| 1.1, Аноним (1), 10:15, 16/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +21 +/– |
Получается ClamAV - просто троянская лошадь с такими уязвимостями.
| | |
| |
| 2.51, InuYasha (??), 19:01, 16/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Не кламав какой-то, а "Антивирус Попова" же!
Ну, и никто (кроме жалкого ЦРУ) не ныл же что тот же Кашперовский тоже утекает пользовательские данные к себе на сервер. )
| | |
|
| 1.2, ryoken (ok), 10:15, 16/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 >>специально оформленными дисковыми образами в формате HFS+.
>>Уязвимость проявляется при разборе специально оформленных файлов в формате DMG и вызвана тем, что парсер в процессе разбора допускает подстановку внешних элементов XML, на которые имеются ссылки в разбираемом DMG-файле.
Кто-то затеял проверять МакОСь и получил всякого интересного? :)
Вообще, всегда было интересно узнать, как находят вот такие специфические грабли люди?
| | |
| |
| 2.13, n80 (?), 11:35, 16/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Вообще, всегда было интересно узнать, как находят вот такие специфические грабли люди?
Что-то обнаруживается по итогам анализа выдачи статических анализаторов, что-то — фаззингом.
Но здесь проблема как раз довольно типичная, за использованием XML почти всегда тянутся проблемы типа CWE-611 (Improper Restriction of XML External Entity Reference) и CWE-776 (Improper Restriction of Recursive Entity References in DTDs), поэтому искатели багов где видят использование XML, там сразу ищут возможность подобные уязвимости.
| | |
| 2.95, A (?), 23:02, 17/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Вообще, всегда было интересно узнать, как находят вот такие специфические грабли люди?
Когда по работе обязан работать с Огрызками, волей не волей возникает интеграция Linux+(Mac|Win).
Но, да, это повод подумать куда и зачем дрейфует мышление.
| | |
|
| 1.11, Аноним (11), 11:11, 16/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>Уязвимость вызвана отсутствием должной проверки размера буфера, что позволяет записать свои данные в область за границу буфера и организовать выполнение кода с правами процесса ClamAV
Удивительно что настоящие программисты которым не нужны проверки компилятора и времени выполнения, вышли за границу буфера. Никогда такого не было и вот опять.
Вот в java настоящие массивы и строки, а не указатели на область памяти не известного размера. И всегда происходит проверка на допустимый диапазон индекса.
Даже в pascal настоящие массивы и настоящие строки
| | |
| |
| |
| 3.26, AKTEON (?), 13:39, 16/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Все правильно.Настоящих программистов как в 1974 году мы даже приблизительно не имеем.
| | |
| 3.39, Аноним (39), 15:01, 16/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Настоящие айтишники HTTP без TLS в браузере Firefox не используют.
| | |
| 3.40, Аноним (39), 15:05, 16/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Настоящим программистам для выполнения работы не нужны абстрактные концепции: для счастья им достаточно перфоратора
А я-то и не знал, что у нас почти все приезжие из Средней Азии - программисты! Айтишная сверхдержава, столько программистов едет, и недорого работу делает!
| | |
| |
| 4.87, Аноним (87), 12:43, 17/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Нащяника! Жамщут сказаль, он много пограмист в офись работай! Плитка клал, шкапатурка клал, кираска стина мазаль - все по грамам деляль - пограмист работай!
| | |
|
|
| 2.24, idontlikewebmonkeys (?), 13:06, 16/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
А эти настоящие массивы и строки какого цвета и какие на ощупь? Давай антивирь на джаве, а лучше на NodeJS, чтобы не только в 2 раза тормознее было, а в 20.
| | |
| |
| 3.27, Аноним (27), 13:56, 16/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
ну то есть для тебя лучше быстро, чем без дыр, через которые тебя поимеют? и это в антивирусном пакете
| | |
| |
| |
| 5.34, Аноним (27), 14:18, 16/02/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
тогда почему тебя корежит от того, что антивирус будет работать от 2 до 20 раз медленнее?
| | |
| |
| |
| 7.54, Аноним (27), 19:24, 16/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
То есть ты думаешь, что если твой антивирус некорректно обрабатывает эти типы файлов, то он обрабатывает некорректно только их? Или ты думаешь, что раз ты не пользуешься этими типами файлов, то ими никто не пользуется?
>> HFS+
>> DMG
> != AV
вот только говорил ты про то, что тормозит у тебя AV на не дырявой сишке
> Давай антивирь на джаве, а лучше на NodeJS, чтобы не только в 2 раза тормознее было, а в 20. | | |
| |
| |
| 9.60, Аноним (27), 22:56, 16/02/2023 [^] [^^] [^^^] [ответить] | –2 +/– | это как то влияет на дырявость сишных поделок для работы с дырками, особенно в ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.30, Аноним (30), 14:02, 16/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Массивы и строки это абстракции. Они не имеют цвета и их нельзя потрогать.
и.о. К.О.
| | |
| |
| 4.32, idontlikewebmonkeys (?), 14:08, 16/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Нужно изобрести язык с цветовой идентичностью, внедрить libadwaita в каждый объект. И назвать язык всеми буквами ABCDE...XYZ для инклюзивности.
| | |
| |
| 5.35, Аноним (27), 14:20, 16/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
язык Си уже изобретен, вместе с дырами на любой вкус и цвет, для всех видов гендеров
я почти уверен, что дыры для боевого трансгендерного вертолета там тоже есть
либадвайта кста на этом самом языке написана
| | |
| |
| |
| |
| |
| 9.63, Аноним (27), 23:04, 16/02/2023 [^] [^^] [^^^] [ответить] | +/– | Поэтому дыры мы будем расширять, потому что они же уже есть, чего бы им более ши... текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.88, Аноним (87), 12:45, 17/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Давай антивирь на джаве, а лучше на NodeJS
Сразу на электроне, чтобы для его запуска сначала хром открывался.
| | |
|
|
| |
| |
| 3.46, Аноним (46), 18:22, 16/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Нет, опенсорс можно скачивать и использовать.
Это суровая циско корпорашка.
| | |
|
|
| 1.17, Аноним (17), 12:08, 16/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А сколько таких дыр в проприетарных закрытых виндузятских антивирусах....
| | |
| |
| |
| 3.23, ryoken (ok), 13:00, 16/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> В винде, как известно, дыр нет
Как интересно... А что есть?
| | |
| |
| |
| 5.48, Аноним (48), 18:53, 16/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
За интернет на Симпли Альт Линукс провайдер берёт деньги, а не даёт. )
| | |
| 5.92, www2 (??), 18:31, 17/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Профессиональное - это как аноивирус от Symantec или Lotus Notes Domino?
| | |
|
|
|
|
| 1.22, YetAnotherOnanym (ok), 12:59, 16/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 > парсер в процессе разбора допускает подстановку внешних элементов
Подозреваю, что автор нашёл в документации на либу описание нужного ему функционала, а на чтение остального текста забил.
А кто-то не забил.
| | |
| |
| 2.77, пох. (?), 08:38, 17/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
я как-то очень сомневаюсь что "нужный" (для чего? зачем вообще при анализе на _вирусы_ ты полез придyрок парсить xml из этого файла? Стандартной либой, хотя единственный мизерный смысл - это попрасить его на тему попыток найти уязвимость в той самой стандартной либе) автоматически прям открывает что попало. Скорее всего открыть-то должен был ты сам. (Впрочем, авторы libxml2 правда непуганные, так что все могло быть.)
Но цискиному рабу ни на секунду не пришло в голову задумываться, что вообще он в том файле забыл. Таск "распарсить dng" закрыт, некст, некст, спринт не может ждать.
| | |
| |
| 3.80, YetAnotherOnanym (ok), 09:52, 17/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вот хз,что там может быть в том xml. Вики утверждает, что там какой-то пропертилист, в котором записано что и как в имидже.
| | |
| |
| 4.97, пох. (?), 20:30, 19/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
мы там, на минутку, вирус ищем, а не прон.
Поэтому никакие пропертя нам и нафиг не проперлись. (т.е. если это такая попытка дорытся до, скажем, эмбеднутого жпега - его надо по сигнатуре искать в таком раскладе, причем он может оказаться и не там, где положен по горе-стандартам) А вот предположить что именно в них тебе что-то и подбросят...ну, не для современного быстро-быстро-кодерка,конечно.
| | |
|
|
|
| |
| 2.37, Аноним (27), 14:47, 16/02/2023 [^] [^^] [^^^] [ответить]
| +4 +/– | |
это расходится с мнением опеннетных экспертов
есть язык, который нельзя называть, про него постоянно ноют, но не забывают упоминать, что на нем никто не пишет, а если и пишет, то разработка обязательно скоро заглохнет, как только CoC будет написан
| | |
| |
| 3.78, пох. (?), 08:40, 17/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
И что не так? Много уже кламавов вы на нескучном язычке понаписали, ведь он безопастный и защищает от открывания файлов (ой?) ? А,нет, вы все еще зачем-то греп переписываете.
| | |
| |
| 4.83, Аноним (27), 10:43, 17/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
первый коммент:
существует один тип языков с одним признаком, и существует другой тип языков с другим признаком
второй коммент:
нет, существует еще язык с сочетанием этих признаков
твой коммент:
а че вы на этом языке не пишете?
ты наркоман что ли? кто мы то? как ты приплел к перечислению типов и признаков необходимость писать? а если тебе надо знать, что на нем пишут - сходи в гугл, там отлично расписаны проекты на всех интересующих тебя языках со всеми признаками
| | |
| |
| 5.89, пох. (?), 13:56, 17/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
тооочно, это ж я норкоман, это ж не ты норкоман - "сущиствуитсущиствуит волшебнейший язычок - а что это на нем ничего не написано - как вы смеете задавать такие вопросы, мы тут просто перечисляли типы и признаки" (ну да, кодить-то вы ни на каком не умеете)
спасибо, мне неинтересно знать что на нем - пишутъ. А то бы как-нибудь без твоих советов нашел.
Вот написано на нем - хрен да нихрена полезного.
Но конечно же он спас бы от автооткрытия первого попавшегося при разборе xml внешнего файла, он же ж - вааалшебный!
| | |
| |
| 6.91, Аноним (91), 15:30, 17/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> сущиствуитсущиствуит волшебнейший язычок - а что это на нем ничего не написано - как вы смеете задавать такие вопросы, мы тут просто перечисляли типы и признаки
а нука давай пруфцов, где я говорю, что он волшебнейший, и на утверждение, что на нем всенепременно должно быть написано хоть что нибудь
а еще обоснуй ка, каким это образом оспаривание очевидно глупого выражения некоего страуструпа обязывает сразу бегом приводить примеры программ на каком то "волшебнейшем язычке", про которые ты тут же говоришь, что они тебе не нужны
> Но конечно же он спас бы от автооткрытия первого попавшегося при разборе xml внешнего файла, он же ж - вааалшебный!
но ведь ты же предоставишь пруфы на то, что я это говорил? или как всегда, за других додумал шизу, и теперь кидаешься ей?
| | |
|
|
|
|
| 2.52, InuYasha (??), 19:04, 16/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Хорошая фраза. Проверять её мы, конечно, не будем. А вообще - из серии "не падает с велика тот кто не катается".
| | |
|
| 1.44, idontlikewebmonkeys (?), 16:07, 16/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дыры есть везде, даже в центре млечного пути, но увы, это более понятно тем, кто древнее, и не понятно тем, в ком больше необеспеченной ничем гордыни.
| | |
| |
| 2.47, Анонус (?), 18:31, 16/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Дыры есть везде
Но в дуршлаге их больше, чем в чайнике. Поэтому чай заваривают во втором.
| | |
|
| |
| 2.81, Брат Анон (ok), 09:55, 17/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Иногда, да. Например при загрузке непонятно каких файлов пользователем бывает полезно посканировать.
| | |
|
| 1.82, San (??), 10:40, 17/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Подкину повод для ...
$ grep BUILD_DEPENDS /usr/ports/security/clamav/Makefile
BUILD_DEPENDS= ${RUST_DEFAULT}>=1.56.0:lang/${RUST_DEFAULT}
| | |
| |
| 2.90, пох. (?), 13:58, 17/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Подкину повод для ...
> $ grep BUILD_DEPENDS /usr/ports/security/clamav/Makefile
> BUILD_DEPENDS= ${RUST_DEFAULT}>=1.56.0:lang/${RUST_DEFAULT}
это видимо уже _начали_ переписывать. Но поскольку альтернативно-одаренные ничего кроме CoC.md не написали - ой, увизгвимости.
| | |
| 2.94, Аноним (94), 20:50, 17/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
с разморозкой, товарищ
этой фне уж год как а то и больше
если честно - пох абсолютно, их и раньше можно было использовать только самосбором, а добавив раст в зависимости, лично у меня желание собирать и использовать етот продукт они отбили окончательно.
| | |
|
| 1.93, Аноним (94), 20:43, 17/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>файлов со специально оформленными дисковыми образами в формате HFS+.
>специально оформленных файлов в формате DMG
стесняюсь спросить - хакер с солонкой прикупил по случаю старый макбук?
| | |
|
