| 1.1, Аноним (1), 09:50, 13/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– | |
> Уязвимость (CVE-2023-38633) в библиотеке librsvg
Вот переписали бы на... Ой, это ведь была libsvg когда-то.
| | |
| |
| 2.3, Анонимусс (?), 10:29, 13/08/2023 [^] [^^] [^^^] [ответить]
| +9 +/– |
Ну так именно поэтому тут проблема с путями, а не с переполнением буфера или overflow как в дыряшке в соседних уязвимостях.
| | |
| |
| 3.4, Sergey (??), 10:34, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
А где по вашему больше виноват человек (кодер) где пути или где память ?
| | |
| |
| 4.5, Анонимусс (?), 10:41, 13/08/2023 [^] [^^] [^^^] [ответить]
| +6 +/– |
И там и там виноват)) Но с памятью ошибки опаснее, пути не дадут выполнить произвольный код.
Поэтому у этой уязвимости CVE-2023-38633 score 7.5, а у уязвимости в CVE-2023-3824 с памятью - 9.4 CRITICAL.
Чувствуется разница? А вообще все эти уязвимости с выходом за пределы родного каталога - просто результат черехж0пно спроектированной оси.
Просто дыряшке ты с легкостью сделаешь обе ошибки, а в растишке нужно постараться, чтобы накосячить с памятью.
| | |
| 4.99, Аноним (99), 03:01, 16/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> А где по вашему больше виноват человек (кодер) где пути или где память ?
Ну, это как установить мину, а потом сказать - виноват тот, кто наступил, не надо было наступать.
| | |
|
|
| 2.22, Шарп (ok), 12:37, 13/08/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Там логическая ошибка, а не типичный сишный обсёр с указателями.
| | |
| |
| 3.24, Аноним (-), 13:14, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Нет, это типичная логическая ошибка на Расте, каких в будущем будет много. И такой тип ошибок превратится в класс уязвимостей.
| | |
| |
| 4.97, Аноним (97), 03:51, 15/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Это типичная ошибка на чем угодно, и это отдельный класс уязвимостей с тех пор, как вообще существуют относительные пути.
| | |
|
| 3.55, Anon3 (?), 17:35, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ну так и об указателях можно сказать, что это логическая ошибка работы с указателями.
Я уже начинаю считать количество типичных обс_ров разработчиков на rust при работе с файлами, включая https://www.opennet.ru/opennews/art.shtml?num=59548
Есть гипотеза, что rust развращает, и разработчик ожидает, что работа с файлами будет такая же безопасная как с указателями.
Вот что мешает разработать и встроить в rust безопасную работу с файлами с учетом их владения, передачи (включая по сети) и времени жизни? Rust начинали писать на OCaml, эту задачу может проще будет решить (для начала) на каком нибудь Coq, Agda, Idris
| | |
| |
| 4.61, ИмяХ (?), 18:54, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это не получится. Надо создать новый язык, заточеный на безопасную работу с файловыми путями. И рекламировать его везде, вставляя по три больших абзаца текста про безопасную работу с файловыми путями, избавляя программиста от типичных ошибок выхода за пределы рабочего каталога
| | |
| |
| 5.68, Anon3 (?), 20:38, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну, не то, чтобы не получится.
Но, наверно, вы правы.
Во первых семантика работы с обьектами файловой системы и указателями может не совпадать и будет код на rust похожый на кашу (сейчас, то rust - образец элегантности)
Во вторых, не всем нужна работа с файлами (может же персистентность обеспечиваться СУБД, etc)
А вот rust, и всю его инфраструктуру, видимо надо позиционировать как stateless, всю работу с IO обьявть unsafe.
Итого: rust, не язык общего назначения, а вычислитель с перекладыванием байтов в оперативной памяти
| | |
|
|
|
| 2.30, Аноним (30), 14:12, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вот именно, это лишний раз доказывает, что сознательные программисты/компании не зря (пусть не сразу) отказываются от сишки/плюсов. В них бы на одну эту "логическую" ошибку было бы в довесок еще две-три-четыре критических ошибки работы с памятью. Отрадно видеть, что в целом ЯП дает то, что обещает. Думать за программиста над задачей он не обещал. Это вам к чатгопоте будущих версий.
| | |
| |
| 3.45, Аноним (45), 15:43, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
А, ну да, точно. И поэтому гугловцы решили переписать сетевой стек фуксии с го на плюсы.
Видишь ли в конторах где умеют проверять уровень тупости программистов существуют отборочные вопросы и там сразу понятно кто явился. Растишка если бы был панацеей уже применялся бы вообще везде.
| | |
| |
| 4.67, Аноним (67), 20:27, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пока что только отзывы от фанатов в духе "выбрать ржавчину было самой большой ошибкой моей жизни" и далее перечень объективных причин, почему это действительно оказалось плохой идеей. Но, в то же время, ржавчина всё ещё лучше сотен аналогичных моднявых язычков, и если таких неудачников не будет, она никогда не станет юзабельной. Поэтому, чем больше провалов, тем лучше.
| | |
| |
| 5.93, Аноним (93), 22:37, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Какой современный "социолог". Расплывчатый сомнительный опрос и твердый вывод "это действительно оказалось плохой идеей"
| | |
|
|
|
|
| 1.6, Аноним (-), 10:45, 13/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
1. phar_dir_read ошибка в файле dirstream.c немного ошиблись с вычислением размеров, бывает
2. логическая ошибка парсинга
3. GStreamer - в файле rmdemux.c забыли вычислять size для gst_buffer
4. xen-netback/netback.c - buffer overrun, какая неожиданность!
5. в жабаскрипте не силен, но тк там нет строгой типизации, то не удивительно
6. urllib.parse - забыли экранировать ввод? странная ошибка для такой древней либы
7. GNOME Files... проблема suid на пеньке появляется регулярно, возможно дело не в руках, а архитектуре
8. и логическая ошибка в librsvg, почти как в PHP что вдвойне обидно)
| | |
| |
| 2.9, Sergey (??), 10:49, 13/08/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я про то что как бы оказалась что Раст будет способствовать понижению уровня программиста.
| | |
| |
| 3.11, Аноним (11), 10:54, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
ты делаешь такой вывод из одной cve'шки ?
было бы интересно глянуть, что там было до переписывания (но лень)))
может логику транслировали 1-в-1 со всеми ошибками
| | |
| |
| 4.73, tty0 (?), 00:43, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
История помнит Delphi. Раст, конечно, не столь удобный и продуманный, но все возможно.
| | |
|
| 3.13, Анонин (?), 11:08, 13/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ахаха, а у сишных бракоделов, которые даже размер буфера вычислить не могут, сильно высокий уровень??
| | |
| |
| |
| 5.26, Аноним (26), 13:38, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Посмотри на число уязвимостей и сложи 2+2(про переполнение не забудь)
| | |
| |
| 6.28, Аноним (67), 14:07, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Посмотри на чём пишут софт и на чём только переписывают привет миры и сложи 1 и 1.
| | |
| |
| 7.32, Аноним (30), 14:20, 13/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Посмотрел. В андроиде (в последнийх версиях) _новую_ нативную системщину стараются писать на расте и выкидывают к хе.рам собачьим си/плюсы. Старую сишню/плюсовину пока переписывать не собираются, там же рациональные люди, не фанатики - слишком дофига написано, всё не перепишешь, плюс в старом уже большинство ошибок вылизано. Зато радуются, что в ядро растишку всунули. Грозятся, что когда вызреет то и в ядро на расте будут писать, ибо все эти сишные баги их достали. Так что держись там.
https://security.googleblog.com/2022/12/memory-safe-languages-in-android-13.ht
| | |
| |
| 8.39, Аноним (67), 14:26, 13/08/2023 [^] [^^] [^^^] [ответить] | –1 +/– | Как я понимаю, ты радуешься за успехи корп в эмбеддовке, но это не серьёзно Как... текст свёрнут, показать | | |
| |
| 9.41, Аноним (30), 14:41, 13/08/2023 [^] [^^] [^^^] [ответить] | –2 +/– | Похоже, не читал ссылку Свободен, пионер Скоро в школу ага, попробуй найди ст... текст свёрнут, показать | | |
|
|
|
|
| 5.59, Анонин (?), 18:22, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Если бы умели считать, то и уязвимостей не было))
glibc https://www.opennet.ru/opennews/art.shtml?num=59529
"Устранена уязвимость CVE-2023-25139, приводящая к переполнению буфера в функциях семейства printf при записи в буфер строковых представлений чисел с разделителями тысячных диапазонов, если размер буфера рассчитан без учёта разделителей (например, вывод 1,234,567 приведёт к переполнению на 2 байта)."
| | |
|
|
|
| 2.21, Аноним (21), 12:19, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
5. Оно и видно что не силён, ведь все 7 из 7 уязвимостей в ноде ни как не связаны с динамической типизацией
| | |
|
| |
| 2.14, Анонин (?), 11:10, 13/08/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Проблема не с путями, а с тем, куда ось дает доступ.
То что кто угодно может читать что угодно было нормально в дремучие времена юниксов.
| | |
| |
| 3.17, Sergey (??), 11:55, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Selinux может ограничивать доступ не только к файлам и сетке но и к памяти ...
| | |
| |
| 4.29, Анонин (?), 14:10, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Может, это круто. Ну и где ваш Selinux? Его нужно установить и настроить, причем правильно настроить, а то будет еще хуже. В AppArmor можно тоже прописать deny path, а толку.
Это должно быть в оси по умолчанию. Каждая аппа получает доступ к своей папке в хомяке и больше никуда. Все остальные запросы на доступ идут через запросы к оси и юзер дает права. Или прописываются ручками в отдельном конфиге, если так удобнее.
| | |
| |
| 5.46, Аноним (46), 15:47, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
В первом абзаце жалуется на то, что ему SELinux папа не настроил, и тут же во втором просит дать ему SELinux ручками настраивать. Подростки такие подростки…
| | |
| |
| 6.58, Анонин (?), 18:16, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Еще раз для таких отбитых как ты))
SELinux - это просто костыль для ядра, потому что в свое время нормально не сделали, а потом уже поздно было переделывать. Контроль доступа к каталогам должен (был) быть неотъемлемой частью ядра. Но что есть, то есть.
| | |
| |
| 7.64, uis (??), 19:21, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
И как же должно быть нормально, о великий кексперт?
| | |
| 7.92, Аноним (93), 22:30, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Что бы сделать что-то подобное мандатному доступу - надо договориться. Кому надо - поставят и настроят костыль.
| | |
|
|
| 5.62, Sergey (??), 19:11, 13/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
В смысле установить и намтроить ? В Федоре все по дефаульту пашет.
В 2005 году (точно не помню) бяла утечка ПХП и пол инета сайты потюкали, а что были на Шапке не пострадали.
| | |
|
|
|
|
| 1.15, Аноним (12), 11:12, 13/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
Специальные элементы директорий '.' и '..' были большой ошибкой и костылём для того, чтобы bat-файлы, не имеющие ООП, было легче писать. Давно пора прекратить обработку '.' и '..' на уровне ядра и сломать все программы, от этого зависящие. Кому нужна родительская директория - пусть используют API операционной системы, POSIX API или std::filesystem. Это и есть окончательное решение вопроса.
| | |
| |
| 2.75, Аноним (75), 05:40, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Вот это очень правильно. Тем более, что в хорошей фс может быть не единственный родительский каталог.
| | |
| 2.83, Аноним (-), 18:23, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Специальные элементы директорий '.' и '..' были большой ошибкой и костылём для
> того, чтобы bat-файлы, не имеющие ООП, было легче писать. Давно пора
> прекратить обработку '.' и '..' на уровне ядра и сломать все
> программы, от этого зависящие. Кому нужна родительская директория - пусть используют
> API операционной системы, POSIX API или std::filesystem. Это и есть окончательное
> решение вопроса.
Видите ли - так еще много контента ресурсы референсит. Кроме того - а как вы навигировать по иерархии будете без .. ? А назад возвращаться как?
| | |
|
| 1.18, Аноним (18), 11:59, 13/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Уязвимость в librsvg?! Не может быть! Эта библиотека написана на безопасном языке!
| | |
| |
| 2.20, Аноним (20), 12:14, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Дык и уязвимость безопасная. Просто фича такая, не дырень же.
| | |
| 2.40, Аноним (30), 14:30, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Все верно. Там ведь наверное выход за пределы массива? Или обращение к невыделенной памяти? Или, может быть, ее дважды освободили? Хм... Так, что там еще... "Думать за программиста над задачей, предметной областью и не допускать АБСОЛЮТНО ЛЮБЫХ ВООБРАЗИМЫХ ошибок"? А, нет, это сишники выдумали это утверждение и приписывают его растоманам и языку. Пусть тешатся, болезные, ибо как им еще самоутверждаться, оправдываться за 70% ошибок в своих поделках.
| | |
| |
| 3.50, Аноним (78), 16:32, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так растовики и считать не умеют выдумывают проценты и сами в них верят.
| | |
| 3.52, gleb (?), 16:40, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Не-а. Это наглядная иллюстрация к утверждению, что Раст затрудняет процесс написания (требует повышенного внимания программиста) и следовательно, косвенно способствует появлению логических ошибок.
Сдаётся мне, таких новостей будет появляться всё больше.
| | |
| |
| |
| 5.100, glebiao (ok), 15:30, 16/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
 а время покажет.
пока утверждение косвенно подтверждает :) тот факт, что ВСЕ проекты на Расте пишутся чрезвычайно долго и результат, по-первости, падает на любой чих (яркий пример: inkscape позапрошлого года)
| | |
|
|
|
|
| 1.23, Аноним (23), 12:39, 13/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Нет, Rust тут не поможет: ни один баг не про double-free и не про use-after-free, а больше никаких гарантий этот язык не дает.
| | |
| 1.27, Витюшка (?), 13:46, 13/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Интересно, как поможет Rust, если он тихо проглатывает численные переполнения в арифметических операциях?
Значит скоро полезут уязвимости.
| | |
| |
| 2.56, Аноним (56), 18:09, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Переполнения не выходят за границы отведенной памяти. Значение становится невалидное. Кроме того, можно указать поведение в случае переполнения.
| | |
| |
| |
| 4.74, Анонимусс (?), 02:22, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Там же по ссылке написано
> thread panicked at 'index out of bounds
Проверка не дала выйти за границу.
| | |
| 4.90, Аноним (93), 22:08, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
доступ по индексу проверяется в рантайме. Программа аварийно завершилась - доступа за пределы не было.
| | |
| |
| 5.96, Витюшка (?), 00:17, 15/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
В Rust индекс имеет тип usize. А значит при overflow вновь попадёт в валидный индекс 0.
Это никак в runtime не проверить.
Вот тебе и яузвимость - доступ к другому участку памяти.
А там и данные могут быть с root правами, или спец значения и ТД.
| | |
|
|
|
|
| 1.43, Kuromi (ok), 15:27, 13/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 "при обработке файлов в формате RealMedia"
Ну вряд ли много кто сейчас помнит-то о таком формате, не то что пользует. Такое найти можно только в пыльных архивах и еще кое где.
Не самый удачный формат для использования уязвимости.
| | |
| |
| 2.44, Аноним (67), 15:37, 13/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Тем не менее, этот формат должен поддерживаться, иначе пользователи будут ныть. А значит, формат максимально удачный. Только вчера выяснял, почему в свеженькой игрушечке не работает видео, и там как раз этот формат оказался.
| | |
| |
| 3.69, Аноним (69), 20:59, 13/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>этот формат должен поддерживаться, иначе пользователи будут ныть
Утрутся и сконвертируют. Распространители контента, не пользователи. У пользователей не ffmpeg виноват будет, а те, кто контент во всратом формате, а не в общепринятых h.264 h.255 vp9 в кортейнерах и mp4 mkv (и варианте webm) публикует.
| | |
| |
| 4.70, Аноним (67), 21:40, 13/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Но ведь у пользователей всё работает. Это очень популярный формат на самом деле, куда популярнее, скажем, общепринятых ogg+theora/daala.
| | |
|
|
|
| 1.72, Минона (ok), 00:38, 14/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Это все от использования всяких ИИ-копилотов.
Деградация налицо, обленились.
| | |
| 1.80, Аноним (80), 16:16, 14/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Уязвимость в GNOME Files, связанная с сохранением suid-бита в файлах, извлечённых из zip-архивов
С каких пор это уязимость? Если хомяк не монитруется с noexec, то ЭТО уязвимость (дистрибутива). Если пользователь запускает что-то, установленное в обход пакетного менеджера, то ЭТО уязвимость (между экраном и клавиатурой). А сохранение атрибутов файлов - это стандартная функция менеджера архивов.
| | |
| |
| 2.82, Аноним (67), 18:15, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Попробуй /tmp монтировать с noexec, потом поделишься впечатлениями. Сам ты уязвимость, малварь выглядит совсем не так, как ты её себе представляешь. Например, устанавливаемые из самых что ни на есть реп chrome и vscode -- малварь чистой воды.
| | |
| |
| 3.84, другой Аноним (?), 19:11, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
 > Попробуй /tmp монтировать с noexec, потом поделишься впечатлениями.
А чо такого?
% mount -v /tmp
tmpfs on /tmp (tmpfs, local, noexec, nosuid)
% stattime /etc/fstab
File: /etc/fstab
Access: 20:34:55 15/11/2014
Birth: 18:47:56 14/11/2013
Modify: 15:23:23 03/06/2021
Change: 15:23:23 03/06/2021
% uptime
18:10:04 up 159 days 17:34
| | |
| |
| 4.86, Аноним (67), 19:16, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Маловероятно, что это рабочая станция -- куча юзерского софта обломится. Да и смысла особого нет, если только нет цели огородить находчивого юзера.
| | |
| |
| 5.87, другой Аноним (?), 19:23, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Маловероятно, что это рабочая станция -- куча юзерского софта обломится.
Угу, это не рабочая станция, это ноут, с которого я пишу этот коммент. И да, "куч" обламывающегося не видел, проблемы обычно лишь у весьма специфичных смузи-поделок (сборка некоторых модулей для питона, ржавчины и прочее современное "sudo curl | sh")
| | |
| |
| |
| 7.89, Аноним (89), 22:06, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Вайнтрикс?
Да вроде работал пару лет назад (не помню уже для чего использовал - вино у меня только для пары старых игрушек стоит).
> DE?
Нету. Еще лет 10 назад надоело регулярное "мы тут опять улучшили и перетасовали, привыкайте".
Есть набор программ - частью стянуто из кед (Okular, Dolphin), частью "когда-то наткнулся и с тех пор пользуюсь".
Под сборку и прочее есть отдельный /tmp-build
| | |
|
|
|
|
| 3.91, Аноним (93), 22:23, 14/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Попробуй /tmp монтировать с noexec
В Debian 10 многие tmpfs смонтированы с noexec и nosiud по-умолчанию.
Запускать что-то из /tmp крайне подозрительно.
| | |
|
|
| 1.94, Аноним (93), 22:41, 14/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Проблема "../" в том, что, как сказал релокант, нот всего семь. А играть приходиться и на свадьбах и на похоронах. Происходит смешение.
| | |
|
