The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в RubyGems.org, позволяющая подменить чужие пакеты"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в RubyGems.org, позволяющая подменить чужие пакеты"  +/
Сообщение от opennews (??), 09-Май-22, 09:59 
В репозитории пакетов RubyGems.org выявлена критическая уязвимость (CVE-2022-29176), позволяющая без наличия должных полномочий подменить некоторые чужие пакеты в репозитории путём инициирования изъятия (yank) легитимного пакета и загрузки вместо него другого файла с тем же именем и номером версии...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57155

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 09-Май-22, 09:59   +4 +/
Очередное доказательство превосходства ANSI C над скриптухой типа java, rust, ruby и подобными
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от Онаним (?), 09-Май-22, 10:01   +2 +/
Да не, ну если к сям приделать такое же убожество вида "затяни покед с покедами автоматом" - будет то же самое. Тут не в язычках дело, а в аудитории.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

6. Сообщение от анонимоузе (?), 09-Май-22, 10:21   +2 +/
Дефис же, потому что "-". Тире "—".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

7. Сообщение от Sergey (??), 09-Май-22, 10:22   +/
Итерсно а как поможет фрозен если уже прилетел. Насколько я помню фрозен морозит автоматом то что уже прилитело.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

9. Сообщение от КО (?), 09-Май-22, 10:35   +/
Продолжайте класть яйца в одну корзину
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

10. Сообщение от Аноним (10), 09-Май-22, 10:56   +2 +/
Кстати, почему в питоне такого не находили до сих пор, или я пропустил? Существуют ли какие-то объективные причины?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

11. Сообщение от Аноним (11), 09-Май-22, 11:36   +2 +/
Зато Ruby - безопасный язык. Переходите с Си на Ruby.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14

12. Сообщение от ip1982 (ok), 09-Май-22, 11:47   +1 +/
RubyGerms
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 09-Май-22, 11:52   +4 +/
вот же, ну что вы прицепились к Си:)
интерпретатор вашего Ruby где-то на треть написан на Сях:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Аноним (-), 09-Май-22, 11:59   –3 +/
черное это белое . для зомбей  - си один из САМЫХ БЕЗОПАСНЫХ языков если кто не в курсе. например руст даже не упоминается в списке. из зомбоящика вам навязали что если обезьяне дать гранату то она еще и пол дома разрушит, а то что ее надо обучать и окультуривать нигде и никто не говорит, потому для обезьяны будут только спешные шляпы и сарафаны, и если она будет тянуться к технологиям - бить палкой и заставлять носить смешной сарафан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15, #16

15. Сообщение от Аноним (15), 09-Май-22, 12:09   +6 +/
Если вы на сях пишете так же, как на русском, то за цивилизацию страшно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #18, #22

16. Сообщение от Аноним (13), 09-Май-22, 12:11   +/
увы, беда в том, что нет такой книги которая бы одновременно 1) учила "современному" языку Си, и 2) как безопасно писать на нем код: как обрабатывать ошибки, как тестировать и тд и тп 3) как писать многопоточные программы и всё что с этим связано.
по крайней мере я не знаю такую книгу, даже на английском:(
если кто-то знает, то поделитесь названием сего чуда:)
Все только могут с умным видом советовать книгу K&R:) которая увы не подходит по второму пункту! (про 3-й пункт я вообще молчу)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #17, #26, #77

17. Сообщение от Аноним (13), 09-Май-22, 12:13   +/
Я это к тому, что а потом дико удивляются что в программах на Си столько дырок:) что же эти великие гуру не напишут книгу, о том как надо писать код на Си?) а то, только и могут что жаловаться!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19

18. Сообщение от Fracta1L (ok), 09-Май-22, 12:14   +/
К счастью, в русском языке не принято жонглировать указателями, да и буфера переполнять любили только русские классики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от Аноним (-), 09-Май-22, 13:22   –1 +/
сколько еще книг разряда "вода мокрая и вот почему" нехватает ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #27

21. Сообщение от Аноним (21), 09-Май-22, 13:38   –3 +/
конкурент у npm
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (-), 09-Май-22, 14:21   –2 +/
> Если вы на сях пишете так же, как на русском, то за цивилизацию страшно.

На заметочку. Иногда вы вы..тесь грамацией перед людьми которые из стран где русский запрещен впринципе. Лично приходилось наблюдать понты кто во сколько лет убил своего первого русского. Фильтруйте свой помет товарищи. Подобными вы..нами вы настраиваете только против себя и это может закончиться очень и очень несмешно. Ведь процент реальных вражеских тролей обычно невелик, это ведь
все мы сами делаем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #39, #65

23. Сообщение от Аноним (23), 09-Май-22, 14:28   +/
> яйца в одну корзину

Ну почему в одну... есть же хруст.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #76

24. Сообщение от Онанистмус (?), 09-Май-22, 14:31   +/
ИМХО такое было со всеми более менее популярными репозиториями пакетов. С PyPI тоже такое было. Если такого не было значит все еще впереди )
https://www.developer.com/languages/python-pypi-vulnerabilit...,on%20the%20PyPi%20code%20base.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

26. Сообщение от Аноним (46), 09-Май-22, 14:48   +/
А где тогда такая книга для раста?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #54

27. Сообщение от Аноним (13), 09-Май-22, 14:51   +2 +/
ну вот очередной умник нарисовался! Вместо того чтобы предложить что-то конкреиное по делу (книгу в данном случае) - он тупо язвит!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #30, #32

29. Сообщение от Смузихлёб (ok), 09-Май-22, 15:43   +6 +/
> Ruby

Не ради холивара, а ради интереса. Сейчас кто-то использует этот язык для новых проектов? Или это (как java) уже давно исключительно поддержка legacy?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #41, #74

30. Сообщение от Аноним (-), 09-Май-22, 15:51   –2 +/
ты же не говоришь о своем уровне знаний.

ну навскидку дай ответ не думая на вопрос, в чем разница между:

char str[] = "string";
char *str = "string";
char *str = strdup("string");

дальше я скажу что дочитать

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #34, #37, #51, #67

32. Сообщение от Аноним (-), 09-Май-22, 15:55   +/
И еще задай мне вопрос по сям такой какой считаешь самым глубоким для себя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #57

33. Сообщение от Аноним (-), 09-Май-22, 16:01   –5 +/
ява легаси ? танегоните пожалуйста. ява это когда надо что-то больше хеловорлда. если хочется поспорить - поспорьте с китайским айти ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #47

34. Сообщение от Аноним (34), 09-Май-22, 16:31   +1 +/
Очевидно разница в том где будет произведено выделение памяти под строку "string".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35

35. Сообщение от Аноним (-), 09-Май-22, 16:34   –3 +/
с таким ответом - начинать с доброго старого К&R и не выеп..ться на форумах про си
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #59

36. Сообщение от YetAnotherOnanym (ok), 09-Май-22, 16:41   +/
Предполагается, что это фича для тех, кто проводит хоть какую-то минимальную проверку стороннего кода. Нужные фичи есть, не тормозит, не глючит, не крашится, зловреда не выявлено - можно зафризить, залочить, прибить гвоздями и больше на проверки время не тратить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

37. Сообщение от YetAnotherOnanym (ok), 09-Май-22, 16:59   +/
Оптимизатор: можете там отвечать как угодно, а разница будет такая, какую я сочту нужной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #38, #46

38. Сообщение от Аноним (-), 09-Май-22, 17:07   +/
тоже самое, начинать с К&R
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #43

39. Сообщение от Аноним (39), 09-Май-22, 17:08   +/
Кого настраивают, ботофермыили могилизированных?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

41. Сообщение от Аноним (46), 09-Май-22, 18:22   +/
Нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

42. Сообщение от Аноним (42), 09-Май-22, 18:23   +1 +/
Ну как, использовать языки программирования без пакетных менеджеров, вендорить и замораживать зависимости всё еще немодно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

43. Сообщение от YetAnotherOnanym (ok), 09-Май-22, 18:27   +/
> тоже самое, начинать с К&R

Доооо, гордый выпускничок, поучи меня.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #45

44. Сообщение от Аноним (46), 09-Май-22, 18:32   +/
Нет даже плюсовые проекты заставляют искать зависимости самому, а не кладут их рядом с собой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #53

45. Сообщение от Аноним (-), 09-Май-22, 18:34   +/
вопрос простейший. хак интервью со мной не пройдет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

46. Сообщение от Аноним (46), 09-Май-22, 18:34   –1 +/
Если ты не можешь определить разницу то как ты определишь нужную, монетку кинешь? Похоже у вас большие гуманитарные познания.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #50

47. Сообщение от Смузихлёб (ok), 09-Май-22, 18:35   +4 +/
Много ты стартапов знаешь на java? И что там по вакансиям для джунов? А то сплошные миддлы да сеньоры с опытом 5+ лет, в отличии от того же питона или пэхэпэ, где берут вообще чуть ли не без знаний 😉 А ведь именно наличие джуновских вакансий говорит о том, что язык скорее жив, чем мёртв.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #52

49. Сообщение от Аноним (49), 09-Май-22, 18:36   +/
Ох бэкдоры посыпались...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

50. Сообщение от Аноним (-), 09-Май-22, 18:41   +/
Не подсказывай !!! ниже второй турик на оценку знаний, прям туда пиши раз понял всю банальность вопроса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

51. Сообщение от Аноним (-), 09-Май-22, 18:47   +/
> ты же не говоришь о своем уровне знаний.
> ну навскидку дай ответ не думая на вопрос, в чем разница между:
> char str[] = "string";
> char *str = "string";
> char *str = strdup("string");

В том, что у тебя во втором случае у тебя не-const указатель на литерал, попытка модификации которого - будет UB.

Отличный пример!
> дальше я скажу что дочитать

Для начала, сам начни с более-менее актуального стандарта.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #56

52. Сообщение от Аноним (-), 09-Май-22, 18:55   –3 +/
Я больше про технологии и один из крутых "стартапов" как по мне запила группа али. А о том как делать бабки на "джунах" не надо мне рассказывать, эта схема умирает и к техническим тонкастям не имеет никакого отношения, ммм было круче в сто раз, какой там язык был ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #58

53. Сообщение от Аноним (42), 09-Май-22, 18:56   +/
Это создает опасность, что репозиторий зависимости будет удален или заражен или взломан или недоступен из определенных мест или засужен\заблокирован. А когда дублируешь в своём проекте - создаешь зеркало. Но вендоринг должен быть правильный и позволять использовать системные зависимости вместо завендоренных, а также менять завендоренные зависимости будь то ручное изменение кода или смена версии. Главное - сломать жёсткую привязку, к хостингам зависимостей, к репозиториям пакетных менеджеров языка, к системе контроля версий - вообще ко всем вещам, которые могут сильно поменяться или сломаться со временем.

Ну и отдельно хотелось бы поругаться на языки с пакетными менеджерами с точки зрения разработки операционных систем, очень трудно прикостыливать языковые и подъязыковые пакетные менеджеры к своему системному

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #72

54. Сообщение от Аноним (-), 09-Май-22, 18:59   +/
> А где тогда такая книга для раста?

А где Воен Против Раста тут раст углядел?


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

55. Сообщение от Аноним (23), 09-Май-22, 19:02   +/
Сейчас как только видишь где-то крэйты - сразу обходишь стороной продукт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #75

56. Сообщение от Аноним (-), 09-Май-22, 19:04   +/
Какие сутра спьяну может быть стандарт :D пиши свой вопрос ниже, можно со стандартами , константы вижу знаешь.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

57. Сообщение от Аноним (13), 09-Май-22, 19:04   +/
Ну вот вам типичный Сишный подводный камень!

assert(sizeof(int) == 4);  // предположим, что это утвержение гарантированно верно!

// а что на счет утверждений, указанные ниже, они верны?
// если нет, то какие не верны и почему?
assert((4294967295 - 4294967295) - 1 == -1);
assert((4294967295 - 4294967295) - 1 < 0);
assert(0xFFFFFFFF == 4294967295);
assert((0xFFFFFFFF - 0xFFFFFFFF) - 1 == -1);
assert((0xFFFFFFFF - 0xFFFFFFFF) - 1 < 0);

ПС: что касается вашего примера выше, лично я не понял вопрос:)
если вопрос был про stack, static и heap, то я в курсе что это такое:)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #60

58. Сообщение от Смузихлёб (ok), 09-Май-22, 19:13   +2 +/
> Я больше про технологии

Какие? Что там с UTF8? 🤣

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #61

59. Сообщение от Аноним (13), 09-Май-22, 19:19   +/
хотите получить определенный ответ, потрудитесь сперва сформулировать вопрос должным образом!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

60. Сообщение от Аноним (-), 09-Май-22, 19:19   –1 +/
> лично я не понял вопрос:)

банальные константы, ответ на которые даже мой парень знает, а он обычный курьер и сильно орнул с того что тут развели по поводу такого банального вопроса.

> а что на счет утверждений

странно что не указан конкретный процессор, ты же понимаешь что на некоторых будет по другому ? если да то и сам знаешь что читать или не читать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #62, #63

61. Сообщение от Аноним (-), 09-Май-22, 19:31   +/
ощущаю рождение шутки про иероглифы и кракозябры. проблемы кодировок, прохладный ветерок девяностых бррр
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

62. Сообщение от Аноним (13), 09-Май-22, 19:42   +/
Лучше научитесь грамотно формулировать свои вопросы, чтобы вас понимали другие люди, а не только ваш парень:)))

ПС: раз уж вам надо уточнять и такое казалось бы очевидное условие, то подразумевается обычный x86-64 процессор!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

63. Сообщение от Аноним (13), 09-Май-22, 20:56   +/
>>> банальные константы <<<

Кстати, мне вот просто любопытно:
Мне так и надо было ответить на ваш гениальный вопрос: банальные константы?:)
Может вы поясните, что вы подразумаете под этими "банальными константами"?
Давайте же, снизайдите до нас обычных смертных, и даруйте нам ответ на ваш столь грамотно сформулированный вопрос:) А то может вы сами не в курсе, что вы там написали:)))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #64

64. Сообщение от Аноним (-), 09-Май-22, 21:05   –1 +/

> Может вы поясните,

K&R - константы, все написано

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #66

65. Сообщение от Аноним (15), 09-Май-22, 21:09   +/
ЯННП
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

66. Сообщение от Аноним (13), 09-Май-22, 21:12   +/
Всё с вами понятно:) Вы сами не в курсе о чем говорите:) Только язвите и всячески уходите от ответа:)))
Но чтобы окончательно убедиться, что грошь вам цена, будьте так любезны ответьте на мой вопрос выше! Я там специально для вас сделал необходимое уточнение!) Продемонстриуйте свои сакральные знания:))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #68, #69

67. Сообщение от Аноним (-), 09-Май-22, 21:22   –1 +/
та я ваших керниганов с ритчами вертел .. а по факту кроме одного анона которому ничего не надо сходу не сказал что это константа. тест на знание, и я хорошо умею их проверять. да сложномуторно, если советуют именно КиР то явно просадка в базовых знаниях, надо просто взять и подтянуть их, а не огрызаться. никто не хочет вас унизить, темболее кругом аноны. лан, пойду щебенку раскидывать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

68. Сообщение от Аноним (-), 09-Май-22, 21:33   –1 +/
> Продемонстриуйте свои сакральные знания:))

да запросто - сидя на 64х битном процессоре, скопировал код задачки про 32х битные регистры и считаешь себя самым умным при этом даже не понимая как работает процессор ибо выглядит просто смешно и по детски. достаточно сакраментально ?

вообще речь шла о том что тут я проверяю и советую что читать тем у кого забомбило по поводу неинформативности. вот она информативность, полный интерактив который тупо слит в угоду детских травм некоторых анонов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #71

69. Сообщение от Аноним (-), 09-Май-22, 21:39   +/
прошу прощения, не один - а два анона знали ответ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

70. Сообщение от Аноним (70), 09-Май-22, 21:40   –2 +/
en-тире: –
em-тире: —
двойное em-тире: ⸺
тройное em-тире: ⸻

Учите TeX, лапти )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

71. Сообщение от Аноним (13), 09-Май-22, 21:42   +/
Я окончательно удостоверился, что вы вообще не разбираетесь в данном вопросе, если бы разбирались то без труда бы ответили на поставленный мной вопрос, поэтому разговор окончен!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

72. Сообщение от Аноним (-), 10-Май-22, 04:52   +/
Да, по тем же самым причинам следует отказаться от модели распространения линуксов, с их центральными репозиториями. Модель LFS получше будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

74. Сообщение от Аноним (-), 10-Май-22, 10:32   +/
NASA Langley Research Center использует Ruby для проведения моделирования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

75. Сообщение от Аноним (75), 10-Май-22, 14:05   +/
Все эти пакетные менеджеры как общественный туалет: зайдя туда лучше ничего не трогать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

76. Сообщение от Аноним (76), 15-Май-22, 15:15   +/
Хруст яиц необратим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

77. Сообщение от Анончик (?), 18-Май-22, 03:30   +/
https://www.manning.com/books/modern-c
не совсем новая, но для современного подойдет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру