The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в утилите GNU split, приводящая к переполнению буфера

24.01.2024 10:07

В утилите split, поставляемой в пакете GNU coreutils и применяемой для разделения больших файлов на части, выявлена уязвимость (CVE-2024-0684), приводящая к переполнению буфера при обработке длинных строк (несколько сотен байт), в случае использования в split опции "--line-bytes" ("-C"). Уязвимость была выявлена в ходе анализа сбоев, возникающих при использовании утилиты split для разделения данных, передаваемых при помощи QR-кодов.

Уязвимость вызвана ошибкой, допущенной в выпуске coreutils 9.2 при замене вызова функции xrealloc на xpalloc. Патч с исправлением уже принят в кодовую базу, но новая версия с исправлением пока не сформирована. Для демонстрации проявления уязвимости опубликован пример файла, вызывающего переполнение при запуске "split -C 1024 ./split_me".

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Выпуск набора утилит GNU Coreutils 9.4 и его варианта на языке Rust
  3. OpenNews: Опасная уязвимость в GNU strings и других утилитах binutils
  4. OpenNews: Уязвимость в утилите GNU sort
  5. OpenNews: Уязвимость в утилите eject, позволяющая повысить свои привилегии
  6. OpenNews: Опасные уязвимости в утилитах beep и patch
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60490-coreutils
Ключевые слова: coreutils, split
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (140) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:18, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    То ли ещё будет когда split научат с Unicode работать, точно наступят на все возможные грабли, как наступили в sort. Сейчас split только байтовые счётчики поддерживает и корежит при разделении текст в многобайтовых кодировках.
     
     
  • 2.23, adolfus (ok), 11:44, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что с sort не так? Просто указываешь какой LC_COLLATE нужен и все. Или еще короче -- LANG
    $ LANG=C sort file
     
     
  • 3.79, Аноним (1), 15:27, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А что с sort не так?

    https://bugzilla.suse.com/show_bug.cgi?id=928749

     
  • 2.178, Бывалый смузихлёб (?), 10:28, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > cwrite (n_out == 0, hold, n_hold);
    > n_out += n_hold;
    > - if (n_hold > bufsize)
    > -   hold = xirealloc (hold, bufsize);
    > n_hold = 0;
    > - hold_size = bufsize;

    Учитывая что весь патч - это не переделка, а просто выкидывание какого-то ненужного гомна без которого работает даже лучше, это и граблями называть едва ли корректно

    В итоге окажется что какой-то очередной эксперимент по впиливанию незаметных дыр в попенсорс
    Или - откровенная криворукость и отсутствие внятного тестирования

     

  • 1.2, cheburnator9000 (ok), 10:26, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Срочно переписать на rust.
     
     
  • 2.4, НяшМяш (ok), 10:39, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Уже: https://uutils.github.io/coreutils/book/utils/split.html
     
     
  • 3.7, Аноним (7), 10:47, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    v0.0.24
    что именно тут уже ?
     
     
  • 4.26, Аноним (26), 12:08, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > v0.0.24
    > что именно тут уже ?

    Уже в версии v0.0.24 дыреней меньше, чем в coreutils 7.2.

     
     
  • 5.27, Аноним (7), 12:16, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    как вы это определили ?
     
     
  • 6.120, Аноним (-), 18:06, 24/01/2024 Скрыто ботом-модератором
  • –1 +/
     
  • 4.91, Аноним (91), 16:44, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуюсь полгода, всё отлично работает
     
     
  • 5.96, Аноним (7), 17:02, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    я пользуюсь оригинальной coreutils и представьте тоже всё отлично работает
     
     
  • 6.106, Аноним (106), 17:49, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так на здоровье, рад за вас.
     
  • 3.89, Вы забыли заполнить поле Name (?), 16:21, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Готов поспорить ты этим не пользуешься
     
     
  • 4.93, Аноним (91), 16:44, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну я пользуюсь, задавай вопросы.
     
  • 2.66, Аноним (66), 14:41, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Срочно переписать на rust.

    Не дождёдесь. Эти скорее на Guile перепишут.

     
     
  • 3.87, Аноним (-), 16:17, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы перепишем на любом языке, который имеет одобрение Столлмана и имеет строгую, непримиримую по отношению к проприетарщикам и пермиссивщикам, лицензию.
     
     
  • 4.107, Аноним (106), 17:51, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Guile, common lisp. Вперёд. Это не должно быть очень сложно)
     
     
  • 5.128, Аноним (128), 19:03, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На CL такое действительно пишется за вечер, с тестами и документацией.
     
     
  • 6.130, Аноним (7), 19:08, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    не рассказывайте им )))
     
  • 6.146, Аноним (146), 21:47, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну собственно я знаю. Но обычно те кто "лишь бы батька одобрил фар фап" умеют писать только на матерном русском.
     
  • 4.125, Аноним (125), 18:48, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно, но у Guile, несмотря на то что это "гнушный" язык , лицензция как раз таки совместимая с проприетарщиной и пермессивщиной. И ментейнеры его, насколько я знаю, со Столлманом не особо дружат.
     
     
  • 5.126, Аноним (-), 18:59, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так LGPL это наверное единственная гну лицензия, не похожая на раковую опухоль.
    Удивительно что поехавшие вообще разрешили ее создать.
     
     
  • 6.147, Аноним (146), 21:50, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не удивительно. Это единственная лицензия, которая 1) является одобренной гну 2) позволяет бороде получать лавандос напрямую от компаний, а не откаты от универов как он привык. Самое смешное, что это схема не работает. В принципе это всё что надо знать о его умственных способностях.
     
     
  • 7.152, Аноним (152), 23:24, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, план очень тупой, но что-то мне подсказывает, что ты его сам только что нафантазировал. Потому что доходы деда абсолютно никак не зависят от того, какие лицензии использует гнутый софт. Дед как бомжевал с донатов с fsf, так и продолжает бомжевать.
     
  • 3.113, Вы забыли заполнить поле Name (?), 17:56, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>Срочно переписать на rust.
    > Не дождёдесь. Эти скорее на Guile перепишут.

    Как будто это плохо.

     

  • 1.3, Аноним (3), 10:37, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нет, ну а что хотят уважаемые эксперты по Си? Сишка - сложный системный язычок, чтобы на нём писать, погроммист должен 150 раз обдумать поведение каждой строчки на выход за пределы, переполнение, нулевые указатели-сегфолт, деление на ноль и т.д. и т.п. На написание полностью безопасной утилиты на Си нужно много лет работы лучших инженеров по Си, вот так то...
     
     
  • 2.8, Аноним (8), 10:49, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Другое дело раст: мозги в принципе не включают, считая что safe магия их спасет от всех проблем, а она почему-то не работает, да ещё новые проблемы добавляет. Так ещё и гораздо медленнее. Но в каждой новости конечно хруст надо приплести, который с 2014 года использовался только во всякой ерунде.
     
     
  • 3.11, Аноним (3), 10:53, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причём тута раст? Я пишу про сишку! Тебе раст просто мерещится! Кроме раста есть плюсы, хоть громоздкие, но там есть сморт пойнторс и RAII, а сишка - это же вообще технология без всякой защиты. Язычок из 80-х годов.
     
     
  • 4.20, Аноним (20), 11:38, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а сишка - это же вообще технология без всякой защиты

    то что надо для написания ядер ОС и драйвер. А всякие умные указатели и прочие RAII - это всё для прикладухи, а не для системщины.

     
     
  • 5.22, Аноним (22), 11:41, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > то что надо для написания ядер ОС и драйвер.

    Да, именно то что нужно!
    Чтобы дырень в твоем драйвере, написанном лучшими погромистами из имеющихся, рутанула тебе всю ОСь))

     
     
  • 6.25, Аноним (20), 12:01, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ОЙ, да не завидуй ты так. Ты ни на каком языке никакого драйвера не напишет, даже на самом безопасном.
     
     
  • 7.53, Аноним (53), 13:55, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Лучше тот, кто не пишет драйверов, чем тот, кто пишет их на сишке.
    Первый хотя бы не делает хуже.
     
     
  • 8.97, Аноним (20), 17:02, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ты получается круче всех инженеров в IBM RedHat Я горжусь, что живу в одно врем... текст свёрнут, показать
     
  • 6.118, Аноним (106), 18:01, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Он прав. Ядра ОС это пожалуй единственная ниша для сишки. Драйверы - нет.
     
  • 4.30, adolfus (ok), 12:35, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если внимательно читать IEEE Std 1003 1 aka POSIX и разного рода rationale про ф... большой текст свёрнут, показать
     
     
  • 5.137, stalinus (?), 19:32, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё верно, но зря ты так подробно расписал. Анонимы opennet читают первые десять слов, а дальше у них происходит переполнение буфера со стиранием уже прочитанного.
     
     
  • 6.150, Аноним (-), 23:20, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "дальше у них происходит переполнение буфера со стиранием уже прочитанного"

    Они что тоже на СИ написаны?
    Вот это откровение!
    Но тогда понятно почему некоторые настолько дырявые)

     
     
  • 7.170, berium (?), 05:30, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Переполнение буфера реализуется в коде на любом языке программирования, даже Rust от этого не спасёт.
     
  • 5.158, Аноним (158), 23:51, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе про Фому, а ты про сисколы. Да еще и человека соблазнил тебе чаю подлить.
     
  • 3.28, Аноним (-), 12:16, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А сишники забавные ребята. Каждый раз когда ты начинаешь их мордочкой тыкать в их... эээ... код, они начинают верещать про раст, про его проблемы, то что он не серебрянная пуля и тд.
    Мы тут не раст обсуждаем, да и кроме него есть еще другие языки.
    Скажите уже что-то дельно в оправдание дыряшки. А пока что мозги не включают сишники.

    PS. хруст первым приплел ты))

     
     
  • 4.171, berium (?), 05:39, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет разницы кто и кого первым приплёл.

    Когда кодовая база на языке "ВАШЕНАЗВАНИЕ" достигнет объёмов кодовой базе на C/C++, тогда можно будет сделать какие-то выводы.

    В будущем Rust займет какую-то нишу, но она будет существенно ниже C/C++, т.к. в последние года произошло размытие проектов по разным языкам программирования, а не как в 80/90-ых выбор между пятеркой языков, из которых два лидировали с колоссальным отрывом.

     
     
  • 5.179, Советский инженер (ok), 10:30, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет разницы кто и кого первым приплёл.

    разница есть. потому что такая ошибка, как описана (креш на некорректных входных данных), должна выявляться на этапе тестирования, которого, очевидно нет. и да, язык программирования тут уже ничего не исправит, просто кодеркам похер на качество.

     
     
  • 6.193, Совершенно другой аноним (?), 13:06, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>Нет разницы кто и кого первым приплёл.
    > разница есть. потому что такая ошибка, как описана (креш на некорректных входных
    > данных), должна выявляться на этапе тестирования, которого, очевидно нет. и да,
    > язык программирования тут уже ничего не исправит, просто кодеркам похер на
    > качество.

    Тесты у них есть, как минимум с 1993 года. Ошибка была внесена в coreutils 9.2 (2023-03-20). Очевидно, именно эта ситуация не тестируется.

     
     
  • 7.197, Советский инженер (ok), 18:22, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Тесты у них есть

    ага, есть но мягкий ...

     
  • 2.194, Аноним (194), 13:27, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Сишка - сложный системный язычок, чтобы на нём писать, погроммист должен 150 раз обдумать поведение каждой строчки на выход за пределы, переполнение, нулевые указатели-сегфолт, деление на ноль и т.д. и т.п.

    т.е. ты не осилил си и так и не научился конструктивно думать, а виноват, очевидно, язык?
    это язык тебя сюда загнал время на комменты тратить?

     

  • 1.15, Аноним (15), 11:23, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    xrealloc xpalloc... Это какой же должен быть пипец я языке чтобы было столько всяких от alloc от AAalloc до ZZalloc
     
     
  • 2.18, Аноним (20), 11:33, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Надо запретить люядм писать свои аллокаторы, sbrk и mmap хватит всем. И да, их тоже нельзя писать, надо просто купить и скачать единственно верную реализацию
     
     
  • 3.21, нах. (?), 11:41, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    они в ведре, к сожалению, а не в языке.

    Продать отдельно от вендыпоганой не получитсо.
    А в ней и так все хорошо - дай такому альтернативно-одаренному HeapAlloc - он и член сломает, и руки порежет, и код так и не скомпилится даже (так что - безопастно).

     
     
  • 4.24, Аноним (20), 11:58, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > они в ведре, к сожалению, а не в языке.

    Да понятно, просто чел возникал изначально, что людям дали malloc(), а им мало, они еще что-то там своё пишут. Плохой язык C, на нем можно свой аллокатор написать, если по какой-либо причине тебя не устраивает тот, который в libc

     
     
  • 5.32, пох. (?), 12:38, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    главное не говорите ему, что исходник alloc() есть в книжке k&r как образец совершенно тривиального Си кода для обучения.

     
     
  • 6.49, Аноним (53), 13:49, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кстати, сколько дыр в этой реализации? Наверное, с десяток.
     
  • 2.19, нах. (?), 11:37, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    это не в языке, дурашка, это - в головах.
    В процессоре нет никакого alloc, представляешь - вообще.

    А проблема именно тем и вызвана что новое альтернативно одаренное поколение полезло теребонькать то что не следовало трогать - затобезопастным способом.

    Лучше б оно на безопастном язычке, конечно, программировало, тут я с тобой согласен - нет кода, нет опастностей. Но увы, видимо настолько альтернативные, что не смогли освоить даже маркдаун.


     
     
  • 3.34, Аноним (-), 12:43, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, да, это все новое "новое альтернативно одаренное поколение"
    А кто писал шикарнейший код типа Dirty COW (CVE-2016-5195) которая жила с ядра 2.6.22?
    А кто выпрограммировал sock_sendpage (CVE-2009-2692) который жил с 2001 по 2009?

    В 2001 поколение смузихлебов, наверное, только в школу ходило.
    А все эти кучи наваливали те самые диды, которые сейчас на это самое поколение бухтят.

     
     
  • 4.41, Аноним (20), 13:26, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А кто писал шикарнейший код типа Dirty COW (CVE-2016-5195) которая жила с ядра 2.6.22?
    > А кто выпрограммировал sock_sendpage (CVE-2009-2692) который жил с 2001 по 2009?

    Ахахахах, а ты вообще ничего не написал, ахахаха

     
     
  • 5.46, Аноним (46), 13:43, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А где ваши доказательства? (с)
    Без пруфов это просто газификация лужи, что в принципе от лиютеля дыряшки и ожидалось)
    Но оправдывать кал-лег бракоделов это у вас принято, как я понял.
     
     
  • 6.51, Аноним (53), 13:53, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как говорят це-разработчики, "от всех этих дыр нам же только луДше!!1"
     
     
  • 7.59, Аноним (-), 14:17, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так правильно говорят!
    Чем запутанее код и чем больше там непонятных багов - тем меньше шансов, что такого уволят.
    Но даже если и уворят, то он найдет себе такой же проект написанный через одно место и будет сидеть на его поддержке годами.

    Ты почитай на чем должны зарабытывать ГНУтики, согластно манифесту коммуняки столмана.
    Правильно "на поддержке".
    А чтобы поддержка и денюжка не закончились, то баги тоже не должны заканчиваться.

     
  • 3.35, Аноним (-), 12:48, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это не в языке, дурашка, это - в головах.

    Полностью согласен!
    В головах у сишников, очевидно, опилки. Тк на протяжении 30-40 лет делать одни и те же ошибки...
    Это надо явно обладать альтрнативным мышлением.

    К сожалению целое поколение (а то и два) таких альтернативно одаренных сейчас сидит и пишут системы, от которых требуется максимальная надежность.
    Но хуже того - они противодействуют любым попыткам как-то изменить ситуацию - тк в этом случае все их знания о 193 Undefined Behavior в C99 становятся ненужными и они могут идти работать дворниками.

     
     
  • 4.50, Аноним (53), 13:51, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в этом случае все их знания о 193 Undefined Behavior в C99 становятся ненужными

    А были ли знания? 99% сишников про UB не задумываются. Если программа не падает на его компе и его входных данных, то она считается стабильной.

     
     
  • 5.57, Аноним (57), 13:59, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тебе сейчас тайну открою. 99% сишников пох, даже если падает. И не только сишников, потому что иди нах, задачу решает. Тратить время на нештатные случаи и маловероятные ситуации стоит только когда это является проблемой.
     
     
  • 6.60, Аноним (-), 14:22, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Отличное описание типи-кал СИ разработки.
    Сначала зачем "Тратить время на нештатные случаи и маловероятные ситуации", а потом:
    - у нас хартблид у половины интернета
    - почти все андроид телефоны оказывают дырявыми
    - машинки тойоты разгоняются сами по себе и убивают людей

    Имеено поэтому такой подход должен помереть (вместе с бракоделами)

     
     
  • 7.64, Аноним (20), 14:33, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Имеено поэтому такой подход должен помереть (вместе с бракоделами)

    И кто останутся? Один ты, ничего не написавший?

     
     
  • 8.65, Аноним (53), 14:39, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Повторюсь, чем писать дырявый код, лучше не писать код вообще Поэтому, если уда... текст свёрнут, показать
     
  • 8.68, Аноним (-), 14:44, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Свято место пусто не бывает Как сказал Линус - мы седые и старые, надо готовить... текст свёрнут, показать
     
     
  • 9.75, Аноним (75), 15:19, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Коллега, гордыня до бобра еще никого не довела Начиная с прегордого денницы Пу... текст свёрнут, показать
     
     
  • 10.82, Аноним (-), 15:50, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так я горжусь, что пол ляма народу ежедневно пользуются И это упрощает им жизнь... текст свёрнут, показать
     
     
  • 11.92, Аноним (20), 16:44, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Плин, ну ты вспомнил Я, до того как переехал в Европу, в России сменил больше 1... текст свёрнут, показать
     
     
  • 12.98, Аноним (-), 17:03, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не гордись Я ж тебя не заставляю Просто когда из этих людей есть например н... текст свёрнут, показать
     
  • 11.95, Аноним (75), 17:00, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не то чтобы я задроttством каким занимаюсь и к словам придираюсь, но на самом де... текст свёрнут, показать
     
     
  • 12.103, Аноним (-), 17:34, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не, сорри У меня выдуманные невидимые друзья закончились еще в детстве Ну т е ... текст свёрнут, показать
     
     
  • 13.111, Аноним (75), 17:56, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Здесь как Вам будет угодно Просто из собственного опыта рекомендовал Недавно у... текст свёрнут, показать
     
  • 9.77, Серб (ok), 15:23, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только вряд ли на rust Это хороший способ переманить разработчиков Потыкаются ... текст свёрнут, показать
     
  • 4.56, нах. (?), 13:58, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > К сожалению целое поколение (а то и два) таких альтернативно одаренных сейчас сидит и пишут системы

    ну так ты-то ничего кроме комментов на опеннете не умеешь... а ресдох, написанный "правильным" поколением - почему-то сдох. Что ж ето деется - никому, оказывается, даром не нужна безопастная ось? Попробуй приплачивать?

    > Но хуже того - они противодействуют любым попыткам как-то изменить ситуацию

    потому что пока что попытки сводятся к "давайте заставим их писать как НАМ хочется". От тех кто не умеет ничего кроме coc.md и мертворожденных переписываний того что в переписывании не нуждалось.

     
     
  • 5.63, Аноним (-), 14:33, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Инертность мышления то что во всяких коммитетах и ядре сидят такие же престаре... большой текст свёрнут, показать
     
     
  • 6.88, Ivan_83 (ok), 16:20, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я вам повторю, поскольку до вас никак не доходит 30 лет назад была куча безопас... большой текст свёрнут, показать
     
     
  • 7.94, Советский инженер (ok), 16:58, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >синтаксис понятен любому идиоту

    время идиотов в кодинге прошло

    >ошибки относительно легко исправляются, особенно современными инструментами

    все упоротые сишники все время рассказывают про эти современные инструменты, но элементарного fuzz testing так и не осилили на таком важном проекте !!!

    так что ты, прежде чем учить жизни растоманов, научись этими современными инструментами пользоваться, а не в коментах про них рассказывать.

     
     
  • 8.141, Ivan_83 (ok), 20:18, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О нет, как раз новое поколение пришло Просто когда мы бунтовали то переписыва... текст свёрнут, показать
     
     
  • 9.151, Аноним (-), 23:23, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Предположим, пользователи перезапустят А что делать с уязвимостями типа heartbl... текст свёрнут, показать
     
     
  • 10.162, Ivan_83 (ok), 01:09, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего, всё исправят в своё время, как обычно Прежде всего вы должны признатся ... текст свёрнут, показать
     
  • 7.99, Аноним (-), 17:10, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот вроде говорите правильные вещи, но выводы из них делаете мама родная Д... большой текст свёрнут, показать
     
     
  • 8.143, Ivan_83 (ok), 21:04, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    От того что у вас мобила лишний раз перезагрузится или приложение в ней - ничего... большой текст свёрнут, показать
     
     
  • 9.155, Аноним (-), 23:26, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У вас через браузер, через вьювер картинок или через пдф-просмоторщик уведут пар... большой текст свёрнут, показать
     
     
  • 10.164, Ivan_83 (ok), 01:18, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Мой банковский счёт не стоит таких усилий, будем честны, и ваш тоже Да да, и ... большой текст свёрнут, показать
     
     
  • 11.183, Аноним (-), 11:04, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Согласился бы, если бы усилия вообще были нужны Эксплойт может работать в автом... большой текст свёрнут, показать
     
     
  • 12.199, Ivan_83 (ok), 20:53, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это так не работает в банками, только щиткойнами Там нужна цепочка чтобы по быс... большой текст свёрнут, показать
     
  • 10.176, Совершенно другой аноним (?), 09:56, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощения, так-сказать на правах лингвиста, боюсь, что японский ни в чём не... текст свёрнут, показать
     
     
  • 11.190, Аноним (-), 12:02, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощения, но на правах учащего японский и знающего английский на уровне ср... текст свёрнут, показать
     
     
  • 12.192, Совершенно другой аноним (?), 13:05, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вроде как идея была правильная - все глаголы заканчиваются на 12427 , но ... текст свёрнут, показать
     
  • 9.156, жабабыдлокодер (ok), 23:40, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мобила лишний раз перезагрузится, томограф неправильные данные передаст, искусст... текст свёрнут, показать
     
  • 7.101, Аноним (-), 17:20, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да они и сейчас есть, Ада например и особенно Spark Pro Но, к сожалению, в яд... большой текст свёрнут, показать
     
     
  • 8.161, Ivan_83 (ok), 01:04, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так проблема в том, что вы этот санузел пытаетесь изуродовать со словами - как ... большой текст свёрнут, показать
     
  • 7.110, Аноним (110), 17:55, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кто о чем, а вшывый о расте.
    А ведь в коменте на который ты отвечал ни слова о расте.

    И да, один из безопасных языков это Ада.
    И Ада даже есть в гцц.
    Но диды упорно продолжают выходить за границы буфера.

     
  • 7.114, Аноним (106), 17:56, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Можно было просто написать "раньше было лучше, а теперь гогно, хотим быть идиотами" и получилось бы то же самое, но без балабольства.
     
  • 7.160, Аноним (-), 23:59, 24/01/2024 Скрыто ботом-модератором
  • +/
     
     
  • 8.165, Ivan_83 (ok), 01:49, 25/01/2024 Скрыто ботом-модератором
  • +/
     
     
  • 9.185, Аноним (-), 11:27, 25/01/2024 Скрыто ботом-модератором
  • +/
     
     
  • 10.202, Ivan_83 (ok), 21:37, 25/01/2024 Скрыто ботом-модератором
  • +/
     
  • 9.204, n00by (ok), 08:03, 26/01/2024 Скрыто ботом-модератором
  • +/
     
  • 7.175, Аноним (175), 09:31, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >синтаксис понятен любому идиоту

    ага особенно с void (*functionPtr)(void);
    и всякие && || ^ & | << >>

     
     
  • 8.181, Совершенно другой аноним (?), 10:42, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но согласитесь, у Rust с этим гораздо хуже fn longest a, b a x a Str... текст свёрнут, показать
     
     
  • 9.189, Аноним (-), 11:56, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Добавился символ , выкинули символ Не вижу ничего сложного - очень похоже in... текст свёрнут, показать
     
     
  • 10.191, Совершенно другой аноним (?), 12:20, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    не скажите Когда два подряд спец-символа, как-то глаз спотыкается и выглядит не... текст свёрнут, показать
     
     
  • 11.195, n00by (ok), 16:39, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это про одинарную кавычку Она ж во многих языках требует закрывающей пары Пото... текст свёрнут, показать
     
  • 10.200, Ivan_83 (ok), 21:04, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Таких макросов полторы штуки и нужны они крайне редко, если именно по нужде а не... текст свёрнут, показать
     
  • 7.182, Bottle (?), 11:01, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Фишка программ на С в том что они быстро и везде собираются

    Ахахаха, расскажи это разработчикам ядра Линукс. Особенно Инго Молнару, который целый год потратил на оптимизацию заголовочных файлов ядра, чтобы оно быстрее собиралось.

     
     
  • 8.198, Аноним (198), 18:40, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Растоманам лучше помалкивать о скорости сборки, а то выйдет неудобно ... текст свёрнут, показать
     
  • 2.136, RM (ok), 19:29, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот кстати почитать про palloc было занимательно, я например не знал что оно и зачем надо
     

     ....большая нить свёрнута, показать (61)

  • 1.29, Серб (ok), 12:35, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Забавный патч. Просто удаляет реалокацию? Она там вообще не нужна была?
     
     
  • 2.33, пох. (?), 12:41, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    конкретно в этом месте она была очевидно вообще мимо тазика.

    А то что там поулучшайкали в целом - патч не удаляет, оно теперь навеки с нами.

     
     
  • 3.74, Аноним (75), 15:14, 24/01/2024 Скрыто ботом-модератором
  • +/
     
  • 3.83, Аноним (75), 15:50, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О, вижу некие инновации. А говорили бот-модератор, ии, вот это все...а за ширмой как всегда Васян.
     
  • 2.100, n00by (ok), 17:10, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    shrink - это урезать буфер. "Преждевременная оптимизация - корень всех зол."
     
     
  • 3.169, Аноним (169), 02:45, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Преждевременная

    Сколько десятилетий этому коду? Это по человеческим меркам уже глубокий пенсионер, а вы размышляете отдавать ли его в детский садик или рановато ещё...

     
     
  • 4.180, n00by (ok), 10:31, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > вы размышляете отдавать ли его в детский садик или рановато ещё...

    Читаете мои мысли? Доктор в курсе?

     

  • 1.52, Аноним (52), 13:54, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >возникающих при использовании утилиты split для разделения данных, передаваемых при помощи QR-кодов

    Баш-скрипты надо запретить. Использовали бы питон - такой проблемы бы не было. Это им ещё повезло, если на выполнение данных, переданных в коде, как команды шелла не нарвались.

     
     
  • 2.58, Аноним (53), 13:59, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Баш-скрипты надо запретить.

    Одна из ключевых проблем баша — то, что он позволяет запускать программы, которые были написаны на сишке.
    Ещё одна — то, что он сам является такой программой.

    Питон (по крайней мере, классический cpython) в этом плане не сильно лучше.

     
     
  • 3.168, Аноним (169), 02:43, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Одна из ключевых проблем баша — то, что он позволяет запускать программы, которые были написаны на сишке.

    Погодите, давайте понаблюдаем как этот зумер переизобретёт идеальный сферический Java-процессор...

     
  • 2.69, Аноним (66), 14:47, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ещё бы shell не позволял запускать исполняемые ELF-файлы. Толку тогда от него.
     
     
  • 3.80, Аноним (80), 15:37, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Питон позволяет отлично и удобно запускать исполняемые файлы. amoffat/sh. Но что намного важнее, он обладает нормальной типизацией, нормальными функциями, нормальной системой модулей, нормальной стандартной библиотекой и нормальным синтаксисом, и поэтому там не приходится извращаться с запуском чужих бинарей, что кстати ещё и медленно, с взаимодействием с ними через извращённые интерфейсы, зачастую in-band, что приводит к хрупкости и атакам. Кто использует баш вместо питона для чего-либо сложнее find . -exec echo hello {} \; - того вон из профессии.
     
     
  • 4.81, Аноним (81), 15:41, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Унас есть такая пословица

    >you are only as good, as your tools.

    Хоть ты сто раз мнишь себя гением, если ты используешь баш вместо питона, то есть выбрал неправильный инструмент для задачи, то ты не гений.

     
     
  • 5.86, Аноним (57), 16:05, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Желание везде пихать любимый яп вместо баша тоже детектор отклонений кстати.
     
     
  • 6.108, Аноним (106), 17:54, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Баш это клей для конвейеров. Если вы используете что-то большее, чем вызовы и циклы - скорей всего вы выбрали баш неправильно.
     
  • 2.85, User (??), 15:58, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Фигня в том, что (Парадоксально, да?) bash - язык существенно более "высокоуровневый", нежели python. Т.е. заменить одно на другое кнешн можно - но писать придется прям существенно больше с понятными последствиями по качеству писева.
     
     
  • 3.131, Аноним (128), 19:10, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > писать придется прям существенно больше

    И вот тут бы примеры привести, но нет, User не смог для этого встать с дивана.

     
     
  • 4.145, User (??), 21:26, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> писать придется прям существенно больше
    > И вот тут бы примеры привести, но нет, User не смог для
    > этого встать с дивана.

    Ээээм... возьмите любой однострочник на баше (Ну хоть один-то видеть должны были, да?), чтоли - и попробуйте его в python-скрипт преобразовать. Фиг с ним с бойлерплейтом (Хотя его тоже больше) - таки ж ведь и кода больше придется писать.

     
     
  • 5.163, Аноним (57), 01:14, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты неправ, баш приспособлен под определённые задачи куда лучше любых альтернатив. И да, кода меньше. Как мне видится, основное его ограничение в том, что всё, по-сути, строки, и нет возможности эффективно оперировать байтовыми последовательностями (в частности, больше всего не хватает IFS=\0 или чего-нибудь вроде того). К 45 годам нагромождений легаси и ограничений можно привыкнуть, к невозможности работать с произвольными именами файлов без find -- нет.
     
     
  • 6.173, User (??), 08:11, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты неправ, баш приспособлен под определённые задачи куда лучше любых альтернатив. И
    > да, кода меньше.

    В том плане, что не "более высокоуровневый", а "фактически DSL"?

    >Как мне видится, основное его ограничение в том,
    > что всё, по-сути, строки, и нет возможности эффективно оперировать байтовыми последовательностями
    > (в частности, больше всего не хватает IFS=\0 или чего-нибудь вроде того).
    > К 45 годам нагромождений легаси и ограничений можно привыкнуть, к невозможности
    > работать с произвольными именами файлов без find -- нет.

    В тикле кстати все тоже строки - и в общем-то норм. А за шеллом, построенным на принципах моложе поздних 70х\ранних 80х - вам пожалуй что в microsoft :). Xonsh\ipython все же сиииильно не дотягивают - те же яйца, вид в профиль.

     
  • 5.167, Аноним (169), 02:40, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема с башем та же, что и с Перлом - сплошной write-only код получается, наполовину состоящий из спецсимволов. Конечно очень сжато получается, только этот код через год сам автор не разберёт.
     
     
  • 6.172, User (??), 07:12, 25/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблема с башем та же, что и с Перлом - сплошной write-only
    > код получается, наполовину состоящий из спецсимволов. Конечно очень сжато получается,
    > только этот код через год сам автор не разберёт.

    Так никто не говорит, что это "хороший" язык. Просто - "более высокоуровневый".

     
  • 2.206, Аноним (206), 01:02, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Использовать надо Nushell, а не Питон.  Питон - как и любой язык не имеющий удобной интеграции с командной строкой - плохо подходит под скриптование.
     

  • 1.104, Аноним (104), 17:41, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в чем уязвимость? Переполнения отлавливаются железом и программа завершается
     
     
  • 2.132, Аноним (66), 19:21, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как повезёт. Если переполнение выйдет за границу страницы памяти, то отловится.
     

  • 1.129, Аноним (128), 19:08, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Никогда такого не было, и вот опять: ненастоящие сишники прокрались в GNU и накодили там CVE.
     
     
  • 2.133, Аноним (66), 19:24, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    "Ненастоящие" и в GNU пробрались. И в GNU были наезжавшие на Столмана.
     
     
  • 3.135, Аноним (75), 19:29, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А как нонче трушность проверяют?
    По ухоженности бороды?
    Длине штаников?
    Выбору туалетной комнаты м,жо,оно?!
    Или это не взаимоисключающие параграфы?
     
  • 2.134, Аноним (75), 19:26, 24/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот бсдишечка от гнутого софта и избавляется потихоньку.
    #все правильно делают! Бсди чмафки и любимки111!
     

  • 1.166, Аноним (169), 02:37, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > при замене вызова функции xrealloc на xpalloc

    Угу, типа починили, до следующего раза. А вот писали бы на современном C++  - не пришлось бы заниматься мартышкиным трудом по ручному управлению памятью..

     
     
  • 2.203, _ (??), 00:02, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо полумер! Переписывайте на ржавом! :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру