| 1.4, Аноним (4), 23:37, 14/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.
| | |
| |
| 2.39, Аноним (39), 01:22, 15/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
| | |
|
| |
| 2.8, Аноним (8), 23:48, 14/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Гит блейм в руки и всё узнаете
А там JinTan какой-нибудь.
И где ты его искать будешь?
Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"
| | |
| 2.10, Аноним (4), 23:51, 14/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?
| | |
|
| 1.11, Ayjy (?), 23:51, 14/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ух, список! Классный.
Наверное кто-то расстроится, раз такие бекдоры закрыли.
Или нет, если они уже не нужны))
ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.
| | |
| |
| 2.12, Аноним (4), 23:52, 14/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.
| | |
| |
| 3.73, Анонимусс (-), 10:31, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> в чём проблема добавить новых
А зачем добавлять новые?
Там старых еще лет на сто припасено)))
| | |
|
|
| 1.14, Анонимусс (?), 23:57, 14/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Ахаха, т.е. мяу)
Отличная новость! Как раз расставляет все точки над i в споре из соседней темы))
"Запись за пределы выделенного буфера"
"Утечка содержимого неинициализированных данных из стека"
"Состояние гонки при работе с символическими ссылками"
Так это же... просто классическое дыряшечное бинго!
Особо радуют исправления вида:
- #define sum2_at(s, i) ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len))
+ #define sum2_at(s, i) ((s)->sum2_array + ((size_t)(i) * xfer_sum_len))
- s->sum2_array = new_array(char, s->count * xfer_sum_len);
+ s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len);
Бедняги, опять не запутались в типах и буферах!
Гениально! Оказывается нужно чистить память за собой!
+ // prevent possible memory leaks
+ memset(sum2, 0, sizeof sum2);
| | |
| |
| 2.15, Аноним (4), 00:00, 15/01/2025 [^] [^^] [^^^] [ответить]
| +7 +/– |
Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?
| | |
| |
| 3.17, чатжпт (?), 00:05, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD
а мифические диды как писали дырявый код так и продолжают
| | |
| |
| 4.18, Аноним (4), 00:07, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.
| | |
| 4.19, Аноним (4), 00:08, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.
| | |
|
| 3.20, Фнон (-), 00:10, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Галочка, ты не поверишь! (с)
github.com/your-tools/rusync - Rust 99.1%
И еще куча других.
Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.
| | |
| |
| |
| 5.47, _ (??), 02:13, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
На мотив бардовской песни:
... есть только C0C - за него и держись
;-)
| | |
|
| 4.56, Ivan_83 (ok), 03:15, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты.
Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.
| | |
|
| 3.22, Аноним (-), 00:11, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Чего ты на раст то не переписал?
А раст тут причем?
Зачем вы его приплетаете в тему про Rsync, который на си написан?
И как наличие или отсутствие раста оправдывает такие глупые ошибки?
| | |
| |
| |
| 5.26, Аноним (-), 00:21, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
В смысле нет?
Уязвимости есть? Есть.
Исполнение кода злоумышленника есть? Есть!
"позволяет добиться выполнения своего кода на сервере"
Вот тебе и дырявость, как у шерета.
| | |
| |
| 6.27, Аноним (4), 00:24, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Никакой связи уязвимость есть уязвимость она может быть где угодно.
| | |
| |
| 7.31, чатжпт (?), 00:34, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
"запись за пределы выделенного буфера" не может быть где угодно
| | |
|
|
|
|
|
| 2.51, Ivan_83 (ok), 03:07, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Вы так старались, но у вас никогда нет ответа: сколько ущерба это принесло.
Мне это принесло скорее всего 0 ущерба, хоть у меня rsync и торчит наружу доступный для чтения уже лет 15.
Но я так и быть подумаю на досуге над тем чтобы возможно порезать возможности демона rsync по доступу к файлам, а пока просто потушил его пока обновления не прилетят.
| | |
| |
| 3.70, Аноним (70), 09:41, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
— Билл?
— Да, Гарри?
— Что это было, Билл?
— Это был Неуловимый Джо, Гарри.
— А почему его зовут Неуловимым Джо, Билл?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билл?
— Потому что он нафиг никому не нужен, Гарри.
| | |
| 3.75, Анонимусс (-), 10:40, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> но у вас никогда нет ответа: сколько ущерба это принесло.
Конечно, потому что этим нормальные люди не пользуются.
А ущерб васянам никто считать не будет.
Вот другие типикал дырени вполне себе посчитали.
Напр. для того же хадблида - 400к в месяц на перевыпуск сертов + реальные взломы гос структур и сервисов.
И ведь ты просто не знаешь, вдруг последние доки из Алмаз-Антея уперли из-за схожей проблемы))
> Мне это принесло скорее всего 0 ущерба
Прости, но на тебя как-то по...
Ты уже рассказывал в других тема, что у тебя на компе нет ничего ценного, нет никакой фин информации и так далее.
| | |
|
| 2.66, Аноним (66), 08:49, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> "Запись за пределы выделенного буфера"
> "Утечка содержимого неинициализированных данных из стека"
Hardened систему надо использовать, она отлавливает переполнения и утечки вовремя исполнения.
| | |
|
| 1.25, Фнон (-), 00:19, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И почему люди настолько упрямые, ака ослики, что не хотят просто использовать нормальные языки программирования.
Например С++.
Там есть и RAII, и умные указатели, и range-based for (в последних редакциях).
Но нет "будем использовать кривую эскопету и продолжать овнокодить" ((
| | |
| |
| 2.28, Аноним (4), 00:25, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
В любой язык вставят точно такую же уязвимость причем тут язык?
| | |
| |
| 3.33, Фнон (-), 00:38, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> В любой язык вставят точно такую же уязвимость причем тут язык?
А ты уверен
1. что эту уязвимость встроили
2. что в любом другом языке она была такой же незаметной
?
Мне оно больше кажется банальной ошибкой.
И если использовать нормальные инструменты: ЯП, стат.анализаторы, санитайзеры и тд, то их появление можно значительно уменьшить.
| | |
|
| 2.35, 12yoexpert (ok), 00:53, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
 хз. сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами заканчиваются
| | |
| |
| 3.48, _ (??), 02:17, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Тьфуй! Если тебе нужен ЯП высокого уровня (а не Си), ну там - прилады какие насрябать ... то и бери высокоуровневый, а не смесь бульдога с удавам! :)
| | |
| 3.57, Ivan_83 (ok), 03:18, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно быстро.
По крайней мере этого умения будет хватать чтобы прочитать и понять код, а так же внести простые правки в него.
В крестовом месиве такое и близко не прокатывает.
| | |
| |
| 4.61, An (??), 07:02, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
+
А если включать голову и проверять код всякими там анализаторами то и уязвимостей таких не будет.
| | |
| |
| 5.65, Ivan_83 (ok), 08:08, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не надо анализаторов и ничего включать, достаточно следовать простому правилу: везде где имя файла/папки принимается по сети или от потенциально враждебного источника нужно использовать openat() вместо open() и прочие ***at() функции для работы с файлами и папками.
Этому правилу уже лет 15 как минимум, все вебсервера прошлись по этому, как и сервера некоторых других протоколов.
| | |
| |
| 6.76, Анонимусс (-), 10:42, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> достаточно следовать простому правилу
А можете еще "озвучить простое правило" как перестать выходить за пределы буфера?
И заодно, как не переполнять инты и не делать даблфри?
Потому что проблемы с open() встречаются чуток реже чем предыдущие)))
| | |
|
|
|
|
| 2.52, Ivan_83 (ok), 03:08, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Потому что кресты не нормальный язык, а очень перегруженный.
По сути вы предлагаете заменить английский на китайский.
| | |
| |
| 3.67, Аноним (67), 09:26, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Потому что кресты не нормальный язык, а очень перегруженный.
Да у тебя любой язык, кроме С, перегружен, потому что кроме С и Lua ты ничего не осилил 😂
| | |
| 3.71, Аноним (-), 10:18, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Конечно!
Любой язык, где больше чем около 30 ключевых слов, как в сишечке, - просто невероятно сложный и перегруженный. Это же придется учиться, доку читать! А она большая, скучная и без картинок!
А на сишечке любая обезьяна кодить может научиться. Некоторые даже самостоятельно.
Результаты чего мы сейчас собственно и наблюдаем.
| | |
| |
| 4.77, hrmhmmhtbdr (?), 10:45, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
В любом ЯП примерно одинаковое количество ключевых слов: условия, циклы, классы, функции, константы, переменные, указатели...
| | |
| |
| 5.79, Аноним (-), 10:58, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В любом ЯП примерно одинаковое количество ключевых слов
Типичный кексперт в треде...
Ну и зачем ты так себя позоришь?
Открой хотя бы википедию en.wikipedia.org/wiki/Reserved_word
The number of reserved words varies widely from one language to another: C has about 30 while COBOL has about 400
А вот список слов по языкам
https://github.com/e3b0c442/keywords
ANSI C89 (32 keywords)
C17 (44 keywords)
C++20 (92 keywords)
Fortran 2008 (103 keywords)
| | |
|
|
|
|
| 1.29, Аноним (-), 00:25, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
"Я уже говорил тебе, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение."
Раз за разом повторяя одни и те же ошибки в мириадах вариаций, они продолжат писать также уже больше 30 лет. Почему?
"Вот я точно такую не допущу"?
"Это в не настоящие программисты, а вот я"?
Или может есть какие-то другие оправдания?
Почему они не хотят изменить свой же инструмент, чтобы перестать делать ошибки раз за разом? Почему они при этом так сильно противятся появлению других инструментов?
| | |
| |
| 2.32, чатжпт (?), 00:37, 15/01/2025 [^] [^^] [^^^] [ответить]
| –3 +/– |
пхпшники и сишники - одного поля ягоды, только могила исправит
| | |
| 2.40, OpenEcho (?), 01:23, 15/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Почему они не хотят изменить свой же инструмент
Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Не балоболы написали с нуля rclone, а другие только указывают на каком "правильном" языке надо переписать, но сами при этом - потребители...
| | |
| |
| 3.42, Аноним (-), 01:29, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Вот только "воткнуть" не смог ты(((
Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Они не в состоянии улучшать язык без слома обратной совместимости?
> а другие только указывают
А другие уже написали аналог на нужном языке. И не на одном.
> но сами при этом - потребители...
Но-но, ЭТИМ я не пользуюсь!
| | |
| |
| 4.46, Noname (??), 02:03, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Они не в состоянии улучшать язык без слома обратной совместимости
Да, сделать его полностью безопасным, значит сломать совместимость. А так его улучшают, как могут.
| | |
| 4.49, OpenEcho (?), 02:27, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Ты сам то понял, что сейчас сказал? :)))
Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?
> Они не в состоянии улучшать язык без слома обратной совместимости?
А ты поробуй, - улучши то, что являестя дефакто стандартом почти пол столетия низкоуровнего ЯП. Его не надо улучшать. С должен именно оставаться таким, как он есть, - скальпелем, микроскопом, чтобы можно было выкручивать на нем все, что только может ЛЮБАЯ хардварь и любая ОСЬ (а то и вообще без ОСи), без ограничений со стороны языка, типа мы лучше знаем что вам надо и сделаем за вас.
Если ты не заметил, то С уже улушили, С++ называется, в котором достаточно таких же плюшек как и в новомодном расте, а также улучшатели подняли планку чтоб воткнуть в язык и знать наизусть 1000+ страниц спецификации языка, чтоб его изпользовать на всю задуманную мощь.
Странно, что столько народу здесь не могут воткнуть в простую вещь - что во время написания rsync, тогда не было таких заморочек с секьюрностью, достаточно было дописать в конец .ехе или .сом файла пэйлоад, запатчить старт и вперед вирусня. И "С" был единоличным королем среди языков на то время и для той задачи что он выполняет - это был самый правильный выбор, т.к. С++ только стандартизировался. "С" и сейчас остается одним самых эффективных и сливает разве что только ассемблеру и в лоб опкодам. Да, требует однозначно большого внимания и наказывает сильно за ошибки, но микроскопом и не надо гвозди забывать... сейчас, а не 30 лет назад.
Сейчас есть новые инструменты, которые можно и нужно изпользовать, если не надо докапываться слишком далеко до сердца (привет ракетостроителям и всем кто в ring0).
Но тогда, когда появился rsync, - этого не было, поэтому не надо гнать на "С" дедушку, - он дал жизнь молодежи и это будет хамством гнать на родителей сейчас ...
| | |
| |
| 5.72, Аноним (-), 10:29, 15/01/2025 [^] [^^] [^^^] [ответить] | +/– | Именно так Что мешало за N лет в С добавить какую-то абстракцию над буфером, чт... большой текст свёрнут, показать | | |
|
|
|
| 2.53, Ivan_83 (ok), 03:10, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, всё остальное интересно мало.
Только фрикам интересен не функционал программы а язык на котором оно написано и чтобы обновление было сегодняшнее, потому что недельной давно уже жуткое легаси и там страшные уязвимости сами по себе завелись.
| | |
| |
| 3.78, Анонимусс (-), 10:52, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали
Это "привет из 80х" просто)))
Чувак, людям надо чтобы оно не просто выполнило нужные действия, но чтобы еще их не взломали при этом. Я понимаю, что тебе не понять такую простую вещь, но просто прими как есть - у людей бывает на компе важная и ценная информация. И если таких людей стало достаточно много, то появляется запрос от общества.
> Только фрикам интересен не функционал программы а язык на котором оно написано
К сожалению, некоторые языки и погромисты, на них пишушие, крайне склонны к тем или иным ошибкам. Просто статистически.
Пишут же на упаковке с продуктами состав, чтобы каждый потребитель мог увидеть что там пальмовое масло вместо нормального животного жира, шкуры и жир вместо мяса, сахорозаменители, ммо и так далее.
Как раз чтобы у потребителя бы выбор - есть это или не есть.
Поэтому я за ввод маркировки для софта!
"Осторожно! в̶н̶у̶т̶р̶и̶ ̶г̶о̶в̶н̶о̶ внутри код написанный на макроасме из 70х"
| | |
|
|
| 1.34, Нуину (?), 00:45, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
На ржавом наверное уже переписали... Хотя подождите, нужно же сначала написать конкурентый прогрессбар и раскраску для консоли, а это подождет. Бонусом можно будет стебать си.
| | |
| 1.37, Аноним (37), 01:05, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Напрягает, что автор этих ляпов rsync попутно является лидером Samba. А в том коде черт ногу сломит.
| | |
| |
| 2.38, Аноним (-), 01:22, 15/01/2025 [^] [^^] [^^^] [ответить] | +1 +/– | Ваще ни разу не удивлен opennet ru opennews art shtml num 56615 Удалённая roo... большой текст свёрнут, показать | | |
| |
| 3.44, Аноним (-), 01:31, 15/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
А... т.е. типикал сишник-омнокодер решил одаривать людей своими выдающимися "талантами" не в одном проекте, а сразу в нескольких?
Похвально, похвально!
Наверное у АНБ расценки упали, ну или может все дело в инфляции и госдолге, раз ему приходится в поте лица трудиться на благо всего сообщества)))
| | |
| 3.69, Аноним (68), 09:38, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
это всё фичи были. кто ж знал что вы так внять будете и придёться их прикрыть
| | |
|
|
| 1.45, Аноним (45), 01:49, 15/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
Имеются сомнения в чистоте релиза.
Andrew Tridgell последние 20 лет не релизил rsync, а ключ, которым подписан релизный коммит нигде не опубликован.
Есть и другие нестыковки, которые напоминают ситуацию с xz.
https://bugs.gentoo.org/948106#c2
| | |
| |
| 2.50, OpenEcho (?), 02:41, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> а ключ, которым подписан релизный коммит нигде не опубликован.
Это то, о чем я твержу второе деятилетие, что подписи GPG/PGP - это как страус прячется в песок.
Абсолютно любой, может пойти и выпустить свой ключ под чужим именем. Нет верификации - нет доверия, хоть чем подписывай. Даже очень крупные проекты не имееют кросс подписей на ключах, типа - "верьте нам все на слово, что это правда те за кого мы себя выдаем", мы ж там на сайтике ХЗ выложили подписи, вот и верьте. Веботраст как не работал так и не работает, для цивилизованных, а вот засранцы-вредители, очень даже верифицируют друга друга, при личной встречи и из рук в руки.
| | |
| |
| |
| 4.64, User (??), 07:47, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Заверять ЭЦП microsoft или apple жи! Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...
| | |
| 4.80, Аноним (-), 11:05, 15/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Так и что дальше?
> Ходить в интернет по паспорту?
Тебе в баре просто наливают или могут доки спросить? А на кассе Красное&Белое или любого аналога бухло-ленда?
В магазе я могу попросить посмотреть доки на мясо/молочку, да на все что захочу.
И мне обязаны их показать.
Даже если ты раздаешь что-то бесплатно, то оно тоже должно быть надлежащего качества.
Если тебя норм ситуации с ЖинТянʼами - то ок.
Но как только большинству такое станет не норм, то ты останешься в меньшинстве и общество тебя просто заставит.
Введут закон что программы с кол-во скачек больше 5000 обязаны подписываться госуслугами)
| | |
|
|
|
|
