее, а идиотов оказалось больше. Да 20 лет назад не было таких мощностей как сейчас. Ну и проекты были маленькие - сравните ядро тогда и сейчас. Именно потому что сейчас это всё есть - то нужно переложить все возможные проверки на компилятор! Пусть лучше проц битики перекладывает, раз программер уже не в состоянии уследить за всем. Сишники не в состоянии следить за памятью в больших проектах. Да в общем-то никто не в состоянии, просто только сишники упорно пытаются доказать всем, что именно они могут и как всегда жиденько... Они обязательно где-то накосячат, хотя правила до тупости просты: - один раз память выделил - один раз очистил, не больше и не меньше - за пределами выделенного не читай - за пределы выделенного не пиши И всё! Просто сложность проекта не позволяет это всё удержать в голове. Эта очередная новость - тому доказательство. > Поймите, вы просто свели прогресс на ноль за последние 20 лет, как минимум в сборке. Невозможно свести ноль в ноль. У си никакого прогресса за 20 лет не было. У плюсов был и довольно большой. Но не у дыряшки. > и ошибки относительно легко исправляются Ошибки нужно не делать, а не сначала делать, а потом легко исправлять. Плюс посмотри по сколько лет эти ошибки живут в проектах. Годами! И их никто не замечает. > У раста ничего этого нет, только иллюзия безопасности, иллюзия скорости и несъедобный синтаксис. Раст долго собирается как раз потому, что он делает куча проверок в compile-time, в отличие от сишки. Но в рантайме он сравнимо быстр. И это уже не вопрос, это утверждение. А несъедобен синтаксис у него только для закостенелых мозгов.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в утилите GNU split, приводящая к переполнению буфера, opennews, 24-Янв-24, 10:18 [смотреть все]

То ли ещё будет когда split научат с Unicode работать, точно наступят на все воз, Аноним, 24-Янв-24, 10:18 (1) //
- А что с sort не так Просто указываешь какой LC_COLLATE нужен и все Или еще кор, adolfus, 24-Янв-24, 11:44 (23) //
  - https bugzilla suse com show_bug cgi id 928749, Аноним, 24-Янв-24, 15:27 (79)
- Учитывая что весь патч - это не переделка, а просто выкидывание какого-то ненужн, Бывалый смузихлёб, 25-Янв-24, 10:28 (178)
Срочно переписать на rust , cheburnator9000, 24-Янв-24, 10:26 (2) //
- Уже https uutils github io coreutils book utils split html, НяшМяш, 24-Янв-24, 10:39 (4) //
  - v0 0 24что именно тут уже , Аноним, 24-Янв-24, 10:47 (7) //
    - Уже в версии v0 0 24 дыреней меньше, чем в coreutils 7 2 , Аноним, 24-Янв-24, 12:08 (26)
      - как вы это определили , Аноним, 24-Янв-24, 12:16 (27)
        
        По размеру, очевидно же Просто умалчивают о маленьких дырочках, более приятных , Аноним, 24-Янв-24, 18:06 (120)
    - Пользуюсь полгода, всё отлично работает , Аноним, 24-Янв-24, 16:44 (91)
      - я пользуюсь оригинальной coreutils и представьте тоже всё отлично работает, Аноним, 24-Янв-24, 17:02 (96)
        
        Так на здоровье, рад за вас , Аноним, 24-Янв-24, 17:49 (106)
  - Готов поспорить ты этим не пользуешься, Вы забыли заполнить поле Name, 24-Янв-24, 16:21 (89) //
    - Ну я пользуюсь, задавай вопросы , Аноним, 24-Янв-24, 16:44 (93)
- Не дождёдесь Эти скорее на Guile перепишут , Аноним, 24-Янв-24, 14:41 (66) //
  - Мы перепишем на любом языке, который имеет одобрение Столлмана и имеет строгую, , Аноним, 24-Янв-24, 16:17 (87) //
    - Guile, common lisp Вперёд Это не должно быть очень сложно , Аноним, 24-Янв-24, 17:51 (107)
      - На CL такое действительно пишется за вечер, с тестами и документацией , Аноним, 24-Янв-24, 19:03 (128)
        
        не рассказывайте им , Аноним, 24-Янв-24, 19:08 (130)
        Ну собственно я знаю Но обычно те кто лишь бы батька одобрил фар фап умеют пи, Аноним, 24-Янв-24, 21:47 (146)
    - Забавно, но у Guile, несмотря на то что это гнушный язык , лицензция как раз т, Аноним, 24-Янв-24, 18:48 (125)
      - Ну так LGPL это наверное единственная гну лицензия, не похожая на раковую опухол, Аноним, 24-Янв-24, 18:59 (126)
        
        Не удивительно Это единственная лицензия, которая 1 является одобренной гну 2 , Аноним, 24-Янв-24, 21:50 (147)
        
        Согласен, план очень тупой, но что-то мне подсказывает, что ты его сам только чт, Аноним, 24-Янв-24, 23:24 (152)
  - Как будто это плохо , Вы забыли заполнить поле Name, 24-Янв-24, 17:56 (113)
Нет, ну а что хотят уважаемые эксперты по Си Сишка - сложный системный язычок, , Аноним, 24-Янв-24, 10:37 (3) //
- Другое дело раст мозги в принципе не включают, считая что safe магия их спасет , Аноним, 24-Янв-24, 10:49 (8) //
  - Причём тута раст Я пишу про сишку Тебе раст просто мерещится Кроме раста есть, Аноним, 24-Янв-24, 10:53 (11) //
    - то что надо для написания ядер ОС и драйвер А всякие умные указатели и прочие R, Аноним, 24-Янв-24, 11:38 (20)
      - Да, именно то что нужно Чтобы дырень в твоем драйвере, написанном лучшими погром, Аноним, 24-Янв-24, 11:41 (22)
        
        ОЙ, да не завидуй ты так Ты ни на каком языке никакого драйвера не напишет, даж, Аноним, 24-Янв-24, 12:01 (25)
        
        Лучше тот, кто не пишет драйверов, чем тот, кто пишет их на сишке Первый хотя бы, Аноним, 24-Янв-24, 13:55 (53)
        
        Ты получается круче всех инженеров в IBM RedHat Я горжусь, что живу в одно врем, Аноним, 24-Янв-24, 17:02 (97)
        
        Он прав Ядра ОС это пожалуй единственная ниша для сишки Драйверы - нет , Аноним, 24-Янв-24, 18:01 (118)
    - Если внимательно читать IEEE Std 1003 1 aka POSIX и разного рода rationale про ф, adolfus, 24-Янв-24, 12:35 (30)
      - Всё верно, но зря ты так подробно расписал Анонимы opennet читают первые десять, stalinus, 24-Янв-24, 19:32 (137)
        
        Они что тоже на СИ написаны Вот это откровение Но тогда понятно почему некоторые, Аноним, 24-Янв-24, 23:20 (150)
        
        Переполнение буфера реализуется в коде на любом языке программирования, даже Rus, berium, 25-Янв-24, 05:30 (170)
      - Тебе про Фому, а ты про сисколы Да еще и человека соблазнил тебе чаю подлить , Аноним, 24-Янв-24, 23:51 (158)
  - А сишники забавные ребята Каждый раз когда ты начинаешь их мордочкой тыкать в и, Аноним, 24-Янв-24, 12:16 (28) //
    - Нет разницы кто и кого первым приплёл Когда кодовая база на языке ВАШЕНАЗВАНИЕ , berium, 25-Янв-24, 05:39 (171)
      - разница есть потому что такая ошибка, как описана креш на некорректных входных, Советский инженер, 25-Янв-24, 10:30 (179)
        
        Тесты у них есть, как минимум с 1993 года Ошибка была внесена в coreutils 9 2 , Совершенно другой аноним, 25-Янв-24, 13:06 (193)
        
        ага, есть но мягкий , Советский инженер, 25-Янв-24, 18:22 (197)
- т е ты не осилил си и так и не научился конструктивно думать, а виноват, очевид, Аноним, 25-Янв-24, 13:27 (194)
xrealloc xpalloc Это какой же должен быть пипец я языке чтобы было столько вс, Аноним, 24-Янв-24, 11:23 (15) //
- Надо запретить люядм писать свои аллокаторы, sbrk и mmap хватит всем И да, их т, Аноним, 24-Янв-24, 11:33 (18) //
  - они в ведре, к сожалению, а не в языке Продать отдельно от вендыпоганой не получ, нах., 24-Янв-24, 11:41 (21) //
    - Да понятно, просто чел возникал изначально, что людям дали malloc , а им мало, , Аноним, 24-Янв-24, 11:58 (24)
      - главное не говорите ему, что исходник alloc есть в книжке k r как образец сове, пох., 24-Янв-24, 12:38 (32)
        
        Кстати, сколько дыр в этой реализации Наверное, с десяток , Аноним, 24-Янв-24, 13:49 (49)
- это не в языке, дурашка, это - в головах В процессоре нет никакого alloc, предст, нах., 24-Янв-24, 11:37 (19) //
  - Да, да, это все новое новое альтернативно одаренное поколение А кто писал шикар, Аноним, 24-Янв-24, 12:43 (34) //
    - Ахахахах, а ты вообще ничего не написал, ахахаха, Аноним, 24-Янв-24, 13:26 (41)
      - А где ваши доказательства с Без пруфов это просто газификация лужи, что в прин, Аноним, 24-Янв-24, 13:43 (46)
        
        Как говорят це-разработчики, от всех этих дыр нам же только луДше 1 , Аноним, 24-Янв-24, 13:53 (51)
        
        Так правильно говорят Чем запутанее код и чем больше там непонятных багов - тем , Аноним, 24-Янв-24, 14:17 (59)
  - Полностью согласен В головах у сишников, очевидно, опилки Тк на протяжении 30-4, Аноним, 24-Янв-24, 12:48 (35) //
    - А были ли знания 99 сишников про UB не задумываются Если программа не падает , Аноним, 24-Янв-24, 13:51 (50)
      - Я тебе сейчас тайну открою 99 сишников пох, даже если падает И не только сишн, Аноним, 24-Янв-24, 13:59 (57)
        
        Отличное описание типи-кал СИ разработки Сначала зачем Тратить время на нештатн, Аноним, 24-Янв-24, 14:22 (60)
        
        И кто останутся Один ты, ничего не написавший , Аноним, 24-Янв-24, 14:33 (64)
        
        Повторюсь, чем писать дырявый код, лучше не писать код вообще Поэтому, если удал, Аноним, 24-Янв-24, 14:39 (65)
        Свято место пусто не бывает Как сказал Линус - мы седые и старые, надо готовить , Аноним, 24-Янв-24, 14:44 (68)
        
        Коллега, гордыня до бобра еще никого не довела Начиная с прегордого денницы Пу, Аноним, 24-Янв-24, 15:19 (75)
        
        Так я горжусь, что пол ляма народу ежедневно пользуются И это упрощает им жизнь,, Аноним, 24-Янв-24, 15:50 (82)
        
        Плин, ну ты вспомнил Я, до того как переехал в Европу, в России сменил больше 1, Аноним, 24-Янв-24, 16:44 (92)
        
        Ну не гордись Я ж тебя не заставляю Просто когда из этих людей есть например на, Аноним, 24-Янв-24, 17:03 (98)
        
        Не то чтобы я задроttством каким занимаюсь и к словам придираюсь, но на самом де, Аноним, 24-Янв-24, 17:00 (95)
        
        Не, сорри У меня выдуманные невидимые друзья закончились еще в детстве Ну т е в , Аноним, 24-Янв-24, 17:34 (103)
        Здесь как Вам будет угодно Просто из собственного опыта рекомендовал Недавно уз, Аноним, 24-Янв-24, 17:56 (111)
        
        Только вряд ли на rust Это хороший способ переманить разработчиков Потыкаются , Серб, 24-Янв-24, 15:23 (77)
    - ну так ты-то ничего кроме комментов на опеннете не умеешь а ресдох, написанны, нах., 24-Янв-24, 13:58 (56)
      - Инертность мышления то что во всяких коммитетах и ядре сидят такие же престаре, Аноним, 24-Янв-24, 14:33 (63)
        
        Я вам повторю, поскольку до вас никак не доходит 30 лет назад была куча безопасн, Ivan_83, 24-Янв-24, 16:20 (88)
        
        время идиотов в кодинге прошловсе упоротые сишники все время рассказывают про эт, Советский инженер, 24-Янв-24, 16:58 (94)
        
        О нет, как раз новое поколение пришло Просто когда мы бунтовали то переписывал, Ivan_83, 24-Янв-24, 20:18 (141)
        
        Предположим, пользователи перезапустят А что делать с уязвимостями типа heartble, Аноним, 24-Янв-24, 23:23 (151)
        
        Ничего, всё исправят в своё время, как обычно Прежде всего вы должны признатся с, Ivan_83, 25-Янв-24, 01:09 (162)
        
        Вот вроде говорите правильные вещи, но выводы из них делаете мама родная Да , Аноним, 24-Янв-24, 17:10 (99)
        
        От того что у вас мобила лишний раз перезагрузится или приложение в ней - ничего, Ivan_83, 24-Янв-24, 21:04 (143)
        
        У вас через браузер, через вьювер картинок или через пдф-просмоторщик уведут пар, Аноним, 24-Янв-24, 23:26 (155)
        
        Мой банковский счёт не стоит таких усилий, будем честны, и ваш тоже Да да, и в, Ivan_83, 25-Янв-24, 01:18 (164)
        
        Согласился бы, если бы усилия вообще были нужны Эксплойт может работать в автома, Аноним, 25-Янв-24, 11:04 (183)
        
        Это так не работает в банками, только щиткойнами Там нужна цепочка чтобы по быст, Ivan_83, 25-Янв-24, 20:53 (199)
        
        Прошу прощения, так-сказать на правах лингвиста, боюсь, что японский ни в чём не, Совершенно другой аноним, 25-Янв-24, 09:56 (176)
        
        Прошу прощения, но на правах учащего японский и знающего английский на уровне ср, Аноним, 25-Янв-24, 12:02 (190)
        
        Ну вроде как идея была правильная - все глаголы заканчиваются на 12427 , но , Совершенно другой аноним, 25-Янв-24, 13:05 (192)
        
        Мобила лишний раз перезагрузится, томограф неправильные данные передаст, искусст, жабабыдлокодер, 24-Янв-24, 23:40 (156)
        
        Да они и сейчас есть, Ада например и особенно Spark Pro Но, к сожалению, в ядр, Аноним, 24-Янв-24, 17:20 (101)
        
        Так проблема в том, что вы этот санузел пытаетесь изуродовать со словами - как б, Ivan_83, 25-Янв-24, 01:04 (161)
        
        Кто о чем, а вшывый о расте А ведь в коменте на который ты отвечал ни слова о ра, Аноним, 24-Янв-24, 17:55 (110)
        Можно было просто написать раньше было лучше, а теперь гогно, хотим быть идиота, Аноним, 24-Янв-24, 17:56 (114)
        Нет, это тебе следует понять, что ты отстал от прогресса лет на 20 или больше Т, Аноним, 24-Янв-24, 23:59 (160)
        
        НИ-КО-Г-ДА Меня интересовало всегда как сделать так чтобы программа делала то чт, Ivan_83, 25-Янв-24, 01:49 (165)
        
        А, типичный ремесленник-самодельщик Не, это тоже хорошо, никого даже не пытаюсь, Аноним, 25-Янв-24, 11:27 (185)
        
        А вас не смущает что я ориентирован на конечный результат а вы на процесс Нет, я, Ivan_83, 25-Янв-24, 21:37 (202)
        
        А вот и напрасно Теория -- любопытная штука Фишка в том, что доказательство , n00by, 26-Янв-24, 08:03 (204)
        
        ага особенно с void functionPtr void и всякие 124 124 124 , Аноним, 25-Янв-24, 09:31 (175)
        
        Но согласитесь, у Rust с этим гораздо хуже fn longest a, b a x a Stri, Совершенно другой аноним, 25-Янв-24, 10:42 (181)
        
        Добавился символ , выкинули символ Не вижу ничего сложного - очень похоже int, Аноним, 25-Янв-24, 11:56 (189)
        
        не скажите Когда два подряд спец-символа, как-то глаз спотыкается и выглядит не, Совершенно другой аноним, 25-Янв-24, 12:20 (191)
        
        Это про одинарную кавычку Она ж во многих языках требует закрывающей пары Пото, n00by, 25-Янв-24, 16:39 (195)
        
        Таких макросов полторы штуки и нужны они крайне редко, если именно по нужде а не, Ivan_83, 25-Янв-24, 21:04 (200)
        
        Ахахаха, расскажи это разработчикам ядра Линукс Особенно Инго Молнару, который , Bottle, 25-Янв-24, 11:01 (182)
        
        Растоманам лучше помалкивать о скорости сборки, а то выйдет неудобно , Аноним, 25-Янв-24, 18:40 (198)
- Вот кстати почитать про palloc было занимательно, я например не знал что оно и з, RM, 24-Янв-24, 19:29 (136)
Забавный патч Просто удаляет реалокацию Она там вообще не нужна была , Серб, 24-Янв-24, 12:35 (29) //
- конкретно в этом месте она была очевидно вообще мимо тазика А то что там поулуч, пох., 24-Янв-24, 12:41 (33) //
  - О, пох, здоровеньки булы Долго жить будете, однако Крайний раз, когда доводилось, Аноним, 24-Янв-24, 15:14 (74)
  - О, вижу некие инновации А говорили бот-модератор, ии, вот это все а за ширмой, Аноним, 24-Янв-24, 15:50 (83)
- shrink - это урезать буфер Преждевременная оптимизация - корень всех зол , n00by, 24-Янв-24, 17:10 (100) //
  - Сколько десятилетий этому коду Это по человеческим меркам уже глубокий пенсионе, Аноним, 25-Янв-24, 02:45 (169) //
    - Читаете мои мысли Доктор в курсе , n00by, 25-Янв-24, 10:31 (180)
Баш-скрипты надо запретить Использовали бы питон - такой проблемы бы не было Э, Аноним, 24-Янв-24, 13:54 (52) //
- Одна из ключевых проблем баша 8212 то, что он позволяет запускать программы, , Аноним, 24-Янв-24, 13:59 (58) //
  - Погодите, давайте понаблюдаем как этот зумер переизобретёт идеальный сферический, Аноним, 25-Янв-24, 02:43 (168)
- Ну ещё бы shell не позволял запускать исполняемые ELF-файлы Толку тогда от него, Аноним, 24-Янв-24, 14:47 (69) //
  - Питон позволяет отлично и удобно запускать исполняемые файлы amoffat sh Но что, Аноним, 24-Янв-24, 15:37 (80) //
    - Унас есть такая пословицаХоть ты сто раз мнишь себя гением, если ты используешь , Аноним, 24-Янв-24, 15:41 (81)
      - Желание везде пихать любимый яп вместо баша тоже детектор отклонений кстати , Аноним, 24-Янв-24, 16:05 (86)
        
        Баш это клей для конвейеров Если вы используете что-то большее, чем вызовы и ци, Аноним, 24-Янв-24, 17:54 (108)
- Фигня в том, что Парадоксально, да bash - язык существенно более высокоуровн, User, 24-Янв-24, 15:58 (85) //
  - И вот тут бы примеры привести, но нет, User не смог для этого встать с дивана , Аноним, 24-Янв-24, 19:10 (131) //
    - Ээээм возьмите любой однострочник на баше Ну хоть один-то видеть должны были, User, 24-Янв-24, 21:26 (145)
      - Ты неправ, баш приспособлен под определённые задачи куда лучше любых альтернатив, Аноним, 25-Янв-24, 01:14 (163)
        
        В том плане, что не более высокоуровневый , а фактически DSL В тикле кстати , User, 25-Янв-24, 08:11 (173)
      - Проблема с башем та же, что и с Перлом - сплошной write-only код получается, нап, Аноним, 25-Янв-24, 02:40 (167)
        
        Так никто не говорит, что это хороший язык Просто - более высокоуровневый , User, 25-Янв-24, 07:12 (172)
- Использовать надо Nushell, а не Питон Питон - как и любой язык не имеющий удоб, Аноним, 27-Янв-24, 01:02 (206)
А в чем уязвимость Переполнения отлавливаются железом и программа завершается , Аноним, 24-Янв-24, 17:41 (104) //
- Как повезёт Если переполнение выйдет за границу страницы памяти, то отловится , Аноним, 24-Янв-24, 19:21 (132)
Никогда такого не было, и вот опять ненастоящие сишники прокрались в GNU и нако, Аноним, 24-Янв-24, 19:08 (129) //
- Ненастоящие и в GNU пробрались И в GNU были наезжавшие на Столмана , Аноним, 24-Янв-24, 19:24 (133) //
  - А как нонче трушность проверяют По ухоженности бороды Длине штаников Выбору туал, Аноним, 24-Янв-24, 19:29 (135)
- Вот бсдишечка от гнутого софта и избавляется потихоньку все правильно делают Б, Аноним, 24-Янв-24, 19:26 (134)
Угу, типа починили, до следующего раза А вот писали бы на современном C - не, Аноним, 25-Янв-24, 02:37 (166) //
- Не надо полумер Переписывайте на ржавом , _, 26-Янв-24, 00:02 (203)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру