forum.opennet.ru - "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте" (141)

"В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте"	+/–
Сообщение от opennews (??), 14-Янв-25, 23:31
Опубликован релиз утилиты для синхронизации файлов Rsync 3.4.0, в котором устранено шесть уязвимостей. Комбинация уязвимостей CVE-2024-12084 и CVE-2024-12085 позволяет клиенту добиться выполнения своего кода на сервере. Для совершения атаки достаточно анонимного подключения к серверу Rsync с доступом на чтение. Например, атака может быть совершена на зеркала различных дистрибутивов и проектов, предоставляющих возможность загрузки сборок через Rsync. Проблема также затрагивает различные приложения для синхронизации файлов и резервного копирования, использующие Rsync в качестве бэкенда, такие как Rclone, DeltaCopy и ChronoSync... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62557
Ответить \| Правка \| Cообщить модератору

Оглавление

Это чудовищная ошибка Кто когда куда и что добавил мы конечно же никогда не узн, Аноним (4), 23:37 , 14-Янв-25, (4) +2

Потому что проект набисан не на безопасном языке, который не умеет безопасно раб, Аноним (39), 01:22 , 15-Янв-25, (39) +3

Скрыто модератором, Аноним (-), 01:26 , 15-Янв-25, (41) –6
Могу лишь повторить слова предыдущего Анонима, так как он сказал правильно Идит, Аноним (84), 12:19 , 15-Янв-25, (84) –1
Потому что проект _написан_, а не только сплошные рассуждения о безопасности Ош, Аноним (103), 14:07 , 15-Янв-25, (103)

Ты не путай ошибки с намеренным вредом или как минимум халатностью Электрика кот, Аноним (-), 14:12 , 15-Янв-25, (107)

Так ты перечислил сферы в которых ошибка влечет вред здоровью Очевидно, уровень , Аноним (111), 14:21 , 15-Янв-25, (111) +1

Не обязательно, ну подумаешь кто-то, от некачественной еды обделался Просто пос, Аноним (114), 14:36 , 15-Янв-25, (114)

оно просто должно быть корректным и надежным - это ваши личные хотелки которы, Ivan_83 (ok), 16:14 , 15-Янв-25, (142) +2

Гит блейм в руки и всё узнаете, Я (??), 23:43 , 14-Янв-25, (5)

А там JinTan какой-нибудь И где ты его искать будешь Ну или C-ктанты тебе расска, Аноним (8), 23:48 , 14-Янв-25, (8) –2
Почему никто это не сделает и не опубликует результаты Или кому то не выгодно ч, Аноним (4), 23:51 , 14-Янв-25, (10)

Скрыто модератором, Фнон (-), 23:54 , 14-Янв-25, (13) –1

Скрыто модератором, Аноним (4), 00:01 , 15-Янв-25, (16) +3

Скрыто модератором, Аноним (-), 00:25 , 15-Янв-25, (30)

Ух, список Классный Наверное кто-то расстроится, раз такие бекдоры закрыли Или , Ayjy (?), 23:51 , 14-Янв-25, (11) –1

Уязвимость протухла Можно её выкидывать Там ещё столько же и таких же осталось, Аноним (4), 23:52 , 14-Янв-25, (12) +1
в чём проблема добавить новых, Аноним (68), 09:36 , 15-Янв-25, (68)

А зачем добавлять новые Там старых еще лет на сто припасено , Анонимусс (-), 10:31 , 15-Янв-25, (73)

Ахаха, т е мяу Отличная новость Как раз расставляет все точки над i в споре из, Анонимусс (?), 23:57 , 14-Янв-25, (14) –3

Чего ты на раст то не переписал Почему за тебя всё должны делать диды , Аноним (4), 00:00 , 15-Янв-25, (15) +10

Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖDа , чатжпт (?), 00:05 , 15-Янв-25, (17)

Переписывай что угодно ты просто результат покажи и всё А то только вопли и нет, Аноним (4), 00:07 , 15-Янв-25, (18)
Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом , Аноним (4), 00:08 , 15-Янв-25, (19) +1
Так вы что-то не хотите своим редсдох осом пользовться и прочими офигенными драй, WD40 (-), 16:54 , 15-Янв-25, (148)

Галочка, ты не поверишь с github com your-tools rusync - Rust 99 1 И еще куча , Фнон (-), 00:10 , 15-Янв-25, (20) –1

Половины функционала нет , Аноним (4), 00:16 , 15-Янв-25, (23) +2

На мотив бардовской песни есть только C0C - за него и держись - , _ (??), 02:13 , 15-Янв-25, (47) +2

rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела , Ivan_83 (ok), 03:15 , 15-Янв-25, (56) +1
Но вы то можете всех обломать - и поюзать это Правда, не забудьте проверить кто, Аноним (-), 16:56 , 15-Янв-25, (149)

А раст тут причем Зачем вы его приплетаете в тему про Rsync, который на си напис, Аноним (-), 00:11 , 15-Янв-25, (22) +2

Зачем приплетать дыряшечность Которой нет , Аноним (4), 00:17 , 15-Янв-25, (24)

В смысле нет Уязвимости есть Есть Исполнение кода злоумышленника есть Есть п, Аноним (-), 00:21 , 15-Янв-25, (26) –1

Никакой связи уязвимость есть уязвимость она может быть где угодно , Аноним (4), 00:24 , 15-Янв-25, (27) –1

запись за пределы выделенного буфера не может быть где угодно, чатжпт (?), 00:34 , 15-Янв-25, (31) +1

Если очень захотеть, то можно всё https github com Speykious cve-rs Обозначу , АнонимичныйАноним (?), 06:49 , 15-Янв-25, (60)

Да На Расте для этого надо сделать много нетривиальных приседаний, на Си все си, Аноним (-), 12:11 , 15-Янв-25, (83) +4

Просто есть любители свободы которые за то чтобы каждый ходил со стволом и мог е, Ivan_83 (ok), 16:36 , 15-Янв-25, (146)

Скрыто модератором, Аноним (-), 16:46 , 15-Янв-25, (147)
При том в данном случае управлять будет амазон, гугл и майкрософт, перехватившие, Аноним (-), 17:02 , 15-Янв-25, (150)

Скрыто модератором, Анонимусс (-), 10:33 , 15-Янв-25, (74)

Вы так старались, но у вас никогда нет ответа сколько ущерба это принесло Мне э, Ivan_83 (ok), 03:07 , 15-Янв-25, (51)

8212 Билл 8212 Да, Гарри 8212 Что это было, Билл 8212 Это был Неулов, Аноним (70), 09:41 , 15-Янв-25, (70) –1
Конечно, потому что этим нормальные люди не пользуются А ущерб васянам никто счи, Анонимусс (-), 10:40 , 15-Янв-25, (75) +1

400к в месяц - это ниочём для планеты, намного больше легко прокекается на элект, Ivan_83 (ok), 15:21 , 15-Янв-25, (117)

А исправления вида поменять open на openat тебя радуют Или гниль с крестами , Ivan_83 (ok), 03:50 , 15-Янв-25, (58)

кто-нибудь может объяснить, зачем рсвинк вообще лезет раскрывать симлинки По-мое, пох. (?), 13:42 , 15-Янв-25, (94)

Так оно и определяется ключами при вызове , Ivan_83 (ok), 15:22 , 15-Янв-25, (118)

ну то есть чтоб получить увизгвимость - надо самому старательно ее попросить Тог, нах. (?), 17:10 , 15-Янв-25, (151)

ЕМНИП, пейсатели имели непосредственное отношение к самбе Что немного объясняет, PnD (??), 17:37 , 15-Янв-25, (153)

Hardened систему надо использовать, она отлавливает переполнения и утечки воврем, Аноним (66), 08:49 , 15-Янв-25, (66)

И почему люди настолько упрямые, ака ослики, что не хотят просто использовать но, Фнон (-), 00:19 , 15-Янв-25, (25) +1

В любой язык вставят точно такую же уязвимость причем тут язык , Аноним (4), 00:25 , 15-Янв-25, (28) –1

А ты уверен1 что эту уязвимость встроили2 что в любом другом языке она была та, Фнон (-), 00:38 , 15-Янв-25, (33)

Это кто тебе такую глупость вообще сказал Что за нормальные инструменты , Аноним (4), 14:56 , 15-Янв-25, (115)

хз сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами зак, 12yoexpert (ok), 00:53 , 15-Янв-25, (35) –1

Тьфуй Если тебе нужен ЯП высокого уровня а не Си , ну там - прилады какие наср, _ (??), 02:17 , 15-Янв-25, (48) +2
Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно , Ivan_83 (ok), 03:18 , 15-Янв-25, (57)

А если включать голову и проверять код всякими там анализаторами то и уязвимост, An (??), 07:02 , 15-Янв-25, (61)

Не надо анализаторов и ничего включать, достаточно следовать простому правилу в, Ivan_83 (ok), 08:08 , 15-Янв-25, (65)

А можете еще озвучить простое правило как перестать выходить за пределы буфера, Анонимусс (-), 10:42 , 15-Янв-25, (76) +3

Использовать функции, в которых явно задаёшь максимальный объём обрабатываемых д, Соль земли (?), 13:44 , 15-Янв-25, (95) –1

Перед free вообще не нужно проверять, что указатель не NULL Господи, ты хоть р, Аноним (100), 13:53 , 15-Янв-25, (100)

Проверяешь, что указатель не NULL, делаешь free и делаешь указатель NULL Помо, Соль земли (?), 14:14 , 15-Янв-25, (109)

Рабочая только если у тебя лишь одна копия конкретного указателя на всю программ, Аноним (100), 14:32 , 15-Янв-25, (112)

Ну тогда передавай указатель на указатель, чтобы не делать копии , Соль земли (?), 15:43 , 15-Янв-25, (129)

Боже facepalm У тебя есть два разных указателя, которые указывают на один объе, Аноним (-), 14:34 , 15-Янв-25, (113) +1

Зачем тебе 100500 копий одного и того же указателя, который ты даже менять не со, Соль земли (?), 15:46 , 15-Янв-25, (132)

Да, да Как раз сейчас смотрю на функцию копирования строк побайтно через буфер , Котофалк (?), 13:57 , 15-Янв-25, (102)

Это уже другая проблема , Соль земли (?), 14:11 , 15-Янв-25, (106)

Вы не понимаете это другое Ты сказал как решить проблему с буфером Тебе приве, Аноним (-), 14:13 , 15-Янв-25, (108)

Ну проблема с выходом за пределы буфера решена А ты привёл уже другую проблему,, Соль земли (?), 14:15 , 15-Янв-25, (110)

free сам проверяет на NULL, поэтому такие проверки я из своего кода давно вычи, Ivan_83 (ok), 15:27 , 15-Янв-25, (120)

Так достаточно вместе с указателем на буфер хранить размер буфера и размер данны, Ivan_83 (ok), 15:25 , 15-Янв-25, (119)

double test float a void char long int printf кровь из глаз, Аноним (-), 13:11 , 15-Янв-25, (89)

Потому что кресты не нормальный язык, а очень перегруженный По сути вы предлагае, Ivan_83 (ok), 03:08 , 15-Янв-25, (52)

Да у тебя любой язык, кроме С, перегружен, потому что кроме С и Lua ты ничего не, Аноним (100), 09:26 , 15-Янв-25, (67)
Конечно Любой язык, где больше чем около 30 ключевых слов, как в сишечке, - прос, Аноним (-), 10:18 , 15-Янв-25, (71) +1

В любом ЯП примерно одинаковое количество ключевых слов условия, циклы, классы,, hrmhmmhtbdr (?), 10:45 , 15-Янв-25, (77) –1

Типичный кексперт в треде Ну и зачем ты так себя позоришь Открой хотя бы викип, Аноним (-), 10:58 , 15-Янв-25, (79) +1

Потому что практика показывает что сложные языки плохо распространяются, ведь це, Ivan_83 (ok), 15:30 , 15-Янв-25, (121)

С , вытеснивыший сишку практически отовсюду с тобой не согласен Чтобы писать на, Аноним (-), 15:36 , 15-Янв-25, (124)

Не вытеснивший, даже дескптопные окружения далеко не все на крестах gnome, xfce , Ivan_83 (ok), 15:50 , 15-Янв-25, (134)

НеаПффф мы про норманый софт говорим, а не про эти васяноподелия от четырехпр, Аноним (-), 16:13 , 15-Янв-25, (141)

Далеко не все В остальном - да, не мало юзерского софта на крестах, но и С софта, Ivan_83 (ok), 16:17 , 15-Янв-25, (143)

Чья практика, лол Тебя - человека, который осилил лишь сишку для своих личных х, Аноним (100), 17:58 , 15-Янв-25, (154)

Я уже говорил тебе, что такое безумие Безумие - это точное повторение одного и, Аноним (-), 00:25 , 15-Янв-25, (29)

пхпшники и сишники - одного поля ягоды, только могила исправит, чатжпт (?), 00:37 , 15-Янв-25, (32) –3
Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, OpenEcho (?), 01:23 , 15-Янв-25, (40) +2

Вот только воткнуть не смог ты Какое отношение имеет имеющаяся кодовая база , Аноним (-), 01:29 , 15-Янв-25, (42)

Да, сделать его полностью безопасным, значит сломать совместимость А так его ул, Noname (??), 02:03 , 15-Янв-25, (46)
Ты сам то понял, что сейчас сказал Кодовая база на языке, на котором написа, OpenEcho (?), 02:27 , 15-Янв-25, (49)

Именно так Что мешало за N лет в С добавить какую-то абстракцию над буфером, чт, Аноним (-), 10:29 , 15-Янв-25, (72)

А что если технически надо писать за пределы буфера Так сильно в бараний за, OpenEcho (?), 13:17 , 15-Янв-25, (92)

Значит бери старый механизм и пиши Ты где прочитал и запретим старый вариант Н, Аноним (-), 13:45 , 15-Янв-25, (96)
То ты глушишь ворнинг и используешь старый механизм И возможно пишешь большой ра, Аноним (-), 13:49 , 15-Янв-25, (99)

Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, Ivan_83 (ok), 03:10 , 15-Янв-25, (53)

Это привет из 80х просто Чувак, людям надо чтобы оно не просто выполнило нуж, Анонимусс (-), 10:52 , 15-Янв-25, (78)

Объяви им бойкот, перейди на редокс, и не пользуйся неправильным софтом , Аноним (-), 13:46 , 15-Янв-25, (97) +1

Это страусиная позиция - делать вид что проблемы нету Мое решение - рассказыват, Аноним (-), 14:08 , 15-Янв-25, (105)

Только первая же подобая новость убьёт опенсорц И да, она применима только к код, Ivan_83 (ok), 15:35 , 15-Янв-25, (123)

Ну, бывает Что дальше Будешь кодить для себя любимого Это пока не применима Н, Аноним (-), 15:40 , 15-Янв-25, (126)

А я и пишу для себя, просто одно время решил что стоит делится так тоже юзаю чуж, Ivan_83 (ok), 15:54 , 15-Янв-25, (136)

А вот не знаю, не знаю Если с точки зрения юристов, каждый раз как ты выкладыва, Аноним (-), 16:27 , 15-Янв-25, (144)

Говорю же - упоротых нет Даже вон санкции не сильно старались делать, а там то м, Ivan_83 (ok), 16:33 , 15-Янв-25, (145)

Ну если каким то людям что то надо - то пусть сами и делают или заплатят за это , Ivan_83 (ok), 15:33 , 15-Янв-25, (122)

Правильно Для себя можно что угодно делать А как только хотя бы копейку за код п, Аноним (-), 15:40 , 15-Янв-25, (127)

Копейкой - подотритесь Даже у венды и прочих продающих софт за деньги корпораций, Ivan_83 (ok), 16:01 , 15-Янв-25, (137)

Ну да, ну да Ядро линя сейчас пишется прям для себя, десятки проектов сидящих н, Анонимусс (-), 15:45 , 15-Янв-25, (131)

Лучшесть мира не в отсутствии редких баго в коде , Ivan_83 (ok), 16:02 , 15-Янв-25, (138)

На ржавом наверное уже переписали Хотя подождите, нужно же сначала написать к, Нуину (?), 00:45 , 15-Янв-25, (34) +4

а эмодзи для ридми кто будет выбирать , 12yoexpert (ok), 00:54 , 15-Янв-25, (36) +2

Напрягает, что автор этих ляпов rsync попутно является лидером Samba А в том ко, Аноним (37), 01:05 , 15-Янв-25, (37) +1

Ваще ни разу не удивлен opennet ru opennews art shtml num 56615 Удалённая root-, Аноним (-), 01:22 , 15-Янв-25, (38) +1

А т е типикал сишник-омнокодер решил одаривать людей своими выдающимися тал, Аноним (-), 01:31 , 15-Янв-25, (44) –1
это всё фичи были кто ж знал что вы так внять будете и придёться их прикрыть, Аноним (68), 09:38 , 15-Янв-25, (69)

Напрягает - не пользутесь , Ivan_83 (ok), 03:10 , 15-Янв-25, (54) +2

Имеются сомнения в чистоте релиза Andrew Tridgell последние 20 лет не релизил rs, Аноним (45), 01:49 , 15-Янв-25, (45) +3

Это то, о чем я твержу второе деятилетие, что подписи GPG PGP - это как страус п, OpenEcho (?), 02:41 , 15-Янв-25, (50)

Так и что дальше Ходить в интернет по паспорту , Ivan_83 (ok), 03:12 , 15-Янв-25, (55)

Заверять ЭЦП microsoft или apple жи Что вы все в коротких штанишках-то бегаете , User (??), 07:47 , 15-Янв-25, (64)

- А чего вы звоните в службу газа - А куда еще, если тут столкнулись скорая, пож, Аноним (-), 13:06 , 15-Янв-25, (87)

Тебе в баре просто наливают или могут доки спросить А на кассе Красное Белое ил, Аноним (-), 11:05 , 15-Янв-25, (80)

И работать это все будет примерно как все остальное, типа законов о блоггерах и , Аноним (91), 13:16 , 15-Янв-25, (91)

Ты уверен Вон была новость Предложение по перекладыванию ответственности за оши, Аноним (-), 13:53 , 15-Янв-25, (101)

У меня доки давно не спрашивали А в локации где я щас вино считается пищевым про, Ivan_83 (ok), 15:38 , 15-Янв-25, (125)

Так речь про европу и штаты Куда поедешь дальше, в Сомали , Аноним (-), 15:41 , 15-Янв-25, (128)

Во всякие южные америки как вариант Похоже есть ещё года 4 на сборы а может 8 , Ivan_83 (ok), 15:47 , 15-Янв-25, (133) +1

Паспорта не достаточно Надо еще теоретический и практический экзамен сдать, как, Аноним (37), 12:52 , 15-Янв-25, (85)

И обязательные справки из психо и нарко диспансеров , Аноним (37), 12:55 , 15-Янв-25, (86)
Что особенно угарно - все это предлагают, почему-то, анонимы А как же паспорт , Аноним (-), 13:41 , 15-Янв-25, (93)

И причем здесь ходить по интернету и верификация индивидума который взял на себя, OpenEcho (?), 13:07 , 15-Янв-25, (88)

Вы тоже не втыкаете зачем это авторам Мне за последние 10 лет за мой опенсорц з, Ivan_83 (ok), 15:44 , 15-Янв-25, (130)

Это как бы показатель нужности и важности сабжа Потому что за хороший продукт и , Аноним (-), 15:53 , 15-Янв-25, (135)

Нуда нуда, и сколько таких проектов от общего числа 0,0001 - так же как знамен, Ivan_83 (ok), 16:03 , 15-Янв-25, (139)

думаю просто 0 будет точнее Все более-менее коммерчески успешные проекты - на де, нах. (?), 17:15 , 15-Янв-25, (152)

Всё нормально, весной прошлого года Tridgell вернулся в проект https www open, Аноним (62), 07:04 , 15-Янв-25, (62)

Скрыто модератором, Аноним (-), 11:49 , 15-Янв-25, (82) –2
Очевидно, что такие вещи нельзя выкидывать в инет Или запускать в докере на худ, Соль земли (?), 13:49 , 15-Янв-25, (98)
Жесть похоже серъезная Мне обновление rsync даже в proxmox вчера прилетела, Анониматор (?), 14:08 , 15-Янв-25, (104)

Похоже это жж не спроста , Аноним (4), 14:57 , 15-Янв-25, (116)

Сообщения [Сортировка по времени | RSS]

4. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Аноним (4), 14-Янв-25, 23:37

Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.

Ответить | Правка | Наверх | Cообщить модератору

39. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +3 +/–

Сообщение от Аноним (39), 15-Янв-25, 01:22

Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!

Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором –6 +/–

Сообщение от Аноним (-), 15-Янв-25, 01:26

> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
Идите в пень со своим "безопасным языком", для вас есть соседняя тема.
Тут хватило бы писать не ногами, а руками.
А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.

Ответить | Правка | Наверх | Cообщить модератору

84. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (84), 15-Янв-25, 12:19

> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
Могу лишь повторить слова предыдущего Анонима, так как он сказал правильно. Идите со своим  "безопасным" куда вас послали.
>Идите в пень со своим "безопасным языком", для вас есть соседняя тема.
>Тут хватило бы писать не ногами, а руками.
>А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

103. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (103), 15-Янв-25, 14:07

>Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
Потому что проект _написан_, а не только сплошные рассуждения о безопасности. Ошибок нет только в тех проектах, которые еще не написали

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

107. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 14:12

> Потому что проект _написан_, а не только сплошные рассуждения о безопасности. Ошибок
> нет только в тех проектах, которые еще не написали
Ты не путай ошибки с намеренным вредом или как минимум халатностью.
Электрика который кинет оголенный провод просто на пол, будут долго и упорно сношать ТБ.
Производителя еды, который допустит попадание в продукты какой-то бяки набутылит потребнадзор.
Врача который ошибется, будет судить целая комиссия.
И только пограммисты считают, что за то овно которое они выдают, они не должны отвечать.

Ответить | Правка | Наверх | Cообщить модератору

111. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (111), 15-Янв-25, 14:21

Так ты перечислил сферы в которых ошибка влечет вред здоровью.
Очевидно, уровень аудита у ПО автопилота самолета и копирователя файликов разный. Во всяком случае на бумаге

Ответить | Правка | Наверх | Cообщить модератору

114. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (114), 15-Янв-25, 14:36

> Так ты перечислил сферы в которых ошибка влечет вред здоровью.
Не обязательно, ну подумаешь кто-то, от некачественной еды обделался. Просто постирает штаны.
> Очевидно, уровень аудита у ПО автопилота самолета и копирователя файликов разный. Во всяком случае на бумаге
Но есть еще и например материальный урон.
И дырявая копировалка файлов, которая позволит взломать сервак - это уже слегка болезненее.
А если она позволит например вести ддос или просто воровать платежные данные.
Сейчас когда в телефоне уже банк, страховка, куча фоток, включая личные.. оно просто должно быть корректным и надежным.
Чтобы не читать такие новости
"Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP "
opennet.ru/opennews/art.shtml?num=59746
"уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.
Уязвимость позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day). "
Т.е людей уже ломают просто разместив картинку на сайт.
ps угадай с одного раза на чем она была написана)

Ответить | Правка | Наверх | Cообщить модератору

142. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 16:14

"оно просто должно быть корректным и надежным." - это ваши личные хотелки которые вы пока не готовы оплачивать.
Возьмите весь опенсорц которым вы пользуетесь явно и не явно и организуйте фаундейшин чтобы платить авторам хотя бы по 120к бачей в год, тогда можем поговорить за качество, безопасность и прочие ваши фантазии.
Пока вы только хотите получать - можете получить в лучшем случае пожелание быть здоровым (на голову).

Ответить | Правка | Наверх | Cообщить модератору

5. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Я (??), 14-Янв-25, 23:43

Гит блейм в руки и всё узнаете

Ответить | Правка | Наверх | Cообщить модератору

8. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –2 +/–

Сообщение от Аноним (8), 14-Янв-25, 23:48

> Гит блейм в руки и всё узнаете
А там JinTan какой-нибудь.
И где ты его искать будешь?
Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"

Ответить | Правка | Наверх | Cообщить модератору

10. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 14-Янв-25, 23:51

Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. Скрыто модератором –1 +/–

Сообщение от Фнон (-), 14-Янв-25, 23:54

> Почему никто это не сделает и не опубликует результаты?
Потому что:
1. люди ленивые
2. всем пофиг
Но ты можешь поработать на благо общества.
>  Или кому то не выгодно чтобы мы узнали правду?
Все так привыкли к тому, что проект с содержанием "дыряшки в 82%" будет рассадником уязвимостей и багов.
Поэтьому никто не удивляется.

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором +3 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:01

О почему на Jia Tan все возбудились, а тут всем пофиг? Не думал что кому-то выгодно управлять фокусом внимания?

Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором +/–

Сообщение от Аноним (-), 15-Янв-25, 00:25

> О почему на Jia Tan все возбудились, а тут всем пофиг?
Предположу, что там был уже обнаруженный совершенный взлом.
И пострадавшие были заинтересованы в максимальной огласке.
А тут ХЗ, может было, может нет.
> Не думал что кому-то выгодно управлять фокусом внимания?
Естественно думал. Но уязвимостей так много, что если кричать "волк-волк" каждый раз, то разработчики просто разбегутся.
Т.к никто не захочет забесплатно писать код, а потом рисковать получить обвинения во внедрении какой-то бяки.
Я этой штукой не пользуюсь, так что точно не буду подымать волну.

Ответить | Правка | Наверх | Cообщить модератору

11. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Ayjy (?), 14-Янв-25, 23:51

Ух, список! Классный.
Наверное кто-то расстроится, раз такие бекдоры закрыли.
Или нет, если они уже не нужны))
ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.

Ответить | Правка | Наверх | Cообщить модератору

12. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (4), 14-Янв-25, 23:52

Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.

Ответить | Правка | Наверх | Cообщить модератору

68. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (68), 15-Янв-25, 09:36

в чём проблема добавить новых

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

73. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:31

> в чём проблема добавить новых
А зачем добавлять новые?
Там старых еще лет на сто припасено)))

Ответить | Правка | Наверх | Cообщить модератору

14. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –3 +/–

Сообщение от Анонимусс (?), 14-Янв-25, 23:57

Ахаха, т.е. мяу)
Отличная новость! Как раз расставляет все точки над i в споре из соседней темы))
"Запись за пределы выделенного буфера"
"Утечка содержимого неинициализированных данных из стека"
"Состояние гонки при работе с символическими ссылками"
Так это же... просто классическое дыряшечное бинго!
Особо радуют исправления вида:
- #define sum2_at(s, i)  ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len))
+ #define sum2_at(s, i)  ((s)->sum2_array + ((size_t)(i) * xfer_sum_len))
- s->sum2_array = new_array(char, s->count * xfer_sum_len);
+ s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len);
Бедняги, опять не запутались в типах и буферах!
Гениально! Оказывается нужно чистить память за собой!

+ // prevent possible memory leaks
+ memset(sum2, 0, sizeof sum2);

Ответить | Правка | Наверх | Cообщить модератору

15. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +10 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:00

Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?

Ответить | Правка | Наверх | Cообщить модератору

17. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:05

Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD
а мифические диды как писали дырявый код так и продолжают

Ответить | Правка | Наверх | Cообщить модератору

18. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 15-Янв-25, 00:07

Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.

Ответить | Правка | Наверх | Cообщить модератору

19. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:08

Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

148. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от WD40 (-), 15-Янв-25, 16:54

> Ты же в другой ветке будешь вопить чего это на раст переписывают
> всё подряд ЖD
> а мифические диды как писали дырявый код так и продолжают
Так вы что-то не хотите своим редсдох осом пользовться и прочими офигенными драйверами FAT на игого. А больше у aдeптов хруста пока ничего не получилось.
Даже вон консерво - и тот уже более 10 лет делают, а никто так и не юзает это нигде. Уж мозилла всех мегадевов уволила на мороз. И браузер вот-вот сдохнет. А консерв так до сих пор и не готов.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

20. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Фнон (-), 15-Янв-25, 00:10

Галочка, ты не поверишь! (с)
github.com/your-tools/rusync - Rust 99.1%
И еще куча других.
Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

23. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:16

Половины функционала нет?

Ответить | Правка | Наверх | Cообщить модератору

47. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от _ (??), 15-Янв-25, 02:13

На мотив бардовской песни:
... есть только C0C - за него и держись
;-)

Ответить | Правка | Наверх | Cообщить модератору

56. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:15

rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты.
Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

149. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 16:56

> Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.
Но вы то можете всех обломать - и поюзать это. Правда, не забудьте проверить кто там в совете директоров Хруст Файндейшн

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

22. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Аноним (-), 15-Янв-25, 00:11

> Чего ты на раст то не переписал?
А раст тут причем?
Зачем вы его приплетаете в тему про Rsync, который на си написан?
И как наличие или отсутствие раста оправдывает такие глупые ошибки?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

24. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 15-Янв-25, 00:17

Зачем приплетать дыряшечность? Которой нет.

Ответить | Правка | Наверх | Cообщить модератору

26. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (-), 15-Янв-25, 00:21

В смысле нет?
Уязвимости есть? Есть.
Исполнение кода злоумышленника есть? Есть!
"позволяет добиться выполнения своего кода на сервере"
Вот тебе и дырявость, как у шерета.

Ответить | Правка | Наверх | Cообщить модератору

27. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:24

Никакой связи уязвимость есть уязвимость она может быть где угодно.

Ответить | Правка | Наверх | Cообщить модератору

31. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:34

"запись за пределы выделенного буфера" не может быть где угодно

Ответить | Правка | Наверх | Cообщить модератору

60. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от АнонимичныйАноним (?), 15-Янв-25, 06:49

Если очень захотеть, то можно всё!
https://github.com/Speykious/cve-rs
;)
Обозначу сразу, что я не занимаю какую либо позицию в дискуссии, а просто прикалываюсь
Тем более, что в основном я пишу на (языкк (скобочек))

Ответить | Правка | Наверх | Cообщить модератору

83. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +4 +/–

Сообщение от Аноним (-), 15-Янв-25, 12:11

> Если очень захотеть
Да! На Расте для этого надо сделать много нетривиальных приседаний, на Си все сильно проще.
Наверно это имеют ввиду, когда пишут что Си - простой язык.

Ответить | Правка | Наверх | Cообщить модератору

146. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 16:36

Просто есть любители свободы которые за то чтобы каждый ходил со стволом и мог его применять когда потребуется без последствий.
И есть любители рабства, которым надо чтобы их жизнью кто то управлял.

Ответить | Правка | Наверх | Cообщить модератору

147. Скрыто модератором +/–

Сообщение от Аноним (-), 15-Янв-25, 16:46

А есть любители и стволов, и безопасности.
Которые сами носят ствол, но и требуют чтобы его давали только после получения справочки.
А чтобы совсем без законов - то это бандустаны вроде Сомали получаются.

Ответить | Правка | Наверх | Cообщить модератору

150. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 17:02

> Просто есть любители свободы которые за то чтобы каждый ходил со стволом
> и мог его применять когда потребуется без последствий.
> И есть любители рабства, которым надо чтобы их жизнью кто то управлял.
При том в данном случае управлять будет амазон, гугл и майкрософт, перехватившие управление хрусь фаундейшном. А заодно и репами с крейтами. И, кстати, кто гарантирует что вся эта шушера не отгрузит бэкдор?

Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

74. Скрыто модератором +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:33

> Зачем приплетать дыряшечность? Которой нет.
Как это нет???
Язык разработки - дыряшка.
(Тупые) уязвимости с памятью есть? Есть.
Так что тут дыряшечность на все 100%)))

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

51. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:07

Вы так старались, но у вас никогда нет ответа: сколько ущерба это принесло.
Мне это принесло скорее всего 0 ущерба, хоть у меня rsync и торчит наружу доступный для чтения уже лет 15.
Но я так и быть подумаю на досуге над тем чтобы возможно порезать возможности демона rsync по доступу к файлам, а пока просто потушил его пока обновления не прилетят.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

70. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (70), 15-Янв-25, 09:41

— Билл?
— Да, Гарри?
— Что это было, Билл?
— Это был Неуловимый Джо, Гарри.
— А почему его зовут Неуловимым Джо, Билл?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билл?
— Потому что он нафиг никому не нужен, Гарри.

Ответить | Правка | Наверх | Cообщить модератору

75. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:40

> но у вас никогда нет ответа: сколько ущерба это принесло.
Конечно, потому что этим нормальные люди не пользуются.
А ущерб васянам никто считать не будет.
Вот другие типикал дырени вполне себе посчитали.
Напр. для того же хадблида - 400к в месяц на перевыпуск сертов + реальные взломы гос структур и сервисов.
И ведь ты просто не знаешь, вдруг последние доки из Алмаз-Антея уперли из-за схожей проблемы))
> Мне это принесло скорее всего 0 ущерба
Прости, но на тебя как-то по...
Ты уже рассказывал в других тема, что у тебя на компе нет ничего ценного, нет никакой фин информации и так далее.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

117. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:21

400к в месяц - это ниочём для планеты, намного больше легко прокекается на электричестве при обновлении любого популярного дистра.

Ответить | Правка | Наверх | Cообщить модератору

58. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:50

А исправления вида поменять open() на openat() тебя радуют?
Или гниль с крестами сами такое делают, магически угадывая заранее?
https://github.com/RsyncProject/rsync/commit/b4a27ca25d0abb6...

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

94. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от пох. (?), 15-Янв-25, 13:42

кто-нибудь может объяснить, зачем рсвинк вообще лезет раскрывать симлинки?
По-моему это поведение что для сервера, что для клиента, должно быть затребуемо двумя разными неудобонабираемыми ключами, отключено в configure и на всякий случай обнесено #if 0
Потому что нужно примерно никому и никогда. Если в рсинкаемом лежит симлинк - вероятнее всего его надо просто скопировать как - симлинк, и никогда не надо по нему ничего проверять,и уж тем более копировать ВМЕСТО.
Я конечно понимаю что это кенгуру хвостом писали, но все же?

Ответить | Правка | Наверх | Cообщить модератору

118. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:22

Так оно и определяется ключами при вызове.

Ответить | Правка | Наверх | Cообщить модератору

151. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от нах. (?), 15-Янв-25, 17:10

ну то есть чтоб получить увизгвимость - надо самому старательно ее попросить?
Тогда расходимся, не на что тут смотреть.
(а так, между нами - на рсвинке основан дебмиррор - т.е. все зеркала дебианов и убунт)

Ответить | Правка | Наверх | Cообщить модератору

153. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от PnD (??), 15-Янв-25, 17:37

ЕМНИП, пейсатели имели непосредственное отношение к самбе. Что немного объясняет проф. деформацию.
Когда несколько лет назад заглядывал в код, там проверка КС (для пересылки только изменённых блоков, например) выполнялась через хэши MD4. И каша в ключах CLI — туда же.
С другой стороны, "better then nothing". Инструмент позволяет (после вдумчивого траха, но позволяет же!) делать довольно причудливые вещи. Про альтернативы я что-то пока не слышал. ("Поляна загажена." Можно хоть упереписываться, но попробуй убеди остальных что твоё — лучше.)
Чтобы не быть голословным. Вот полный клон ФС "куда-то ещё". На стороне "инициатора":
rsync -axHAXS --numeric-ids --delete --info=progress2 --bwlimit=131072 "${tmp}/" "rsync://${target}/${uuid}/"
А так примерно настраиваем "таргет" (чтобы rsync безопасТно не подропал всё вкусное):
[${uuid}]
use chroot = yes
munge symlinks = no
uid = root
gid = root
numeric ids = yes
path = /tmp/instances/${uuid}/./
list = yes
read only = no
max connections = 16
hosts allow = ${peer}
hosts deny = *
Понятно (надеюсь), что так делаем внутри доверенной сети.
* Можно померяться олдскульностью и забацать примерный аналог на (tar + netcat + pv + …). Но зачем?

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

66. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (66), 15-Янв-25, 08:49

> "Запись за пределы выделенного буфера"
> "Утечка содержимого неинициализированных данных из стека"
Hardened систему надо использовать, она отлавливает переполнения и утечки вовремя исполнения.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Фнон (-), 15-Янв-25, 00:19

И почему люди настолько упрямые, ака ослики, что не хотят просто использовать нормальные языки программирования.
Например С++.
Там есть и RAII, и умные указатели, и range-based for (в последних редакциях).
Но нет "будем использовать кривую эскопету и продолжать овнокодить" ((

Ответить | Правка | Наверх | Cообщить модератору

28. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:25

В любой язык вставят точно такую же уязвимость причем тут язык?

Ответить | Правка | Наверх | Cообщить модератору

33. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Фнон (-), 15-Янв-25, 00:38

> В любой язык вставят точно такую же уязвимость причем тут язык?
А ты уверен
1. что эту уязвимость встроили
2. что в любом другом языке она была такой же незаметной
?
Мне оно больше кажется банальной ошибкой.
И если использовать нормальные инструменты: ЯП, стат.анализаторы, санитайзеры и тд, то их появление можно значительно уменьшить.

Ответить | Правка | Наверх | Cообщить модератору

115. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 15-Янв-25, 14:56

Это кто тебе такую глупость вообще сказал? Что за нормальные инструменты?

Ответить | Правка | Наверх | Cообщить модератору

35. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от 12yoexpert (ok), 15-Янв-25, 00:53

хз. сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами заканчиваются

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

48. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от _ (??), 15-Янв-25, 02:17

Тьфуй! Если тебе нужен ЯП высокого уровня (а не Си), ну там - прилады какие насрябать ... то и бери высокоуровневый, а не смесь бульдога с удавам! :)

Ответить | Правка | Наверх | Cообщить модератору

57. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:18

Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно быстро.
По крайней мере этого умения будет хватать чтобы прочитать и понять код, а так же внести простые правки в него.
В крестовом месиве такое и близко не прокатывает.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

61. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от An (??), 15-Янв-25, 07:02

+
А если включать голову и проверять код всякими там анализаторами то и уязвимостей таких не будет.

Ответить | Правка | Наверх | Cообщить модератору

65. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 08:08

Не надо анализаторов и ничего включать, достаточно следовать простому правилу: везде где имя файла/папки принимается по сети или от потенциально враждебного источника нужно использовать openat() вместо open() и прочие ***at() функции для работы с файлами и папками.
Этому правилу уже лет 15 как минимум, все вебсервера прошлись по этому, как и сервера некоторых других протоколов.

Ответить | Правка | Наверх | Cообщить модератору

76. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +3 +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:42

> достаточно следовать простому правилу
А можете еще "озвучить простое правило" как перестать выходить за пределы буфера?
И заодно, как не переполнять инты и не делать даблфри?
Потому что проблемы с open() встречаются чуток реже чем предыдущие)))

Ответить | Правка | Наверх | Cообщить модератору

95. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Соль земли (?), 15-Янв-25, 13:44

> А можете еще "озвучить простое правило" как перестать выходить за пределы буфера?
Использовать функции, в которых явно задаёшь максимальный объём обрабатываемых данных. Обрабатываешь данные в фубере циклом этой функцией и каждый раз вычитаешь объём обработанных данных.
> И заодно, как не переполнять инты и не делать даблфри?
Перед free() проверять, что указатель не NULL.

Ответить | Правка | Наверх | Cообщить модератору

100. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (100), 15-Янв-25, 13:53

>> И заодно, как не переполнять инты и не делать даблфри?
> Перед free() проверять, что указатель не NULL.
Перед free() вообще не нужно проверять, что указатель не NULL.
Господи, ты хоть разберись с С и сутью double free, прежде чем советы тут давать.

Ответить | Правка | Наверх | Cообщить модератору

109. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Соль земли (?), 15-Янв-25, 14:14

Проверяешь, что указатель не NULL, делаешь free() и делаешь указатель NULL. Помоему рабочая схема.

Ответить | Правка | Наверх | Cообщить модератору

112. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (100), 15-Янв-25, 14:32

Рабочая только если у тебя лишь одна копия конкретного указателя на всю программу, чего в софте больше "Hello, world" не бывает.

Ответить | Правка | Наверх | Cообщить модератору

129. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Соль земли (?), 15-Янв-25, 15:43

Ну тогда передавай указатель на указатель, чтобы не делать копии.

Ответить | Правка | Наверх | Cообщить модератору

113. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (-), 15-Янв-25, 14:34

> Проверяешь, что указатель не NULL, делаешь free() и делаешь указатель NULL. Помоему рабочая схема.
Боже! *facepalm*
У тебя есть два разных указателя, которые указывают на один объект.
Ты делаешь free одному, после этого делаешь указатель NULL.
А потом весело и задорно делаешь free() другому! Который ВНЕЗАПНО не NULL))

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

132. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Соль земли (?), 15-Янв-25, 15:46

Зачем тебе 100500 копий одного и того же указателя, который ты даже менять не собираешься? Указатели и нужны, чтобы ссылаться на те же самые данные, а не просто одинаковые значения.

Ответить | Правка | Наверх | Cообщить модератору

102. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Котофалк (?), 15-Янв-25, 13:57

Да, да. Как раз сейчас смотрю на функцию копирования строк побайтно через буфер фиксированного размера. Всё же прекрасно в этой идее, что могло пойти не так? Вычитали кусочек, преобразовали, вычитали второй, преобразовали. Кто сказал "многобайтные символы"?

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

106. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Соль земли (?), 15-Янв-25, 14:11

Это уже другая проблема.

Ответить | Правка | Наверх | Cообщить модератору

108. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 14:13

> Это уже другая проблема.
Вы не понимаете! это другое!
Ты сказал как "решить" проблему с буфером.
Тебе привели контр пример.
Ты сливаешься.
Что-то я нифига не удивлен (с)

Ответить | Правка | Наверх | Cообщить модератору

110. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Соль земли (?), 15-Янв-25, 14:15

Ну проблема с выходом за пределы буфера решена. А ты привёл уже другую проблему, которая проявится только, если попытаться прочитать данные двухбайтной кодировкой.

Ответить | Правка | Наверх | Cообщить модератору

120. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:27

free() сам проверяет на NULL, поэтому такие проверки я из своего кода давно вычистил.
А вот занулить указатель после free() - да, часто бывает полезно не забывать.

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

119. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:25

Так достаточно вместе с указателем на буфер хранить размер буфера и размер данных в нём.
Дабл фри не будет если чётко отслеживать жизненный цикл выделенной памяти на уровне архитектуры приложения.
Переполнение интов - местами нужно, я лично не помню чтобы встречался в своей практике с переполнением на уровне арифремити.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

89. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 13:11

> Сишка простая и не перегруженная сахаром
> Сишка простая
> простая
double (*(*(*test(float(*a)(void)))(char))(long))(int)
{
    printf("кровь из глаз\n");
}

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

52. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:08

Потому что кресты не нормальный язык, а очень перегруженный.
По сути вы предлагаете заменить английский на китайский.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

67. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (100), 15-Янв-25, 09:26

> Потому что кресты не нормальный язык, а очень перегруженный.
Да у тебя любой язык, кроме С, перегружен, потому что кроме С и Lua ты ничего не осилил 😂

Ответить | Правка | Наверх | Cообщить модератору

71. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (-), 15-Янв-25, 10:18

Конечно!
Любой язык, где больше чем около 30 ключевых слов, как в сишечке, - просто невероятно сложный и перегруженный. Это же придется учиться, доку читать! А она большая, скучная и без картинок!
А на сишечке любая обезьяна кодить может научиться. Некоторые даже самостоятельно.
Результаты чего мы сейчас собственно и наблюдаем.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

77. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от hrmhmmhtbdr (?), 15-Янв-25, 10:45

В любом ЯП примерно одинаковое количество ключевых слов: условия, циклы, классы, функции, константы, переменные, указатели...

Ответить | Правка | Наверх | Cообщить модератору

79. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (-), 15-Янв-25, 10:58

> В любом ЯП примерно одинаковое количество ключевых слов
Типичный кексперт в треде...
Ну и зачем ты так себя позоришь?
Открой хотя бы википедию en.wikipedia.org/wiki/Reserved_word
The number of reserved words varies widely from one language to another: C has about 30 while COBOL has about 400
А вот список слов по языкам
https://github.com/e3b0c442/keywords
ANSI C89 (32 keywords)
C17 (44 keywords)
C++20 (92 keywords)
Fortran 2008 (103 keywords)

Ответить | Правка | Наверх | Cообщить модератору

121. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:30

Потому что практика показывает что сложные языки плохо распространяются, ведь цель не знать язык а использовать его для выражения своих мыслей и чтений мыслей других.
Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое я могу сделать на массе других более простых языков?

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

124. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 15:36

> Потому что практика показывает что сложные языки плохо распространяются
С++, вытеснивыший сишку практически отовсюду с тобой не согласен.
> Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое
> я могу сделать на массе других более простых языков?
Чтобы писать надежные и быстрый софт, а не вот такое как новости.
Для тебя это конечно не причина, но для других людей - еще как.

Ответить | Правка | Наверх | Cообщить модератору

134. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:50

Не вытеснивший, даже дескптопные окружения далеко не все на крестах.
gnome, xfce по прежнему на С.
У меня rsync без проблем отработал лет 15, считаю его вполне надёжным, к скорости тоже претензий не было ибо он по сути упирается в сисколы которые упираются или в диски или в сеть.

Ответить | Правка | Наверх | Cообщить модератору

141. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 16:13

> Не вытеснивший
Неа
> gnome, xfce по прежнему на С.
Пффф... мы про норманый софт говорим, а не про эти васяноподелия от четырехпроцентников.
Хотя даже тут не все однозначно: единственное нормальное DE - KDE - написано на плюсах.
Браузеры (хром, лиса) на каком языке написаны? На плюсах.
Офисные пакеты (ms, libre) на каком языке написаны? На плюсах.
Графические редакторы (фотошоп, крита) на каком языке написаны? На плюсах (а вот такая ошибка природы как гимп - на сишке, да)))
Кады (AutoCAD, CATIA, даже freecad) на каком языке написаны? На плюсах.
Игровые движки на каком языке написаны? На плюсах.
Компиляторы на каком языке написаны? Тоже плюсах!
Мне продолжать или ты уловил суть?
Меня последний пункт больше всего радует - что компилятор си gcc пишут на плюсах)))
Хотя не помню до какой версии он был чисто на си.
Сишка сейчас осталась
или в очень больших проектах, которые исправлять экономически нецелесообразно,
или в дремучем легаси, которое исправит могила,
или где аймфинниш уперся рогом и не хочет признавать свои ошибки молодости
(хотя частично таки признал то что си убог и добавил раст).

Ответить | Правка | Наверх | Cообщить модератору

143. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 16:17

> Компиляторы на каком языке написаны? Тоже плюсах!
Далеко не все.
В остальном - да, не мало юзерского софта на крестах, но и С софта не меньше, просто он обычно в виде консольных утилит и демонов, коих по количеству сильно больше.

Ответить | Правка | Наверх | Cообщить модератору

154. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (100), 15-Янв-25, 17:58

> Потому что практика показывает что сложные языки плохо распространяются
Чья практика, лол. Тебя - человека, который осилил лишь сишку для своих личных хэлоуворлдов, и теперь искренне недоумевает, отчего же с плюсах и других языках появились разные фичи?
> не знать язык а использовать его для выражения своих мыслей и чтений мыслей других.
Да, чуть выше в обсуждении там как раз сишочные мысли с обнулением указателей на уаказатели. Осталось еще тему goto поднять - и вообще лчпота будет.
> Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое я могу сделать на массе других более простых языков?
Ты свои личные хэлоуворлды можешь хоть на Brainfuck писать, серьезно.

Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

29. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 00:25

"Я уже говорил тебе, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение."
Раз за разом повторяя одни и те же ошибки в мириадах вариаций, они продолжат писать также уже больше 30 лет. Почему?
"Вот я точно такую не допущу"?
"Это в не настоящие программисты, а вот я"?
Или может есть какие-то другие оправдания?
Почему они не хотят изменить свой же инструмент, чтобы перестать делать ошибки раз за разом? Почему они при этом так сильно противятся появлению других инструментов?

Ответить | Правка | Наверх | Cообщить модератору

32. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –3 +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:37

пхпшники и сишники - одного поля ягоды, только могила исправит

Ответить | Правка | Наверх | Cообщить модератору

40. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от OpenEcho (?), 15-Янв-25, 01:23

> Почему они не хотят изменить свой же инструмент
Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Не балоболы написали с нуля rclone, а другие только указывают на каком "правильном" языке надо переписать, но сами при этом - потребители...

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

42. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 01:29

> Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Вот только "воткнуть" не смог ты(((
Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Они не в состоянии улучшать язык без слома обратной совместимости?
> а другие только указывают
А другие уже написали аналог на нужном языке. И не на одном.
> но сами при этом - потребители...
Но-но, ЭТИМ я не пользуюсь!

Ответить | Правка | Наверх | Cообщить модератору

46. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Noname (??), 15-Янв-25, 02:03

> Они не в состоянии улучшать язык без слома обратной совместимости
Да, сделать его полностью безопасным, значит сломать совместимость. А так его улучшают, как могут.

Ответить | Правка | Наверх | Cообщить модератору

49. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от OpenEcho (?), 15-Янв-25, 02:27

> Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Ты сам то понял, что сейчас сказал? :)))
Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?

> Они не в состоянии улучшать язык без слома обратной совместимости?
А ты поробуй, - улучши то, что являестя дефакто стандартом почти пол столетия низкоуровнего ЯП. Его не надо улучшать. С должен именно оставаться таким, как он есть, - скальпелем, микроскопом,  чтобы можно было выкручивать на нем все, что только может ЛЮБАЯ хардварь и любая ОСЬ (а то и вообще без ОСи), без ограничений со стороны языка, типа мы лучше знаем что вам надо и сделаем за вас.
Если ты не заметил, то С уже улушили, С++ называется, в котором достаточно таких же плюшек как и в новомодном расте, а также улучшатели подняли планку чтоб воткнуть в язык и знать наизусть 1000+ страниц спецификации языка, чтоб его изпользовать на всю задуманную мощь.
Странно, что столько народу здесь не могут воткнуть в простую вещь - что во время написания rsync, тогда не было таких заморочек с секьюрностью, достаточно было дописать в конец .ехе или .сом файла пэйлоад, запатчить старт и вперед вирусня. И "С" был единоличным королем среди языков на то время и для той задачи что он выполняет - это был самый правильный выбор, т.к. С++ только стандартизировался. "С" и сейчас остается одним самых эффективных и сливает разве что только ассемблеру и в лоб опкодам. Да, требует однозначно большого внимания и наказывает сильно за ошибки, но микроскопом и не надо гвозди забывать... сейчас, а не 30 лет назад.
Сейчас есть новые инструменты, которые можно и нужно изпользовать, если не надо докапываться слишком далеко до сердца (привет ракетостроителям и всем кто в ring0).
Но тогда, когда появился rsync,  - этого  не было, поэтому не надо гнать на "С" дедушку, - он дал жизнь молодежи и это будет хамством гнать на родителей сейчас ...

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

72. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 10:29

> Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?
Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером, чтобы просто не писать мимо, как 30 лет назад? И в новом коде rsync использовать ее?
> Его не надо улучшать.
Угу, на нем лучше вообще не писать. А еще лучше - запретить законодательно)))
Как вредную, небезопасную вещь. Как в свое время запретили бенз со свинцом, асбест и фенольную изоляцию. Ну а про старый код говорить - не пользуйтесь им, а дидов сильно не ругайте))
> что во время написания rsync, тогда не было таких заморочек с секьюрностью
Еще как заметили. Но как писал какой-то анон - сейчас уже не 70е.
> он дал жизнь молодежи и это будет хамством гнать на родителей сейчас
Браво! Какая речь, какая речь!
Аж прослезился)))
А теперь спустить на землю и посмотри даты добавления омнокода из перечисленных уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору

92. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от OpenEcho (?), 15-Янв-25, 13:17

> Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером
А что если технически **надо** писать за пределы буфера?
Так сильно в бараний загон хочется спрятатся от волков?
>Угу, на нем лучше вообще не писать.
Так и не пиши, кесарю кесарево...
> А теперь спустить на землю и посмотри даты добавления омнокода из перечисленных уязвимостей.
И? Ты такой крутой что ошибок не делаешь, - никогда?
Выстави фотку, я ее на работе повешу, всем в пример

Ответить | Правка | Наверх | Cообщить модератору

96. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 13:45

>> Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером
> А что если технически **надо** писать за пределы буфера?
Значит бери старый механизм и пиши.
Ты где прочитал "и запретим старый вариант"?
> Так сильно в бараний загон хочется спрятатся от волков?
Надеюсь ты не соблюдаешь глупые ПДД, бегаешь через дорогу на красный свет и если пахнет газом просто зажигаешь спичку подсветить)
>>Угу, на нем лучше вообще не писать.
> Так и не пиши, кесарю кесарево...
А овнокодеру овнокодерово.

Ответить | Правка | Наверх | Cообщить модератору

99. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 13:49

> А что если технически **надо** писать за пределы буфера?
То ты глушишь ворнинг и используешь старый механизм.
И возможно пишешь большой развернутый комментарий с ччего это вдруг так было **надо**.
> Так сильно в бараний загон хочется спрятатся от волков?
Нет, хочу просто очистные сооружения вынести за пределы города.
А рядом бигборд "осторожно, тут нечистоты".
> Так и не пиши, кесарю кесарево...
Так и не пишу много лет. И только рад что свалил на нормальные языки.
Но каждый раз противно в нем ковыряться, когда приходится.
> И? Ты такой крутой что ошибок не делаешь, - никогда?
Ну раз ты перешел на личности - то обсуждение можно сворачивать.
Хотя даже немного удивлен, что это произошло настолько быстро))
А ведь это просто показательно, что "во время написания rsync" это совсем не 30 лет назад. И что они одинаково фигово пишут код что давно, что сейчас.

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

53. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:10

Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, всё остальное интересно мало.
Только фрикам интересен не функционал программы а язык на котором оно написано и чтобы обновление было сегодняшнее, потому что недельной давно уже жуткое легаси и там страшные уязвимости сами по себе завелись.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

78. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:52

> Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали
Это "привет из 80х" просто)))
Чувак, людям надо чтобы оно не просто выполнило нужные действия, но чтобы еще их не взломали при этом. Я понимаю, что тебе не понять такую простую вещь, но просто прими как есть - у людей бывает на компе важная и ценная информация. И если таких людей стало достаточно много, то появляется запрос от общества.
> Только фрикам интересен не функционал программы а язык на котором оно написано
К сожалению, некоторые языки и погромисты, на них пишушие, крайне склонны к тем или иным ошибкам. Просто статистически.
Пишут же на упаковке с продуктами состав, чтобы каждый потребитель мог увидеть что там пальмовое масло вместо нормального животного жира, шкуры и жир вместо мяса, сахорозаменители, ммо и так далее.
Как раз чтобы у потребителя бы выбор - есть это или не есть.
Поэтому я за ввод маркировки для софта!
"Осторожно! в̶н̶у̶т̶р̶и̶ ̶г̶о̶в̶н̶о̶  внутри код написанный на макроасме из 70х"

Ответить | Правка | Наверх | Cообщить модератору

97. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (-), 15-Янв-25, 13:46

> К сожалению, некоторые языки и погромисты, на них пишушие, крайне
> склонны к тем или иным ошибкам. Просто статистически.
Объяви им бойкот, перейди на редокс, и не пользуйся неправильным софтом.

Ответить | Правка | Наверх | Cообщить модератору

105. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 14:08

>> К сожалению, некоторые языки и погромисты, на них пишушие, крайне склонны к тем или иным ошибкам. Просто статистически.
> Объяви им бойкот, перейди на редокс, и не пользуйся неправильным софтом.
Это страусиная позиция - делать вид что проблемы нету.
Мое решение:
- рассказывать всем, что такие языки опасны для использования, как пистолет без предохранителя, машина без тормозов или торстер в ванной
- рассказывать что есть такие замечательные вещи, как стат.анализаторы, санитайзеры и тд. И если вы видите проект без них - значит автору на пользователей просто плевать
- голосовать за депутатов и партии, которые продвигают административное наказание бракоделов - например Cyber Resilience Act
- добиться законодательного запрета использования дырявых языков в софте который пишется за налоги и/или государственных учреждениях
- сильнее наказывать корпов за утечки данных - пусть пользуются нормальными инструментами
Сейчас же никого не удивляет новости "наказали фабрику сыр, за то что сотрудники купались в сырье", "посадили в тюрьму производителя паленного сидра".
Надеюсь я доживу до новостей "аффтор кривой библиотеки получил штраф в Nк денег и год запрета писать код".

Ответить | Правка | Наверх | Cообщить модератору

123. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:35

Только первая же подобая новость убьёт опенсорц.
И да, она применима только к коду без лицензии, потому что в популярных лицензиях есть пункт что автор отвественности не несёт.

Ответить | Правка | Наверх | Cообщить модератору

126. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 15:40

>  Только первая же подобая новость убьёт опенсорц.
Ну, бывает. Что дальше? Будешь кодить для себя любимого.
> И да, она применима только к коду без лицензии, потому что
> в популярных лицензиях есть пункт что автор отвественности не несёт.
Это пока не применима. Но уверен, что ты знаешь, что любой договор - а лицензия это договор - не может быть выше законодательства страны.

Ответить | Правка | Наверх | Cообщить модератору

136. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:54

А я и пишу для себя, просто одно время решил что стоит делится так тоже юзаю чужие плоды бесплатно.
Так закон обратной силы не имеет, поэтому всё что выпущено не подпадает под него.
И законы локальные, так что одна долбанутая страна просто полуит премию дарвина от опенсорца после его принятия, а остальные не станут в это лезть.
Да в общем страна принявшая такой закон и так видимо долбанутая, ибо слишком много лезет в жизнь граждан/резидентов.

PS: просто появится лицензия в которой будет написано что выложенный текст - это произведение исскуства которое автор выложил на обозрение общественности и не возаржает чтобы общественность это использовала как ей вздумается.
Поэтому можешь подтерется своим законом уже сейчас.

Ответить | Правка | Наверх | Cообщить модератору

144. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 16:27

> Так закон обратной силы не имеет, поэтому всё что выпущено не подпадает под него.
А вот не знаю, не знаю. Если с точки зрения юристов, каждый раз как ты выкладываешь новую версию, будет считаться новым продуктом - то еще как подпадает.
> И законы локальные
До тех пор пока их не принимает ЕС и/или Штаты. Или даже вместе))
А за ними подтянется какая-то Автралия и прочие сателитты.
> Поэтому можешь подтерется своим законом уже сейчас.
На каждый хитрую гайку найдется свой болт.
Учти, что попытки нае... законодателей почему-то их очень злят.
Кроме того, ты сейчас говоришь про всяких частников вроде тебя.
Но есть же конторы, которые пишут опенсорс и получают за него деньги.
А некоторые еще и умудряются его государству продавать.
Достаточно будет вздрючить их... и этого уже будет достаточно, т.к. они гененрируют спрос на сотрудников. А всякие васяны роли не играют.

Ответить | Правка | Наверх | Cообщить модератору

145. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 16:33

Говорю же - упоротых нет.
Даже вон санкции не сильно старались делать, а там то материальный товар который в два клика никуда не переместится и не исчезнет.
Новые версии и новый код - станут произведением исскуства, потому начинай подтиратся уже сейчас.
И попутно уедут во всякие нигерии где такой дичи в законах нет.
Потому начинай подтиратся, твоей фантазии ничего не светит.

Ответить | Правка | Наверх | Cообщить модератору

122. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:33

Ну если каким то людям что то надо - то пусть сами и делают или заплатят за это.
А опенсорц пишется в основном для себя.
В остальном складывается ощущение что у вас в жизни других проблем нет.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

127. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 15:40

> А опенсорц пишется в основном для себя.
Правильно.
Для себя можно что угодно делать.
А как только хотя бы копейку за код получил - уже должно быть хорошо.
> В остальном складывается ощущение что у вас в жизни других проблем нет.
У меня есть много пробелем. И я хочу чтобы их стало меньше.
Например чтобы я был уверен, что с моего телефона не сворую карточки из банковского приложения. Или из браузера.

Ответить | Правка | Наверх | Cообщить модератору

137. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 16:01

Копейкой - подотритесь.
Даже у венды и прочих продающих софт за деньги корпораций написан отказ от отвественности.
И чтобы вы понимали тот софт который я выложил на гитхуб должен был бы стоить от 5к баксов за пользователя, ну чтобы мне как то на жизнь типа хлеба с водой хватало, ибо пользователей мало.
Но раз вы не обеспечиваете мою жизнь а пользуетесь бесплатно или за донаты в виде "на чашку кофе" то: "спасибо что пользуетесь, удачи вам и хорошего настроения!" и ничего более.

Ответить | Правка | Наверх | Cообщить модератору

131. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Анонимусс (-), 15-Янв-25, 15:45

> А опенсорц пишется в основном для себя.
Ну да, ну да. Ядро линя сейчас пишется прям для себя, десятки проектов сидящих на донатах тоже для себя, но главое никто ни за что не отвечает.
> В остальном складывается ощущение что у вас в жизни других проблем нет.
Ну, есть такое.
Живу в спокойной стране с неплохой зп айтишника, сюда прихожу когда скучно))
Но это же не повод не пытаться сделать мир лучше!

Ответить | Правка | К родителю #122 | Наверх | Cообщить модератору

138. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 16:02

Лучшесть мира не в отсутствии редких баго в коде.

Ответить | Правка | Наверх | Cообщить модератору

34. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +4 +/–

Сообщение от Нуину (?), 15-Янв-25, 00:45

На ржавом наверное уже переписали... Хотя подождите, нужно же сначала написать конкурентый прогрессбар и раскраску для консоли, а это подождет. Бонусом можно будет стебать си.

Ответить | Правка | Наверх | Cообщить модератору

36. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от 12yoexpert (ok), 15-Янв-25, 00:54

а эмодзи для ридми кто будет выбирать?

Ответить | Правка | Наверх | Cообщить модератору

37. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (37), 15-Янв-25, 01:05

Напрягает, что автор этих ляпов rsync попутно является лидером Samba. А в том коде черт ногу сломит.

Ответить | Правка | Наверх | Cообщить модератору

38. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (-), 15-Янв-25, 01:22

> Напрягает, что автор этих ляпов rsync попутно является лидером Samba.
Ваще ни разу не удивлен.
opennet.ru/opennews/art.shtml?num=56615
"Удалённая root-уязвимость в Samba"
CVE-2021-44142 позволяет удалённому атакующему выполнить произвольный код с правами root на системе с уязвимой версией Samba. Проблеме присвоен уровень опасности 9.9 из 10.
opennet.ru/opennews/art.shtml?num=57978
"Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога"
CVE-2022-3437 - переполнение буфера в функциях unwrap_des() и unwrap_des3()
CVE-2022-3592 - возможность выхода за границы экспортируемого каталога ... через манипуляции с символическими ссылками.
"Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера"
opennet.ru/opennews/art.shtml?num=58135
"Уязвимость в модуле ksmbd ядра Linux, позволяющая удалённо выполнить свой код"
https://www.opennet.ru/opennews/art.shtml?num=58377

Ответить | Правка | Наверх | Cообщить модератору

44. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (-), 15-Янв-25, 01:31

А... т.е. типикал сишник-омнокодер решил одаривать людей своими выдающимися "талантами" не в одном проекте, а сразу в нескольких?
Похвально, похвально!
Наверное у АНБ расценки упали, ну или может все дело в инфляции и госдолге, раз ему приходится в поте лица трудиться на благо всего сообщества)))

Ответить | Правка | Наверх | Cообщить модератору

69. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (68), 15-Янв-25, 09:38

это всё фичи были. кто ж знал что вы так внять будете и придёться их прикрыть

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

54. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:10

Напрягает - не пользутесь.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

45. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +3 +/–

Сообщение от Аноним (45), 15-Янв-25, 01:49

Имеются сомнения в чистоте релиза.
Andrew Tridgell последние 20 лет не релизил rsync, а ключ, которым подписан релизный коммит нигде не опубликован.
Есть и другие нестыковки, которые напоминают ситуацию с xz.
https://bugs.gentoo.org/948106#c2

Ответить | Правка | Наверх | Cообщить модератору

50. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от OpenEcho (?), 15-Янв-25, 02:41

> а ключ, которым подписан релизный коммит нигде не опубликован.
Это то, о чем я твержу второе деятилетие, что подписи GPG/PGP - это как страус прячется в песок.
Абсолютно любой, может пойти и выпустить свой ключ под чужим именем. Нет верификации - нет доверия, хоть чем подписывай. Даже очень крупные проекты не имееют кросс подписей на ключах, типа - "верьте нам все на слово, что это правда те за кого мы себя выдаем", мы ж там на сайтике ХЗ выложили подписи, вот и верьте. Веботраст как не работал так и не работает, для цивилизованных, а вот засранцы-вредители, очень даже верифицируют друга друга, при личной встречи и из рук в руки.

Ответить | Правка | Наверх | Cообщить модератору

55. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:12

Так и что дальше?
Ходить в интернет по паспорту?

Ответить | Правка | Наверх | Cообщить модератору

64. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от User (??), 15-Янв-25, 07:47

Заверять ЭЦП microsoft или apple жи! Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...

Ответить | Правка | Наверх | Cообщить модератору

87. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 13:06

> Заверять ЭЦП microsoft или apple жи!
> Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...
- А чего вы звоните в службу газа?
- А куда еще, если тут столкнулись скорая, пожарные и полиция?!
В смысле, в соседней новости нагамнякал - сотрудник майкрософт.

Ответить | Правка | Наверх | Cообщить модератору

80. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 11:05

> Так и что дальше?
> Ходить в интернет по паспорту?
Тебе в баре просто наливают или могут доки спросить? А на кассе Красное&Белое или любого аналога бухло-ленда?
В магазе я могу попросить посмотреть доки на мясо/молочку, да на все что захочу.
И мне обязаны их показать.
Даже если ты раздаешь что-то бесплатно, то оно тоже должно быть надлежащего качества.
Если тебя норм ситуации с ЖинТянʼами - то ок.
Но как только большинству такое станет не норм, то ты останешься в меньшинстве и общество тебя просто заставит.
Введут закон что программы с кол-во скачек больше 5000 обязаны подписываться госуслугами)

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

91. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (91), 15-Янв-25, 13:16

> Введут закон что программы с кол-во скачек больше 5000 обязаны подписываться госуслугами)
И работать это все будет примерно как все остальное, типа законов о блоггерах и чего там еще. Т.е. кто-то уйдет в подполье, кто-то переедет в менее геморную юрисдикцию, а суммарно - 90% софта продолжит делаться в америке и толку будет - буй. И, конечно, у себя они все это делать не будут. А вам то можно и пролоббировать. Попутно выписывая другой рукой H1B, конечно.

Ответить | Правка | Наверх | Cообщить модератору

101. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 13:53

> а суммарно - 90% софта продолжит делаться в америке и толку будет - буй. И, конечно, у  себя они все это делать не будут.
Ты уверен?
Вон была новость "Предложение по перекладыванию ответственности за ошибки в открытом коде" от ВНЕЗАПНО чувака из ИБМ.
Кто бы мог подумать!
А вот бракоделы из Дебиана выступают против "Разработчики Debian опубликовали заявление, связанное с законопроектом Cyber Resilience Act" [2]
> А вам то можно и пролоббировать. Попутно выписывая другой рукой H1B, конечно.
хаха, вот нам уж точно никто лоббировать не будет.
Т.к их устраивает чтобы у нас был дырявый код с бекдорами
[1] opennet.ru/opennews/art.shtml?num=60273
[2] opennet.ru/opennews/art.shtml?num=60358

Ответить | Правка | Наверх | Cообщить модератору

125. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:38

У меня доки давно не спрашивали.
А в локации где я щас вино считается пищевым продуктом и на него нет возрастных ограничений - те его и детям продавать обязаны.

> Даже если ты раздаешь что-то бесплатно, то оно тоже должно быть надлежащего качества.
Не должно.
Об этом прямо написано в любой популярной лицензии.
Не равится - не используйте.

PS: вы там у себя вводите что угодно, я сменил юрисдикцию и не собираюсь в этот унылый цирк возвращатся.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

128. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 15:41

> PS: вы там у себя вводите что угодно, я сменил юрисдикцию и  не собираюсь в этот унылый цирк возвращатся.
Так речь про европу и штаты.
Куда поедешь дальше, в Сомали?

Ответить | Правка | Наверх | Cообщить модератору

133. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:47

Во всякие южные америки как вариант.
Похоже есть ещё года 4 на сборы а может 8 :)

Ответить | Правка | Наверх | Cообщить модератору

85. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (37), 15-Янв-25, 12:52

>Ходить в интернет по паспорту?
Паспорта не достаточно. Надо еще теоретический и практический экзамен сдать, как на права вождения автомобиля.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

86. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (37), 15-Янв-25, 12:55

И обязательные справки из психо и нарко диспансеров!

Ответить | Правка | Наверх | Cообщить модератору

93. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 13:41

> Паспорта не достаточно. Надо еще теоретический и практический экзамен
> сдать, как на права вождения автомобиля.
Что особенно угарно - все это предлагают, почему-то, анонимы. А как же паспорт?! Можете начать с себя, например.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

88. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от OpenEcho (?), 15-Янв-25, 13:07

> Так и что дальше?
> Ходить в интернет по паспорту?
И причем здесь ходить по интернету и верификация индивидума который взял на себя ответственность за свое детище?
21 век, спаммеры и маркетологи и то лучше идентифицируют, чем  эта фикция.
Люди пишут серьезные логические инструменты, но в банальную логику, что король то голый - не втыкают.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

130. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 15:44

Вы тоже не втыкаете: зачем это авторам?
Мне за последние 10 лет за мой опенсорц задонатили меньше 100 баксов, вы серьёзно думаете что при таком уровне оплаты я не пошлю куда подальше всех желающих мне навязать что то делать?
Основная причина по которой я не послал гитхуб с их мультифактором - возможность писать багрепорты. Не основная - там был TOTP который можно считать даже в скриптах прикрученных в гут пуш хукам.

Ответить | Правка | Наверх | Cообщить модератору

135. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 15:53

> Мне за последние 10 лет за мой опенсорц задонатили меньше 100 баксов
Это как бы показатель нужности и важности сабжа.
Потому что за хороший продукт и донатят, и деньги за фичи платят, ну и корпы могут скидываться.

Ответить | Правка | Наверх | Cообщить модератору

139. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 16:03

Нуда нуда, и сколько таких проектов от общего числа? 0,0001% - так же как знаменитых художников, артистов и прочих целебрити.

Ответить | Правка | Наверх | Cообщить модератору

152. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от нах. (?), 15-Янв-25, 17:15

> Нуда нуда, и сколько таких проектов от общего числа? 0,0001%
думаю просто 0 будет точнее.
Все более-менее коммерчески успешные проекты - на деньги корпораций. Потому что у тех их - вагоны. И совершенно не жаль.
Напомнить отношение автора паленой луны к донатикам? Даже он со своими тремя пользователями в них совершенно не нуждается - ему от поисковых систем в сто раз больше перепадает.
А если ты не можешь своих пользуемых перепродать кому-то - расслабься, миллионером тебе не быть.

Ответить | Правка | Наверх | Cообщить модератору

62. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (62), 15-Янв-25, 07:04

Всё нормально, весной прошлого года Tridgell  вернулся в проект https://www.opennet.ru/60941 Это его первый релиз, после возвращение в сопровождающие, поэтому и ключ новый.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

82. Скрыто модератором –2 +/–

Сообщение от Аноним (-), 15-Янв-25, 11:49

Пока что за программы на Си дают деньги, но недалек тот час, когда за программы на Си начнут давать по морде.

Ответить | Правка | Наверх | Cообщить модератору

98. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Соль земли (?), 15-Янв-25, 13:49

Очевидно, что такие вещи нельзя выкидывать в инет. Или запускать в докере на худой конец.

Ответить | Правка | Наверх | Cообщить модератору

104. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Анониматор (?), 15-Янв-25, 14:08

Жесть похоже серъезная. Мне обновление rsync даже в proxmox вчера прилетела

Ответить | Правка | Наверх | Cообщить модератору

116. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 15-Янв-25, 14:57

Похоже это жж не спроста.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+2 +/–
Сообщение от Аноним (4), 14-Янв-25, 23:37
Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+3 +/–
	Сообщение от Аноним (39), 15-Янв-25, 01:22
	Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. Скрыто модератором	–6 +/–
	Сообщение от Аноним (-), 15-Янв-25, 01:26
	> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью! Идите в пень со своим "безопасным языком", для вас есть соседняя тема. Тут хватило бы писать не ногами, а руками. А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Аноним (84), 15-Янв-25, 12:19
	> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью! Могу лишь повторить слова предыдущего Анонима, так как он сказал правильно. Идите со своим "безопасным" куда вас послали. >Идите в пень со своим "безопасным языком", для вас есть соседняя тема. >Тут хватило бы писать не ногами, а руками. >А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.
	Ответить \| Правка \| К родителю #39 \| Наверх \| Cообщить модератору


	103. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (103), 15-Янв-25, 14:07
	>Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью! Потому что проект _написан_, а не только сплошные рассуждения о безопасности. Ошибок нет только в тех проектах, которые еще не написали
	Ответить \| Правка \| К родителю #39 \| Наверх \| Cообщить модератору


	107. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (-), 15-Янв-25, 14:12
	> Потому что проект _написан_, а не только сплошные рассуждения о безопасности. Ошибок > нет только в тех проектах, которые еще не написали Ты не путай ошибки с намеренным вредом или как минимум халатностью. Электрика который кинет оголенный провод просто на пол, будут долго и упорно сношать ТБ. Производителя еды, который допустит попадание в продукты какой-то бяки набутылит потребнадзор. Врача который ошибется, будет судить целая комиссия. И только пограммисты считают, что за то овно которое они выдают, они не должны отвечать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	111. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Аноним (111), 15-Янв-25, 14:21
	Так ты перечислил сферы в которых ошибка влечет вред здоровью. Очевидно, уровень аудита у ПО автопилота самолета и копирователя файликов разный. Во всяком случае на бумаге
	Ответить \| Правка \| Наверх \| Cообщить модератору


	114. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (114), 15-Янв-25, 14:36
	> Так ты перечислил сферы в которых ошибка влечет вред здоровью. Не обязательно, ну подумаешь кто-то, от некачественной еды обделался. Просто постирает штаны. > Очевидно, уровень аудита у ПО автопилота самолета и копирователя файликов разный. Во всяком случае на бумаге Но есть еще и например материальный урон. И дырявая копировалка файлов, которая позволит взломать сервак - это уже слегка болезненее. А если она позволит например вести ддос или просто воровать платежные данные. Сейчас когда в телефоне уже банк, страховка, куча фоток, включая личные.. оно просто должно быть корректным и надежным. Чтобы не читать такие новости "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP " opennet.ru/opennews/art.shtml?num=59746 "уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Уязвимость позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day). " Т.е людей уже ломают просто разместив картинку на сайт. ps угадай с одного раза на чем она была написана)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	142. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+2 +/–
	Сообщение от Ivan_83 (ok), 15-Янв-25, 16:14
	"оно просто должно быть корректным и надежным." - это ваши личные хотелки которые вы пока не готовы оплачивать. Возьмите весь опенсорц которым вы пользуетесь явно и не явно и организуйте фаундейшин чтобы платить авторам хотя бы по 120к бачей в год, тогда можем поговорить за качество, безопасность и прочие ваши фантазии. Пока вы только хотите получать - можете получить в лучшем случае пожелание быть здоровым (на голову).
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
Сообщение от Я (??), 14-Янв-25, 23:43
Гит блейм в руки и всё узнаете
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–2 +/–
	Сообщение от Аноним (8), 14-Янв-25, 23:48
	> Гит блейм в руки и всё узнаете А там JinTan какой-нибудь. И где ты его искать будешь? Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (4), 14-Янв-25, 23:51
	Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	13. Скрыто модератором	–1 +/–
	Сообщение от Фнон (-), 14-Янв-25, 23:54
	> Почему никто это не сделает и не опубликует результаты? Потому что: 1. люди ленивые 2. всем пофиг Но ты можешь поработать на благо общества. > Или кому то не выгодно чтобы мы узнали правду? Все так привыкли к тому, что проект с содержанием "дыряшки в 82%" будет рассадником уязвимостей и багов. Поэтьому никто не удивляется.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. Скрыто модератором	+3 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:01
	О почему на Jia Tan все возбудились, а тут всем пофиг? Не думал что кому-то выгодно управлять фокусом внимания?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. Скрыто модератором	+/–
	Сообщение от Аноним (-), 15-Янв-25, 00:25
	> О почему на Jia Tan все возбудились, а тут всем пофиг? Предположу, что там был уже обнаруженный совершенный взлом. И пострадавшие были заинтересованы в максимальной огласке. А тут ХЗ, может было, может нет. > Не думал что кому-то выгодно управлять фокусом внимания? Естественно думал. Но уязвимостей так много, что если кричать "волк-волк" каждый раз, то разработчики просто разбегутся. Т.к никто не захочет забесплатно писать код, а потом рисковать получить обвинения во внедрении какой-то бяки. Я этой штукой не пользуюсь, так что точно не буду подымать волну.
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
Сообщение от Ayjy (?), 14-Янв-25, 23:51
Ух, список! Классный. Наверное кто-то расстроится, раз такие бекдоры закрыли. Или нет, если они уже не нужны)) ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Аноним (4), 14-Янв-25, 23:52
	Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (68), 15-Янв-25, 09:36
	в чём проблема добавить новых
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	73. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Анонимусс (-), 15-Янв-25, 10:31
	> в чём проблема добавить новых А зачем добавлять новые? Там старых еще лет на сто припасено)))
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–3 +/–
Сообщение от Анонимусс (?), 14-Янв-25, 23:57
Ахаха, т.е. мяу) Отличная новость! Как раз расставляет все точки над i в споре из соседней темы)) "Запись за пределы выделенного буфера" "Утечка содержимого неинициализированных данных из стека" "Состояние гонки при работе с символическими ссылками" Так это же... просто классическое дыряшечное бинго! Особо радуют исправления вида: - #define sum2_at(s, i) ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len)) + #define sum2_at(s, i) ((s)->sum2_array + ((size_t)(i) * xfer_sum_len)) - s->sum2_array = new_array(char, s->count * xfer_sum_len); + s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len); Бедняги, опять не запутались в типах и буферах! Гениально! Оказывается нужно чистить память за собой! + // prevent possible memory leaks + memset(sum2, 0, sizeof sum2);
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+10 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:00
	Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от чатжпт (?), 15-Янв-25, 00:05
	Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD а мифические диды как писали дырявый код так и продолжают
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (4), 15-Янв-25, 00:07
	Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:08
	Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	148. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от WD40 (-), 15-Янв-25, 16:54
	> Ты же в другой ветке будешь вопить чего это на раст переписывают > всё подряд ЖD > а мифические диды как писали дырявый код так и продолжают Так вы что-то не хотите своим редсдох осом пользовться и прочими офигенными драйверами FAT на игого. А больше у aдeптов хруста пока ничего не получилось. Даже вон консерво - и тот уже более 10 лет делают, а никто так и не юзает это нигде. Уж мозилла всех мегадевов уволила на мороз. И браузер вот-вот сдохнет. А консерв так до сих пор и не готов.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	20. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Фнон (-), 15-Янв-25, 00:10
	Галочка, ты не поверишь! (с) github.com/your-tools/rusync - Rust 99.1% И еще куча других. Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	23. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+2 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:16
	Половины функционала нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+2 +/–
	Сообщение от _ (??), 15-Янв-25, 02:13
	На мотив бардовской песни: ... есть только C0C - за него и держись ;-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Ivan_83 (ok), 15-Янв-25, 03:15
	rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты. Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	149. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (-), 15-Янв-25, 16:56
	> Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры. Но вы то можете всех обломать - и поюзать это. Правда, не забудьте проверить кто там в совете директоров Хруст Файндейшн
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору