The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в библиотеке Expat, приводящие к выполнению кода при обработке XML-данных

20.02.2022 11:08

В библиотеке Expat 2.4.5, используемой для разбора формата XML во многих проектах, включая Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python и Wayland, устранено пять опасных уязвимостей, четыре из которых потенциально позволяют организовать выполнение своего кода при обработке специально оформленных XML-данных в приложениях, использующих libexpat. Для двух уязвимостей сообщается о наличии рабочих эксплоитов. Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.

Выявленные уязвимости:

  • CVE-2022-25235 - переполнение буфера из-за некорректной проверки кодирования Unicode-символов, которое может привести (имеется эксплоит) к выполнению кода при обработке специально оформленных последовательностей 2- и 3-байтовых символов UTF-8 в именах XML-тегов.
  • CVE-2022-25236 - возможность подстановки символов разделения пространств имён в значения атрибутов "xmlns[:prefix]" в URI. Уязвимость позволяет организовать выполнение кода при обработке данных атакующего (имеется эксплоит).
  • CVE-2022-25313 - исчерпание стека при разборе блока "doctype" (DTD), проявляющиеся в файлах размером более 2 МБ, включающих очень большое число открывающихся скобок. Не исключено использование уязвимости для организации выполнения своего кода в системе.
  • CVE-2022-25315 - целочисленное переполнение в функции storeRawNames, которое проявляется только на 64-разрядных системах и требуется обработки гигабайтов данных. Не исключено использование уязвимости для организации выполнения своего кода в системе.
  • CVE-2022-25314 - целочисленное переполнение в функции copyString, которое проявляется только на 64-разрядных системах и требуется обработки гигабайтов данных. Проблема может привести к отказу в обслуживании.

Дополнение: Опубликовано обновление Expat 2.4.6, в котором устранено регрессивное изменение, вызванное исправлением уязвимости CVE-2022-25313 и приводящее к сбою при попытке разбора конструкций вида "<!ELEMENT junk ((bar|foo|xyz+), zebra*)>") в приложениях, применяющих функцию XML_SetElementDeclHandler.

  1. Главная ссылка к новости (https://blog.hartwork.org/post...)
  2. OpenNews: Уязвимость в XML библиотеках Apache, Python и Java
  3. OpenNews: Критическая уязвимость в библиотеке Libxml2
  4. OpenNews: Анализ использования фрагментов уязвимых библиотек в исполняемом коде
  5. OpenNews: 79% встроенных в код сторонних библиотек никогда не обновляются
  6. OpenNews: Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотек
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56731-expat
Ключевые слова: expat, xml
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (164) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ilyafedin (ok), 11:12, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    fontconfig тоже юзает, стоило упомянуть
     
  • 1.2, Аноним (2), 11:15, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Чем хороши такие уязвимости, что хрен проследишь где они могут проявиться. Кто-то обновит зависимость, но забудет перезапустить приложение, а кто то через много лет узнает, что его взломали через проприетарную программу, статически слинкованную со старой версией libexpat. Да что там проприетарные, куча открытого софта просто код библиотеки встраивает без связывания с библиотекой из дистрибутива (привет firefox).
     
     
  • 2.9, Аноним (9), 12:24, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Проблема вот в этом ...

    > Кто-то обновит зависимость, но забудет перезапустить приложение,

    Что бы кто-то там не обновлял если риск потерять аднные или утечки данных достаточно высок (стоит того что бы нанять разработчиков на полную ставку пересобирать свой дистрибутив и содержать отдел инфобеза), а если нет, то значит не так и важно все это ...

     
     
  • 3.71, i (??), 05:31, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кхм, ну как сказать, всякие требования тб пишутся кровью, не думаю, что данное направление будет исключением, пока админы справлются и держат периметр, никто и не подумает, что там есть кофликт интересов.
     
     
  • 4.163, Аноним (163), 18:48, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пишушие кровью дважды подумают совать ли свою бошку под пресс контролируемый огромным монстром за которого никто не отвечает. А вот тут пожалуйста, ацкий стандарт с кучей левых фич - и косяков в их реализации. При том что 99% софта пользуются этак 5% фич. Про остальные 95% все забыли, но они есть... и позволяют весьма интересные и неожиданные документы, глядя на которые мы удивленно говорим "ух ты, а так можно было?"
     
  • 2.15, OpenEcho (?), 14:47, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > а кто то через много лет узнает, что его взломали через проприетарную программу, статически слинкованную со старой версией libexpat.

    При статической компиляции, проблема будет только с той одной единственной той заброшенной(!!!) программой (и следовательно которая не нужна, раз не поддерживается), в отличии от собранных с кучей зависимостей, являющихся multiple points of failures благодаря динамике

     
     
  • 3.20, НяшМяш (ok), 16:09, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > проблема будет только с той одной единственной той заброшенной(!!!) программой

    Если бы это было так, то уязвимости были бы так не страшны. Страшно то, что через эту единственную заброшенную программу можно порезвиться во всей остальной системе. И будет всё равно, сколько у тебя там ещё неуязвимых программ стоит.

     
     
  • 4.30, OpenEcho (?), 19:13, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Страшно то, что через эту единственную заброшенную программу можно порезвиться во
    > всей остальной системе.

    Ну так если там забили на эту проблему, то там уже и резвится не на чем(ну кроме как там поюзать сам сервак), система как таковая - не облуживается, если допускает работу не обслуживаемых програм


     
     
  • 5.37, Аноним (37), 21:11, 20/02/2022 Скрыто модератором
  • +/
     
     
  • 6.61, OpenEcho (?), 02:25, 21/02/2022 Скрыто модератором
  • –1 +/
     
  • 6.68, Аноним (68), 04:02, 21/02/2022 Скрыто модератором
  • +/
     
  • 3.23, Аноним (23), 16:56, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Собранная с кучей зависимостей может перестать работать после любого изменения в любой из зависимостей. Так что она будет или всегда собираться с той версией с которой работает или надо будет искать старую версию либы и работать только с ней.
     
     
  • 4.26, Аноним (26), 17:40, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    И в современных ostree-based дистрибутивах эта проблема решена. Но эникеи на зарплатах не осиливают, так что линкуем статически и не выключаем SELinux.
     
     
  • 5.27, Аноним (27), 18:19, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Nix современнее!  Ква!
     
     
  • 6.28, Аноним (26), 18:20, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А по делу есть что сказать, лягуха?
     
     
  • 7.42, Аноним (68), 22:57, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так то он по делу и сказал. Только современнее guix.
     
  • 3.164, Аноним (163), 18:49, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > При статической компиляции, проблема будет только с той одной единственной
    > той заброшенной(!!!) программой

    Осталось теперь понять кто из программ - это самое...

     
  • 2.74, kusb (?), 08:13, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    По идее нужно всё равно "посчитать" программы которые используют библиотеки таким образом. То есть о том, что внутри программы есть такая же библиотека мы должны иметь способ просто это узнать.
     

  • 1.3, Zenitur (ok), 11:21, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Когда делал свою сборку Tor Browser примерно 5 лет назад, мне стало интересно, для чего Tor использует библиотеку libexpat? Зависимость была не обязательной, и можно было собрать как с ней, так и без. Я тогда спросил людей: может, это паразитная зависимость? Мне ответили, что я неуч, если я так считаю. И что в документации прямо сказано, что сборка с expat добавляет секьюрность

    Объясните. Даже при выявлении уязвимости в libexpat, секьюрность всё равно выше, чем если совсем не пользоваться ей?

     
     
  • 2.4, Sylvia (ok), 11:25, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    expat безопаснее libxml2, гораздо меньше выявленных проблем с безопасностью за все время
     
     
  • 3.6, Аноним (6), 11:30, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вообще-то они емнип не взаимозаменяемые. А так, asmxml безопаснее всего, это все знают.
     
  • 3.19, Аноним (19), 15:55, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Уважаемая Сильвия. Я своё сообщение отредактировал уже после вашего ответа. Я добавил фразу, что expat для tor является опциональной зависимостью. Поэтому выбор не между libexpat и libxml2, а между зависимостью от expat и её отсутствием.

    Просто вношу ясность, чтобы не выглядело так, как будто вы меня неправильно поняли

     
     
  • 4.43, Аноним (68), 22:59, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Шлифанули красиво, уважаемый аноним!
     
     
  • 5.44, Аноним (68), 23:05, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ба, какой же это анонимус, зенитарыч собственной персоной. Паразитарные зависимости - это в рпм менеджере суси. Уж не помню как оно там называется.
    Бросайте все это подальше и перезодите на https://guix.gnu.org/#guix-in-other-distros
    Оно даже в зюзе взлетит.
     
     
  • 6.47, Аноним (68), 23:16, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И таки да, зюзероутеры Вас больще не привлекают и перешли на собственные сборки тор бравзира?
    В принципе прогресс!
     
  • 4.81, Sylvia (ok), 10:44, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    я своё сообщение написала скорее в рассмотрении зависимостей для PHP,
    там есть вариант сборки с -lexpat вместо -lxml2

    Наверное PHP не единственный софт, где такое возможно,
    были даже серии бенчмарков expat против SaX, кстати насколько я запомнила - в пользу expat.

    Да, возможно, все о своём ;)

    tor я не особенно пользуюсь, точнее почти не пользуюсь совсем.

     
  • 3.24, Аноним (23), 16:57, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всего лишь значить что её меньше проверяли и меньше использовали.
     
  • 3.165, Аноним (163), 18:50, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > expat безопаснее libxml2, гораздо меньше выявленных проблем с безопасностью за все время

    Один черт, жирному мегастандарту - куча CVE во всех реализациях. Он просто слишком фичаст на свою голову, чтобы позволять труднопредусмотримые взаимодействия.

     
  • 2.7, Проффесор кислых щей (?), 11:39, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зависимости это зло.Не надо ни каких зависимостей.Пишите код как есть без зоопарков и дополнительных зависимостей так чтоб работало и не глючило.
     
  • 2.8, Проффесор кислых щей (?), 11:54, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я тогда спросил людей: может, это паразитная зависимость? Мне ответили, что я неуч, если я так считаю.

    Не слушай ни кого делай свое дело пиши код получай деньги наслаждайся заработаным.Зависники которые ни на что сами ни способны но хотят потешить свое нарциское самолюбие так чтоб не выглядить перед такими же как и они сами петухом будут строить из себя умных и рвать тельняшку на груди.Настоящий умный и талантливый программист ни когда гнуть пальцы не будет кичится и козырять своими знаниями.Но на форуме очень много трепла некомпетентного.Игнорируй их  всех пускай лопнут от злобы.    

     
     
  • 3.49, Аноним (68), 23:50, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Виктор Федорыч, Вы?
    Так-то все по делу. Плюсую.
     

  • 1.5, Аноним (6), 11:27, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Юникод это вообще классная тема, я так венду сломал без особого труда. И куча приложений на ней умирает из-за вендоспецифичности её юникода -- на линуксе этот юникод корректный, а на ней нет.
     
     
  • 2.14, Аноним (-), 14:32, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    примеры пожалуйста.
     
     
  • 3.16, Аноним (6), 14:58, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я рад, что ты спросил. Это не единственный пример, но других я не помню (какие-то последовательности байт, которые валидны при кодировании в utf16, но не в utf8). Собственно, я столкнулся со всем этим из-за различий в cjk на разных платформах, мне проходилось выполнять замену \uff5e на \u301c и обратно. https://en.wikipedia.org/wiki/Tilde#Unicode_and_Shift_JIS_encoding_of_wave_das
     
  • 3.141, adolfus (ok), 18:45, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Элементарно -- инозаказчик, например, требует, чтобы код на си был откомментирован на русском, английском и китайском. Кроме как, используя utf8, такой файл не создать.
     
  • 3.174, Аноним (174), 16:21, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > примеры пожалуйста.

    Хочешь немного других примеров, тезка?

    Аноним, Aноним и Aнoним - ни разу не тезки, даже если на вид и похожи, это 3 совершенно разных персонажа с точки зрения компьютерных систем. И горе тому кто удумает уникод в никнейме разрешить. Выбор будет между смешными вулнами и эпичным троллингом.

     
  • 2.75, kusb (?), 08:15, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А что там такого сложного чтобы постоянно находить баги в символах? Логика превращения байтов в символы скорее сложнее, но не настолько же. Всего лишь несколько дополнительных правил.
     
     
  • 3.142, adolfus (ok), 18:46, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Венда не поддерживает utf8
     
     
  • 4.143, kusb (?), 19:07, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Венда не поддерживает utf8

    Там кажется более простой и длинный юникод внутри.

     
     
  • 5.170, adolfus (ok), 15:30, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Венда не поддерживает utf8
    > Там кажется более простой и длинный юникод внутри.

    там utf16le, а это значит, что для записи исходных текстов программ на C и C++ не годится -- оба стандарта требуют в качестве базового набора символов только символы из первой половины таблицы ASCII, что поддерживается только кодировкой utf8. Все остальное -- расширенный набор, который стрипается препроцессором, после чего на вход компилятора подается чистый ASCII (32..126).
    Так что ничего кроме легаси кодировок (два языка в комментариях) в виндах для писания программ нет.
    Подозреваю, что не только C и C++, но и остальные языки делают тоже самое.

     

  • 1.10, пох. (?), 13:39, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Никогда не было и вот, опять!

     
  • 1.11, Rev (?), 13:45, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    НУ что ж, ещё одна причина переходить на Раст. Там ведь обработка UTF8 сразу в stdlib, не надо байты отдельно читать и обрабатывать, меньше поверхность атаки и мест, где можно допустить ошибку.
     
     
  • 2.21, Самокатофил (?), 16:41, 20/02/2022 Скрыто модератором
  • –4 +/
     
     
  • 3.29, Аноним (29), 19:08, 20/02/2022 Скрыто модератором
  • –2 +/
     
     
  • 4.48, Аноним (68), 23:48, 20/02/2022 Скрыто модератором
  • –1 +/
     
     
  • 5.53, gogo (?), 00:46, 21/02/2022 Скрыто модератором
  • +/
     
     
  • 6.54, Аноним (68), 01:13, 21/02/2022 Скрыто модератором
  • –1 +/
     
     
  • 7.60, Имяреяк (?), 02:03, 21/02/2022 Скрыто модератором
  • +2 +/
     
     
  • 8.67, Аноним (68), 03:53, 21/02/2022 Скрыто модератором
  • –1 +/
     
     
  • 9.82, хернямаркет (?), 11:10, 21/02/2022 Скрыто модератором
  • +/
     
  • 6.59, Аноним (68), 02:01, 21/02/2022 Скрыто модератором
  • +2 +/
     
     
  • 7.62, Яндекс (?), 03:20, 21/02/2022 Скрыто модератором
  • +2 +/
     
  • 7.63, Mail.ru (?), 03:21, 21/02/2022 Скрыто модератором
  • +2 +/
     
     
  • 8.66, Аноним (68), 03:48, 21/02/2022 Скрыто модератором
  • +1 +/
     
  • 3.31, Аноним (31), 19:18, 20/02/2022 Скрыто модератором
  • +/
     
  • 2.32, Аноним (32), 19:31, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сейчас в расте всего 2 приличных библиотечки работы с XML, одна быстрая (https://lib.rs/crates/quick-xml) и одна удобная (https://lib.rs/crates/xml-rs), обе ограничены по фишкам.
    ЗЫ биндинги не предлагать, ибо глупо!
     
     
  • 3.33, Самокатофил (?), 20:03, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Сейчас в расте всего 2 приличных библиотечки работы с XML, одна быстрая
    > (https://lib.rs/crates/quick-xml) и одна удобная (https://lib.rs/crates/xml-rs),
    > обе ограничены по фишкам.

    Дайте угадаю: обе тянут зависимости, которые тянут зависимости, которые тянут зависимости и написаны с ансейф? :-D

    > ЗЫ биндинги не предлагать, ибо глупо!

    Зачем биндинги? Мы вам ансейфов подвезли.

     
     
  • 4.34, Аноним (32), 20:45, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    гадать не надо, все зависимости прописаны на страничках по ссылкам

    вы неправильно понимаете safe и unsafe в расте, разговаривать не о чем

     
     
  • 5.41, Аноним (-), 22:40, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    unsafe в тыщу раз безопаснее всяких там safe, ведь программист снял с себя ответственность за дыры, чем увеличит безопасность. остальным достаточно посмотреть unsafe, чтобы убедиться в безопасности, отсутствии утечек и прочих растовых фишек
     
     
  • 6.166, Аноним (163), 18:52, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А если верить докам раста, с безопасностью все становится... ну прмерно как в сях и плюсах.
     
  • 4.35, Аноним (31), 20:45, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты не поверишь, там еще LIBC, потом ядро, затем процессор, а над ним человеческий фактор навис. Все пропало, шеф. Даже пытаться не надо. И Ada закопать, и все языки со сборщиком мусора.
     
  • 2.73, Брат Анон (ok), 07:52, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С таким же успехом я мог бы написать "Пора переходить на Go". К тому же там в феврале по плану дженерики подвезут во всю ширь.
     
     
  • 3.78, Аноним (78), 09:24, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А на в го есть свой аналог extern "C"?
    Или хотя бы его обсуждение?
     
     
  • 4.79, Аноним (79), 10:39, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Есть конечно cgo. Но из-за преобразования типов между го и С эта балалайка работает медленнее чем могла бы работать в идеальном мире)
     
  • 4.84, PnD (??), 11:29, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    /*
    #cgo LDFLAGS: -lX11
    #include "C/x11.c"
    */
    import "C"

    display *C.struct__XDisplay

    Вот как-то так можно ("x11.c" — обычный код на C, а внутри кода на go вызывается через прокладку "C"). Но есть предупреждение что вызовы "наружу" — достаточно дорогие.

     

     ....большая нить свёрнута, показать (23)

  • 1.12, Аноним (12), 14:25, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    здесь упустили важную деталь ... Expat написанной на дырявом Си ...
     
     
  • 2.17, OpenEcho (?), 14:59, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >     Expat написанной на дырявом Си ...

    "С" сам по себе - не дырявый, так же как ПХП :) Это просто инструменты, где поломок изза самого инструмента заначительно меньше по сравнению с "дырами" в головах програмистов, и если кто то думает, что раст или что-то еще вылечит от "we moving fast, we breaking things" и от безконтрольного CI/CD, и от любителей тащить массу зависимостей в проект без особого задымывания, то они очень глубоко ошибаются

     
     
  • 3.39, Аноним (39), 21:26, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    смотрю на плюсоминусы, и вижу мысль:

    кто умеет писать программы -- пишет программы, и иногда делится опытом в комментах;
    а кто писать не умеет, прибегают в комменты драться с компиляторами, от которых у них весь многомощный мозг в синяках и фингалах.

    наблюдать за ними надо исключительно голосом Дроздова.

     
     
  • 4.58, OpenEcho (?), 01:55, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В точку Любая нормальная компания на интервью даже не спрашивает, на каком язы... большой текст свёрнут, показать
     
     
  • 5.64, Аноним (68), 03:32, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >либо это фанаты одиночки, которые никогда не работали в больших компаниях

    Большие компании - это сириус бузинесс?
    А расскажите пожалуйста малограмотному одиночке/социопату, как работают в больших компаниях! Может и талантливой молодежи будет полезно.

    Про ибд. Про "эффективный манагермент". Про тотальное отсутствие заинтересованности в какчестве конечного продукта, сиречь результата. Про футбол. Про кумовство. Про "корпоративные ценности".
    Про вот эти вот все прелести.
    Чтобы предложенная Вами дихотомия не выглядела столь однобоко.

    Или это все сказки, а корпорация - это рай на земле и за место в дарк руме, кабинке релаксии и пуфике на полу нужно душу брину продать?

     
     
  • 6.83, пох. (?), 11:25, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем тебе Все равно ж не возьмут ну то есть малограмотный одиночка никогда ... большой текст свёрнут, показать
     
     
  • 7.85, Аноним (68), 11:45, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пох, разве вопрос был адресован Вам Вы собой для чего каждую дырку затыкаете Щ... большой текст свёрнут, показать
     
     
  • 8.88, пох. (?), 12:08, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    дурачок, это форум Тут нет личной переписки очевидная Обслуживание железяк ил... большой текст свёрнут, показать
     
     
  • 9.93, Аноним (68), 13:15, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    О гений нарциссизму, Вы совершенно правы Но как входят в диалог порядочные люди... большой текст свёрнут, показать
     
     
  • 10.107, пох. (?), 16:30, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    дурачок, это - форум Здесь нет диалогов Ты здесь орешь в толпу корпорации не ... большой текст свёрнут, показать
     
     
  • 11.110, Аноним (68), 18:18, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Умнящ Вы наш, это не форум, это борда Если Вы орете - это не значит, что ору я ... большой текст свёрнут, показать
     
     
  • 12.151, пох. (?), 14:53, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    б-ть дурачок, ты приперся туда где орут дурачок, диалог на красной площади ... большой текст свёрнут, показать
     
     
  • 13.153, Аноним (68), 16:14, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Орут здесь только эмоционально неустойчивые личности А что по Вашему Базар Та... большой текст свёрнут, показать
     
  • 6.104, OpenEcho (?), 15:37, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А разве нет А с чего вы взяли, что нормальная компания обязательно должна быть... большой текст свёрнут, показать
     
     
  • 7.105, Аноним (68), 16:06, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот я и смотрю, что методы работы знакомые Давайте не будем оттачивать консциен... большой текст свёрнут, показать
     
     
  • 8.109, OpenEcho (?), 17:32, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Контекст из чего Из вопроса Большие компании - это сириус бузинесс Да я о... большой текст свёрнут, показать
     
     
  • 9.117, Аноним (68), 20:08, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Из вопроса Большие компании - это сириус бузинесс Да я отвечаю, то что дум... большой текст свёрнут, показать
     
  • 7.116, Аноним (68), 19:06, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >А разве нет ?

    Нет. Серьезность бизнеса не коррелирует только лишь с размером. Оно связано с оборотом денежных потоков и фактическими задачами.
    Те же всякие гранды, берут наценку за бренд, а реальную работу часто передают небольшим коллективам.

    >А с чего вы взяли, что нормальная компания обязательно должна быть большой ?

    Я ничего не взял. Я пытаюсь понять что такое для Вас нормальная компания.

     
     
  • 8.118, OpenEcho (?), 20:22, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и я о том же, но большая то компания, - по любому укладывается в ваш дефинишн... большой текст свёрнут, показать
     
     
  • 9.123, Аноним (68), 20:58, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме слова дефинишн, никаких разногласий Я согласен со всем, что Вы написали... текст свёрнут, показать
     
  • 9.152, пох. (?), 15:07, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    э вот цель того же яббла или помянутого сосьот-женералю она вообще есть кроме... большой текст свёрнут, показать
     
     
  • 10.155, Аноним (68), 16:41, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А вот тут здравое видение Соглашусь ... текст свёрнут, показать
     
  • 5.65, Аноним (68), 03:45, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы в молодости полит агитацией часом не занимались Я так понял, что нормальная ... большой текст свёрнут, показать
     
     
  • 6.86, пох. (?), 11:50, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у нас как-то в ответ на логическую задачку о взвешивании гаек кандидат заявил чт... большой текст свёрнут, показать
     
     
  • 7.89, Аноним (68), 12:10, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот в этом вопросе рад приветствовать Вас Так как он адресован был всем Вот об... большой текст свёрнут, показать
     
     
  • 8.90, пох. (?), 12:40, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это техническое собеседование Посчитали что разговор закончен - в конце-концов ... текст свёрнут, показать
     
     
  • 9.96, Аноним (68), 13:27, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дорогой пох, это Ваши личные догадки или утверждения Я утверждаю, что воронка с... большой текст свёрнут, показать
     
     
  • 10.103, пох. (?), 15:22, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    это личная история бегите от этих воронок Туда где на собеседовании будут сп... большой текст свёрнут, показать
     
     
  • 11.115, Аноним (68), 18:59, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Понял Картина прояснилась Таковы ныне стандарты Это не я придумал и я это не ... большой текст свёрнут, показать
     
     
  • 12.145, пох. (?), 20:30, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ну мне пока не попадалось Два варианта - либо тебя сперва обнюхивает hr, просто... большой текст свёрнут, показать
     
  • 7.91, Sw00p aka Jerom (?), 12:52, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >опишите конкретней что-то из того чем вы занимались на прошлом/позапрошлом месте работы

    а тут зависит от политики неразглашения даже после увольнения. Не надо спрашивать чем занимались, что умеете, ставьте ТЗ, сроки. Выполнит - получит место и собственно зп. А все эти собеседования, мол вв этого не знаете и мы вас на джун зп посадим - для дураков.

     
     
  • 8.92, пох. (?), 13:05, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не работай в таких помойках ага, а потом - мы нашли лучшего кандидата И зада... большой текст свёрнут, показать
     
     
  • 9.98, Аноним (68), 13:45, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Влезу в Ваш диспут, с вашего позволения Причем здесь это Человек ответил исход... большой текст свёрнут, показать
     
     
  • 10.101, пох. (?), 14:05, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    непомойная контора не запрещает специалисту пойти работать по специальности в др... большой текст свёрнут, показать
     
     
  • 11.114, Аноним (68), 18:48, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Выше я уже предложил Вашему вниманию пример с сосите женераль и морган стенли К... большой текст свёрнут, показать
     
     
  • 12.159, пох. (?), 17:34, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    я не уверен что ты просто не врунишка Или более вероятно не в теме - слышал зво... большой текст свёрнут, показать
     
     
  • 13.161, Аноним (68), 17:40, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пох, знаете в чем между нами разница Вы пытаетесь что-то кому-то доказать и из ... текст свёрнут, показать
     
     
  • 14.167, пох. (?), 20:40, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    в том что у вас чсв выше щек и вы приписываете это же собеседнику Я ничего тут ... текст свёрнут, показать
     
     
  • 15.175, Аноним (-), 16:53, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Офигеть, пох тут по сути дельный курс по отделению совсем-отстой-компаний от бол... текст свёрнут, показать
     
     
  • 16.176, пох. (?), 17:40, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я в таких отродясь не работал Но с аутсорсерами-то приходится иногда контактиро... текст свёрнут, показать
     
  • 8.97, Аноним (68), 13:31, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Совершенно верно Вот по Вам сразу видно, что представление о сириус бузинессе у... текст свёрнут, показать
     
  • 8.112, OpenEcho (?), 18:45, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И много претендентов на такое место Попахать на халяву, - это вы здорово приду... текст свёрнут, показать
     
     
  • 9.119, Аноним (68), 20:36, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен с коллегой и свою точку зрения раскрыл в коментах выше Почемы Вы и пох... текст свёрнут, показать
     
     
  • 10.125, OpenEcho (?), 21:16, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пох я думаю сам за себя ответит, а для меня это не укладывается несколько в рамк... большой текст свёрнут, показать
     
     
  • 11.127, Аноним (68), 21:57, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Стоп Я никогда на бордах регистрантом не был, поэтому не знаю как организован и... текст свёрнут, показать
     
     
  • 12.130, OpenEcho (?), 22:26, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, да, я тоже здесь как и все братья анонимы, не регистрирован по причине не со... текст свёрнут, показать
     
  • 11.136, Sw00p aka Jerom (?), 07:05, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    на эту категорию и ваши кидки расчитаны, в место того, чтобы этим зеленым програ... текст свёрнут, показать
     
     
  • 12.137, Аноним (68), 12:03, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Индусских коллег обогатить решили Все начнут хеллоуворлды на паттернах пейсать ... текст свёрнут, показать
     
     
  • 13.138, Sw00p aka Jerom (?), 12:10, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем вам программист если индусы за них все написали ... текст свёрнут, показать
     
     
  • 14.144, Аноним (68), 20:25, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Индусский код - есть нарицательное понятие Для понимания посмотрите здесь https... текст свёрнут, показать
     
     
  • 15.147, Sw00p aka Jerom (?), 21:27, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а че не работает в итоге То что один индус скопипастил у другого индуса, не отм... текст свёрнут, показать
     
     
  • 16.156, Аноним (68), 16:45, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А еще можно обмазываться несвежим и теребонькать себя Пасту не копипащу, уверен... текст свёрнут, показать
     
  • 16.168, пох. (?), 20:44, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В итоге - не работает В проекте размером побольше хеловрота И непонятно - поче... текст свёрнут, показать
     
     
  • 17.169, Sw00p aka Jerom (?), 21:43, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    и так сойдет, работает - не в лучших традициях, как в Чурчтобегонебыл пер... текст свёрнут, показать
     
     
  • 18.177, пох. (?), 17:45, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ты правда думаешь что я прикалываюсь Это реальность Если очень хочешь - могу т... большой текст свёрнут, показать
     
  • 12.139, OpenEcho (?), 16:23, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы забыли добавить Расскрыть потенциальным кандидатам трэйд секрет и отпустить ... большой текст свёрнут, показать
     
     
  • 13.148, Sw00p aka Jerom (?), 21:38, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хотелось тут расписать подробно, но меня остановил один вопрос, который задам ва... текст свёрнут, показать
     
     
  • 14.150, OpenEcho (?), 13:42, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да Деньги Есть бизнес, задача которого дать другим то, что им надо, а есть св... большой текст свёрнут, показать
     
     
  • 15.157, Аноним (68), 16:53, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В любом деле можно и нужно идти дальше и дальше Была у меня одна жена, секс с к... текст свёрнут, показать
     
     
  • 16.173, OpenEcho (?), 16:02, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я не понял, вы с ней так и не кончили ... текст свёрнут, показать
     
  • 15.160, Sw00p aka Jerom (?), 17:36, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ожидаемо, ясно Художники разве из нарцистических побуждений рисуют Деньги как ... большой текст свёрнут, показать
     
     
  • 16.172, OpenEcho (?), 15:57, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не, не только, есть и фанатики, которые и за корочку хлеба будут ваять, лижбы за... большой текст свёрнут, показать
     
     
  • 17.178, Sw00p aka Jerom (?), 23:00, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    я вам привел пример где я работодатель который предлагает вам писать строчку за ... текст свёрнут, показать
     
  • 14.158, Аноним (68), 17:02, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так как вам было со строчной буквы, подразумевается, что вопрос не лично к собес... текст свёрнут, показать
     
     
  • 15.162, Sw00p aka Jerom (?), 17:52, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    вам платят за количество строк или за конечный продукт или вы сами оцениваете в... текст свёрнут, показать
     
  • 7.124, OpenEcho (?), 20:59, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Если это на серьезную позицию - бегите оттуда.

    К сожалению не всегда верно. Есть ленивые "умники" берущие вопросы с литкода для тестирования синьор инженеров, но oбычно все укладывается в описанную вами схему,  - если есть чем похвастались, то вокруг этого и можно развернуть вопросы, чтоб понять или это гон или правда. Вопросы по дизайну тоже очень популярны, что для джунов, что для высшего уровня, чтоб понять, как человек думает если ему дать задачку, которую вы уже решали сами.
    Так что если попали на одного ёкнутого тестера, это не значит, что там все ку-ку


     
  • 6.106, OpenEcho (?), 16:10, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы в молодости полит агитацией часом не занимались?

    Нет.

    > Я так понял, что нормальная компания для Вас - это большая организация ака корпорация. Ок.

    Нет, вы поняли меня не так, как я представляю "нормальную" компанию, которая обязательно почему-то должна быть большой.

    > Почему Вы не рассказываете какие вопросы на собеседованиях задают янычары этих компаний?

    Спасибо конечно, что вы обо мне такого высокого мнения, но я за всеx янычар мира не в праве отвечать :)

    > https://www.iphones.ru/iNotes/XX-voprosov-kotorye-Apple-zadaet-na-sobesedovani

    Где вы нашли эту чушь ??? :)))

     
     
  • 7.108, пох. (?), 16:35, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Где вы нашли эту чушь ??? :)))

    так может вопросы и настоящие - просто нигде не сказано что другие не задавались - по теме и по специальности. Что не те другие скучные и обыденные и не оказались решающими. А эти - так, для проверки на вшивость или завязки разговора. Почему нет?

     
     
  • 8.111, OpenEcho (?), 18:30, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, в яблоке не работал, но очень сомневаюсь, что у них сильно отличается о... текст свёрнут, показать
     
     
  • 9.113, пох. (?), 18:46, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    написано про инженеров Особенно понравился вопрос тестировщику на тему нарисуй... текст свёрнут, показать
     
  • 9.122, Аноним (68), 20:48, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Интересная логика Т е водитель должен тесты инопланетные проходить, а скажем c... текст свёрнут, показать
     
     
  • 10.129, OpenEcho (?), 22:13, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За cio не знаю, но вполне разделяю ваше мнение, простые задачки на сообразилку и... текст свёрнут, показать
     
     
  • 11.133, Аноним (68), 00:11, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Шаблонностью и отсутствием многих вводных Недостаток внешних факторов для ана... текст свёрнут, показать
     
  • 8.121, Аноним (68), 20:42, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле ирл по-разному Могут закидать только этими тестами и по делу ниче... текст свёрнут, показать
     
  • 7.120, Аноним (68), 20:39, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет, вы поняли меня не так, как я представляю "нормальную" компанию, которая обязательно почему-то должна быть большой.

    Выше уже обсудили и прояснили.

    >Спасибо конечно, что вы обо мне такого высокого мнения, но я за всеx янычар мира не в праве отвечать :)

    Таки зачем говорить обо всех? Говорите то, с чем лично сталкивались?

    >Где вы нашли эту чушь ??? :)))

    Очевидно в интернете. Кто-то систематизировал и слил.

    Почему Вы не прокоментировали ссылку на tj? По поводу тех "тестов" я могу поручиться, что их применяют ирл, причем янычары всей большой 4ки.

     
     
  • 8.126, OpenEcho (?), 21:53, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    На вторую сорри, не смотрел Ну а что в тех вопросах, - задачки на сообразилку... текст свёрнут, показать
     
     
  • 9.128, Аноним (68), 22:09, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мне ни разу не довелось в жизни проходить собеседования в качестве соискателя Н... текст свёрнут, показать
     
     
  • 10.131, OpenEcho (?), 23:10, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо понимать мои слова досконально, явно если вы будете давить тестера, то... большой текст свёрнут, показать
     
     
  • 11.132, Аноним (68), 00:02, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот об этом я и говорю Мне здесь пример поха почему-то в голову пришел Если че... большой текст свёрнут, показать
     
     
  • 12.134, OpenEcho (?), 00:19, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, дискомфорт, а с другой стороны, а как еще проверить Дипломы могут бы... текст свёрнут, показать
     
     
  • 13.135, Аноним (68), 00:45, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Согласно утвержденного протокола Я только против этих задачек про инопланетян ... текст свёрнут, показать
     
     
  • 14.140, OpenEcho (?), 16:41, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Под инопланетянами может быть скрыта реальная задача, из практики, которую расск... текст свёрнут, показать
     
     
  • 15.146, Аноним (68), 20:37, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если мы говорим о корпорациях, они работают в рамках воронки, как методологии И... большой текст свёрнут, показать
     
     
  • 16.149, OpenEcho (?), 13:14, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не правда Есть корпорации, где не нагинают под стандард, а приветствуют новшест... текст свёрнут, показать
     
     
  • 17.154, Аноним (68), 16:35, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Фистбучеки Ну для меня это не сурьезная компания Я всю жизнь серьезными вещами... большой текст свёрнут, показать
     
     
  • 18.171, OpenEcho (?), 15:40, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное на этом сообщении и закончим, а то мне как то даже не ловко стало, с та... текст свёрнут, показать
     
  • 4.70, FFARHITECTOR (?), 04:09, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    кто умеет писать программы -- пишет программы, и иногда делится опытом в коммен... большой текст свёрнут, показать
     
  • 2.25, User (??), 17:20, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, все! Мир спасён - надо только переписать на rust.
    Делать это конечно же я не буду...
     
  • 2.38, Аноним (38), 21:19, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > написанной на дырявом Си ...

    Си не дыряв, дырявы программисты, в чьих ошибках виноваты компиляторы, интерпретаторы и другие инструменты.

     
     
  • 3.46, Аноним (68), 23:11, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поправочка: программисты на си обычно не дырявы. И смуззи не пьют. И даже коротких штаников не носят. (В основной массе).
    Вот руки бывают кривые и по матану незачет. Отсюда все беды.
     
     
  • 4.51, Анонн (?), 00:26, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, началась песенка про "это все неправильные погромисты, а вот правильные!.."
    А кто в ядро коммитил аналогичный говнокод в glibc еще в 1995 году и она там мариновалась аж до 2022го? Тоже неправильные погромисты?  А такая срань не то что каждый год, раз в пару недель находится.
    Погромисты у него неправильные...
     
     
  • 5.55, Аноним (68), 01:16, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Коллега, а я разве говорил, что среди олдов не было осечек? Статистическая погрешность есть всегда и правило 95% никто не отменял.
     
  • 3.95, Аноним (95), 13:20, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так раст он специально для дырявых придуман.
     
     
  • 4.100, Аноним (68), 13:53, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поправочка: дырявыми для дырявых.
     

     ....большая нить свёрнута, показать (93)

  • 1.13, Аноним (13), 14:31, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это в догонку с прошлого месяца, тоже было 2 дыры. Даже в OpenBSD выпустили
    экстренный патч:
    https://ftp.openbsd.org/pub/OpenBSD/patches/7.0/common/013_expat.patch.sig

    February 2, 2022
    Fix two security issues in libexpat related to integer overflow.

    А тут дыр оказывается еще вон какая куча)
    Так то писать парсер уникода на С...

     
     
  • 2.18, Аноним (-), 15:23, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так то писать парсер уникода на С...

    Справедливости ради, современный уникод - то еще нагромождение:
    https://docs.microsoft.com/en-us/typography/opentype/spec/colr

     
     
  • 3.36, Анонимно11111 (?), 21:01, 20/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Надо вернуться к истокам, когда юникод был простым. Make UNICODE great again!
     
  • 2.77, Аноним (2), 09:00, 21/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В январских дырах было заявлено  "denial of service", а сейчас два рабочих эксплойта.
     

  • 1.50, Аноним (50), 23:59, 20/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ой ой… уязвимости тоже… это же фича… наша библиотека не только парсит но и может быть использования для удалённого исполнения кода. Включено для всех по умолчанию, спасибо не требуется.  
     
  • 1.52, Аноним (52), 00:39, 21/02/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
     
  • 2.56, Аноним (68), 01:18, 21/02/2022 Скрыто модератором
  • –2 +/
     

  • 1.76, Аноним (76), 08:41, 21/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Выпущена libexpat 2.4.6, в которой исправлена регрессия, вызванная устранением CVE-2022-25313.
     
  • 1.102, Аноним (102), 15:00, 21/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >переполнение буфера из-за некорректной проверки кодирования Unicode-символов

    Зачем это в expat? Таким специальные библиотеки должны заниматься. Можно с бэкдорами от кого надо, главное - чтобы специальные библиотеки, устанавливаемые через специальный пакетный менеджер. И не бандлованные, как культисты карго любят. Бэкдоры рано или поздно найдут и выпилят, а вот беспорядок, который устроили, когда каждый тянет свою незалежную реализацию юникода, будет очень трудно разгрести.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру