| 1.1, Аноним (1), 18:22, 26/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ну вот, опять они исправлять начинают. Нет чтобы новых фич приделать, или пофиксить имеющиеся тикеты. Когда коту нечего делать, он начинает исправлять уязвимости. Да и какой смысл? Все равно уязвимостей меньше не станет.
| | |
| |
| 2.36, Neandertalets (ok), 01:14, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
 > пофиксить имеющиеся тикеты.
Исправление уязвимостей относится к этой же категории.
> Все равно уязвимостей меньше не станет.
Лечиться тоже не будете? Ведь всё равно в нас внутри сотни возбудителей всяких болезней.
И есть не надо: всё равно всё в туалет уйдёт.
С вашей логикой и жить не стоит: всё равно умирать.
| | |
|
| 1.4, Аноним (-), 18:45, 26/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Мде... Переполение буфера в антивирусе...
Как же так???
Languages C 81.2%
А, ну т.е. ничего удивительного!
Теперь посмотрим фикс: github.com/Cisco-Talos/clamav/commit/98882f5f019ded3b96bacc17a9d1d65fb96dd686#diff-71da814e8ad6aab63e06be64d291a9a2ea7edcf1cbb5994217cdf4de8e84c436L1839
Предположение оказалось верным))
libclamav/ole2_extract.c
for (; writeIdx <= (leftover + bytesToWrite) - 16; writeIdx += 16, decryptDstIdx += 16) {
for (; writeIdx + 16 <= leftover + bytesToWrite; writeIdx += 16, decryptDstIdx += 16) {
Лучшие погромисты на лучшем язычке не смогли посчитать размер буфера правильно. Никогда такого не было и вот опять!
| | |
| |
| |
| 3.8, Аноним (-), 19:14, 26/01/2025 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Причем тут язык?
Ахаха! Да ладно?!
Ну разумеется не причем!
Это просто погромистЪ неправильный попался)))
А йезычог, в котором из коробки даже нормальных буферов нет, он вот абсолютно не причем))
| | |
| |
| 4.11, Аноним (11), 20:09, 26/01/2025 [^] [^^] [^^^] [ответить]
| +7 +/– |
Дурачки, верящие в безопасные языки, быстро закончатся, когда на этих языках начнут писать программы, которым будут пользоваться людей чуть больше, чем парочка опеннет-истеричек, и в этих программах, соответственно, станут регулярно находить уязвимости. Для языка Си, на котором написано 90% всех, десятки лет используемых человечеством, программ, времена, когда можно было хватать всё, что плохо лежит, не проводя аудита, закончились.
Короче, это не программисты неправильные, это бизнес процессы хреновые, и никакой волшебный язык это не исправит.
| | |
| |
| 5.12, blkkid (?), 20:19, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> программы, которым будут пользоваться людей чуть больше, чем парочка опеннет-истеричек
инфраструктура cloudflare, бекэнд discord, bluetooth-стек android и ещё бог знает сколько "невидимых" проектов - это тоже программы для истеричек с опеннета?
| | |
| |
| 6.35, Аноним (-), 00:58, 27/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да вот не знаю, зачем кому-то инфра клаудвафли и бэк дискорда.
И тем более огороженный от термукса стек андроида, если бы был блюз - я бы уже давно синхронизировался с андроидом через блютуз-версию нетката.
| | |
|
| 5.23, Аноним (23), 22:20, 26/01/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Для языка Си, на котором написано 90% всех, десятки лет используемых человечеством, программ
А не много ли ты берешь на себя, парниша? Я бы хотел увидеть пруфы про 90%.
Потому что как-то так получается, что на дыряшке сейчас осталось МК (хотя и их переводят на плюсы), всякое старье, написанное еще до плюсов, и "особенные" проекты вроде ядра с не признающим ошибок айм-финнишЪ.
А весь софт сейчас пишут на плюсах и других языках.
> времена, когда можно было хватать всё, что плохо лежит, не проводя аудита, закончились.
Конечно закончились. Проблема, что язык убог и не рассчитан на ту сложность софта, которая есть сейчас. Ну а погромисты как писали на си 30 лет назад, так именно так сейчас и пишут.
А других у нас нет.
> это бизнес процессы хреновые, и никакой волшебный язык это не исправит.
Вот бизнес все и решит. Стоит ли платить сишникам за очередное сверхурочное исправление CVE, тонны фаззитестинка и обмазывание санитайзерами, или перейти на более современные решения, хотя бы на плюсы.
| | |
| |
| 6.32, lucentcode (ok), 23:47, 26/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Как плюсы вам помогут писать безопасный код, если это просто ООП-надстройка над C? Они же такие же опасные в плане выстрела себе в ногу, как и чистый C. Фантазёр вы, баненька, ох фантазёр!
| | |
| |
| 7.33, Аноним (-), 23:55, 26/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> если это просто ООП-надстройка над C?
Кекспертиза анонов опеннета просто поражает!
Это когда было? Во времена C++98? Попробуйте современный c++, хотя бы с++17.
И после него, от сишки у вас будут приступы тошноты, если еще нет))
> Они же такие же опасные в плане выстрела себе в ногу, как и чистый C.
Не правда.
В плюсах есть RAII. В плюсах есть структуры данных из коробки.
Строки есть (насколько они удачные - уже другой вопрос).
Да, плюсы, к сожалению, слишком много взяли от си и пытаются тянуть совместимость с ней до сих пор, хотя уже местами она нарушена.
Но и разница между языками огромна.
| | |
|
|
|
|
|
| |
| 3.14, Аноним (14), 20:25, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это просто лишний повод нытикам поныть. Если все перейдут на Раст. Они найдут себе новый повод поныть.
| | |
|
| 2.19, ИмяХ (ok), 22:02, 26/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Эээ... Объясните, пожалуйста, что тут "пофиксили"? Просто перенесли член уравнения с права на лево, с точки зрения математики ничего ведь не поменялось.
| | |
| |
| 3.24, Аноним (24), 22:32, 26/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Эээ... Объясните, пожалуйста, что тут "пофиксили"? Просто перенесли член уравнения с права
> на лево, с точки зрения математики ничего ведь не поменялось.
Если бы оно было signed, то да (но у signed в си свои граблищи)
1 <= 7+8 - 16 (== 0xffffffff == 4294967295, потому как uint32)
vs
1 + 16 <= 7+8
| | |
|
| 2.28, Аноним (28), 23:01, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Как же надоели подобные типы. Даже отвечать уже таким не хочется, но я все же отвечу: язык тут не причем, тот кто писал код, вот к нему и претензии. Думаешь на твоем расте такого быть в принципе не может? Да так же будут на от*бись писать программы, и запомни мои слова, эти самые боровы будут обходить и писать в ансейфах. Просто потому что менеджеру надо уже вчера чтоб было все готово, и времени на "безопасТный" код нету.
| | |
| |
| 3.30, Аноним (-), 23:23, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Даже отвечать уже таким не хочется, но я все же отвечу: язык тут не причем,
> тот кто писал код, вот к нему и претензии.
Да, да, конечно, царь хороший, бояре плохие.
Но вот почему-то практически все уязвимости дыряшки - из-за ошибок работы памятью.
Ты не пытался подумать "а почему так?". Ну или для начала просто подумать?
> эти самые боровы будут обходить и писать в ансейфах.
Так там придется ансейф писать. Его видно будет за версту.
А тут просто не с той стороный число написал - и хоба, выход за пределы буфера.
> Просто потому что менеджеру надо уже вчера чтоб было все готово
Оправдания, одни оправдания... Все это плохие менеджеры и неправильные погромисты.
Но правильных никто никогда в глаза не видел!
| | |
|
|
| 1.15, Аноним (15), 21:01, 26/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Зачем нужен вообще ClamAV, если он делает только сигнатурное сканирование без перехвата вызовов функций в ядре?
| | |
| |
| 2.17, Аноним (17), 21:43, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
проверять почтовые вложения и трафик прежде чем их выдавать виндyзятникaм
| | |
| 2.21, ИмяХ (ok), 22:05, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>>сигнатурное сканирование
Вот для этого и нужен
А для
>>перехвата вызовов функций в ядре
В линуксе есть другие инструменты.
| | |
| |
| 3.37, Антонио (??), 02:27, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну то есть тебя не смущает, что сигнатуру можно очень легко обойти и от этого спасает только эмуляция, я уже не говорю про перехват функций. Нормальные авири каждый чих отслеживают, да обойти можно, но нужно гораздо больше усилий. Так что ClamAV - это бесполезный хлам, которому место в помойке, отсрочит уходот поможет эмуляция кода, но кому нужно этим заниматься, когда есть промышленные варианты)
| | |
|
|
| 1.31, Аноним (-), 23:30, 26/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Уязвимость была добавлена 3 года назад, в Oct 21, 2022.
Не плохо, не плохо. Тыщщи глаз смотрели не туда.
Но не повезло и дурацкий фаззинг все испортил.
Теперь ее придется заменить на свеженькую "ошибку".
Благо подходящих мест просто море.
| | |
| 1.39, Аноним (39), 07:54, 27/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А зачем антивирус под Линукс? Под Линукс же нет вирусов? У меня сложилось впечатление что этот антивирус бесполезен.
| | |
| |
| 2.46, Аноним (45), 10:51, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
100 процентов виндовс машин сидят за линуксом, чем и обеспечивается их безопасность.
Сабж это еще один инструмент обеспечения безопасности виндовс-машин на предприятии...
| | |
|
| 1.48, Аноним (-), 11:28, 27/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Обновление антивирусного пакета
> Уязвимость вызвана переполнением буфера в коде разбора файлов
Если я усну и проснусь через 20 лет и меня спросят,
что сейчас делают сишники, я отвечу: память портят и CVE плодят.
| | |
|
