Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Files и librsvg, opennews (??), 13-Авг-23, (0) [смотреть все] Вот переписали бы на Ой, это ведь была libsvg когда-то , Аноним (1), 09:50 , 13-Авг-23, (1) +14 // В расте не может быть уязвимости , Sergey (??), 10:10 , 13-Авг-23, (2) +1 // Раст и есть уязвимость , Аноним (78), 07:36 , 14-Авг-23, (78) –1 Ну так именно поэтому тут проблема с путями, а не с переполнением буфера или ove, Анонимусс (?), 10:29 , 13-Авг-23, (3) +9 // А где по вашему больше виноват человек кодер где пути или где память , Sergey (??), 10:34 , 13-Авг-23, (4) // И там и там виноват Но с памятью ошибки опаснее, пути не дадут выполнить произ, Анонимусс (?), 10:41 , 13-Авг-23, (5) +6 Скрыто модератором, Аноним (-), 16:14 , 13-Авг-23, (49) +3 Ну, это как установить мину, а потом сказать - виноват тот, кто наступил, не над, Аноним (99), 03:01 , 16-Авг-23, (99) Скрыто модератором, Аноним (78), 14:20 , 13-Авг-23, (33) +2 Там логическая ошибка, а не типичный сишный обсёр с указателями , Шарп (ok), 12:37 , 13-Авг-23, (22) +2 // Нет, это типичная логическая ошибка на Расте, каких в будущем будет много И так, Аноним (-), 13:14 , 13-Авг-23, (24) // Они время жизни указателя отследить не могут не то что пути , Аноним (78), 14:22 , 13-Авг-23, (35) Это типичная ошибка на чем угодно, и это отдельный класс уязвимостей с тех пор, , Аноним (97), 03:51 , 15-Авг-23, (97) Ну так и об указателях можно сказать, что это логическая ошибка работы с указате, Anon3 (?), 17:35 , 13-Авг-23, (55) // Это не получится Надо создать новый язык, заточеный на безопасную работу с файл, ИмяХ (?), 18:54 , 13-Авг-23, (61) +1 Ну, не то, чтобы не получится Но, наверно, вы правы Во первых семантика работы с, Anon3 (?), 20:38 , 13-Авг-23, (68) +1 Вот именно, это лишний раз доказывает, что сознательные программисты компании не, Аноним (30), 14:12 , 13-Авг-23, (30) // Компании в твоём сказочном мире , Аноним (78), 14:22 , 13-Авг-23, (36) А, ну да, точно И поэтому гугловцы решили переписать сетевой стек фуксии с го н, Аноним (45), 15:43 , 13-Авг-23, (45) // Пока что только отзывы от фанатов в духе выбрать ржавчину было самой большой ош, Аноним (67), 20:27 , 13-Авг-23, (67) +1 Какой современный социолог Расплывчатый сомнительный опрос и твердый вывод э, Аноним (93), 22:37 , 14-Авг-23, (93) На HN пару раз видел, там любят ржавчину , Аноним (67), 22:46 , 14-Авг-23, (95) Она и была librsvg Библиотека для РАСТЕРИЗАЦИИ svg , Аноним (76), 06:09 , 14-Авг-23, (76) +1 1 phar_dir_read ошибка в файле dirstream c немного ошиблись с вычислением разме, Аноним (-), 10:45 , 13-Авг-23, (6) –1 // Я про то что как бы оказалась что Раст будет способствовать понижению уровня про, Sergey (??), 10:49 , 13-Авг-23, (9) +2 // ты делаешь такой вывод из одной cve шки было бы интересно глянуть, что там было, Аноним (11), 10:54 , 13-Авг-23, (11) // История помнит Delphi Раст, конечно, не столь удобный и продуманный, но все воз, tty0 (?), 00:43 , 14-Авг-23, (73) Ахаха, а у сишных бракоделов, которые даже размер буфера вычислить не могут, сил, Анонин (?), 11:08 , 13-Авг-23, (13) –1 // Откуда инфа что не могут , Ефрщ (?), 12:08 , 13-Авг-23, (19) Посмотри на число уязвимостей и сложи 2 2 про переполнение не забудь , Аноним (26), 13:38 , 13-Авг-23, (26) Посмотри на чём пишут софт и на чём только переписывают привет миры и сложи 1 и , Аноним (67), 14:07 , 13-Авг-23, (28) Посмотрел В андроиде в последнийх версиях _новую_ нативную системщину старают, Аноним (30), 14:20 , 13-Авг-23, (32) –1 Как я понимаю, ты радуешься за успехи корп в эмбеддовке, но это не серьёзно Как, Аноним (67), 14:26 , 13-Авг-23, (39) –1 Похоже, не читал ссылку Свободен, пионер Скоро в школу ага, попробуй найди сто, Аноним (30), 14:41 , 13-Авг-23, (41) –2 Твои аргументы не звучат сколько-нибудь убедительно , Аноним (67), 14:58 , 13-Авг-23, (42) Если бы умели считать, то и уязвимостей не было glibc https www opennet ru op, Анонин (?), 18:22 , 13-Авг-23, (59) 5 Оно и видно что не силён, ведь все 7 из 7 уязвимостей в ноде ни как не связан, Аноним (21), 12:19 , 13-Авг-23, (21) +1 // О, у нас спец по ноде Неужели все 7 тоже сишные дырени , Анонин (?), 14:13 , 13-Авг-23, (31) –1 // И 1108 того я тоже не говорила, виноваты разрабы ноды , Аноним (101), 00:24 , 18-Авг-23, (101) Да ладно, нормально все тут с путями, они вообще с Unix пришли , Sergey (??), 10:45 , 13-Авг-23, (7) –1 // смотрю в Windows проблем вообще нет , Аноним (8), 10:49 , 13-Авг-23, (8) // Скрыто модератором, Аноним (-), 10:50 , 13-Авг-23, (10) –2 Просто про проблемы никто не знает кроме правильных людей , Аноним (78), 16:33 , 13-Авг-23, (51) Проблема не с путями, а с тем, куда ось дает доступ То что кто угодно может чита, Анонин (?), 11:10 , 13-Авг-23, (14) –2 // Selinux может ограничивать доступ не только к файлам и сетке но и к памяти , Sergey (??), 11:55 , 13-Авг-23, (17) // Может, это круто Ну и где ваш Selinux Его нужно установить и настроить, причем, Анонин (?), 14:10 , 13-Авг-23, (29) В первом абзаце жалуется на то, что ему SELinux папа не настроил, и тут же во вт, Аноним (46), 15:47 , 13-Авг-23, (46) Еще раз для таких отбитых как ты SELinux - это просто костыль для ядра, потому , Анонин (?), 18:16 , 13-Авг-23, (58) И как же должно быть нормально, о великий кексперт , uis (??), 19:21 , 13-Авг-23, (64) Что бы сделать что-то подобное мандатному доступу - надо договориться Кому надо, Аноним (93), 22:30 , 14-Авг-23, (92) В смысле установить и намтроить В Федоре все по дефаульту пашет В 2005 году т, Sergey (??), 19:11 , 13-Авг-23, (62) –1 Только 2 из уязвимостей связаны с повреждением памяти , Аноним (12), 11:07 , 13-Авг-23, (12) Специальные элементы директорий и были большой ошибкой и костылём для т, Аноним (12), 11:12 , 13-Авг-23, (15) –2 // Вот это очень правильно Тем более, что в хорошей фс может быть не единственный , Аноним (75), 05:40 , 14-Авг-23, (75) Видите ли - так еще много контента ресурсы референсит Кроме того - а как вы нав, Аноним (-), 18:23 , 14-Авг-23, (83) Уязвимость в librsvg Не может быть Эта библиотека написана на безопасном язык, Аноним (18), 11:59 , 13-Авг-23, (18) // Дык и уязвимость безопасная Просто фича такая, не дырень же , Аноним (20), 12:14 , 13-Авг-23, (20) +1 // Ещё какая дырень , Аноним (78), 14:25 , 13-Авг-23, (38) Все верно Там ведь наверное выход за пределы массива Или обращение к невыделен, Аноним (30), 14:30 , 13-Авг-23, (40) +1 // Так растовики и считать не умеют выдумывают проценты и сами в них верят , Аноним (78), 16:32 , 13-Авг-23, (50) +1 Не-а Это наглядная иллюстрация к утверждению, что Раст затрудняет процесс напис, gleb (?), 16:40 , 13-Авг-23, (52) // https www opennet ru opennews art shtml num 48680 CVE-2018-11235 в гит - возмо, Анонин (?), 18:13 , 13-Авг-23, (57) а время покажет пока утверждение косвенно подтверждает тот факт, что ВСЕ прое, glebiao (ok), 15:30 , 16-Авг-23, (100) Нет, Rust тут не поможет ни один баг не про double-free и не про use-after-free, Аноним (23), 12:39 , 13-Авг-23, (23) +1 Интересно, как поможет Rust, если он тихо проглатывает численные переполнения в , Витюшка (?), 13:46 , 13-Авг-23, (27) // Переполнения не выходят за границы отведенной памяти Значение становится невали, Аноним (56), 18:09 , 13-Авг-23, (56) +1 // В смысле не выходят А это тогда что https stackoverflow com questions 24898, Витюшка (?), 23:42 , 13-Авг-23, (71) // Там же по ссылке написаноПроверка не дала выйти за границу , Анонимусс (?), 02:22 , 14-Авг-23, (74) доступ по индексу проверяется в рантайме Программа аварийно завершилась - досту, Аноним (93), 22:08 , 14-Авг-23, (90) В Rust индекс имеет тип usize А значит при overflow вновь попадёт в валидный ин, Витюшка (?), 00:17 , 15-Авг-23, (96) при обработке файлов в формате RealMedia Ну вряд ли много кто сейчас помнит-то , Kuromi (ok), 15:27 , 13-Авг-23, (43) –1 // Тем не менее, этот формат должен поддерживаться, иначе пользователи будут ныть , Аноним (67), 15:37 , 13-Авг-23, (44) // Утрутся и сконвертируют Распространители контента, не пользователи У пользоват, Аноним (69), 20:59 , 13-Авг-23, (69) –1 // Но ведь у пользователей всё работает Это очень популярный формат на самом деле,, Аноним (67), 21:40 , 13-Авг-23, (70) +1 Debian 10 Gnome Распакован через Gnome Files tmp ls -alитого 12drwx, Аноним (56), 16:41 , 13-Авг-23, (53) Это все от использования всяких ИИ-копилотов Деградация налицо, обленились , Минона (ok), 00:38 , 14-Авг-23, (72) больше уязвимостей нет, тащ майор, just yet it (?), 14:04 , 14-Авг-23, (79) С каких пор это уязимость Если хомяк не монитруется с noexec, то ЭТО уязвимость, Аноним (80), 16:16 , 14-Авг-23, (80)   // noexec - nosuid nodev noexec, Аноним (80), 16:16 , 14-Авг-23, (81)   Попробуй tmp монтировать с noexec, потом поделишься впечатлениями Сам ты уязви, Аноним (67), 18:15 , 14-Авг-23, (82)   // А чо такого mount -v tmptmpfs on tmp tmpfs, local, noexec, nosuid stattim, другой Аноним (?), 19:11 , 14-Авг-23, (84)   // Маловероятно, что это рабочая станция -- куча юзерского софта обломится Да и см, Аноним (67), 19:16 , 14-Авг-23, (86)   Угу, это не рабочая станция, это ноут, с которого я пишу этот коммент И да, ку, другой Аноним (?), 19:23 , 14-Авг-23, (87)   Вайнтрикс DE , Аноним (67), 20:07 , 14-Авг-23, (88)   Да вроде работал пару лет назад не помню уже для чего использовал - вино у меня, Аноним (89), 22:06 , 14-Авг-23, (89)   В Debian 10 многие tmpfs смонтированы с noexec и nosiud по-умолчанию Запускать ч, Аноним (93), 22:23 , 14-Авг-23, (91)   // Скрыто модератором, Аноним (-), 06:41 , 15-Авг-23, (98)   Проблема в том, что, как сказал релокант, нот всего семь А играть приходи, Аноним (93), 22:41 , 14-Авг-23, (94) 1,6,7,12,15,18,23,27,43,53,72,79,80,94

Сообщения

[Сортировка по времени | RSS]

80. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
Сообщение от Аноним (80), 14-Авг-23, 16:16
> Уязвимость в GNOME Files, связанная с сохранением suid-бита в файлах, извлечённых из zip-архивов С каких пор это уязимость? Если хомяк не монитруется с noexec, то ЭТО уязвимость (дистрибутива). Если пользователь запускает что-то, установленное в обход пакетного менеджера, то ЭТО уязвимость (между экраном и клавиатурой). А сохранение атрибутов файлов - это стандартная функция менеджера архивов.
Ответить | Правка | Наверх | Cообщить модератору

	81. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от Аноним (80), 14-Авг-23, 16:16
	*noexec - nosuid nodev noexec
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от Аноним (67), 14-Авг-23, 18:15
	Попробуй /tmp монтировать с noexec, потом поделишься впечатлениями. Сам ты уязвимость, малварь выглядит совсем не так, как ты её себе представляешь. Например, устанавливаемые из самых что ни на есть реп chrome и vscode -- малварь чистой воды.
	Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

	84. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от другой Аноним (?), 14-Авг-23, 19:11
	> Попробуй /tmp монтировать с noexec, потом поделишься впечатлениями. А чо такого? % mount -v /tmp tmpfs on /tmp (tmpfs, local, noexec, nosuid) % stattime /etc/fstab                                                             File:    /etc/fstab Access:    20:34:55 15/11/2014 Birth:    18:47:56 14/11/2013 Modify:    15:23:23 03/06/2021 Change:    15:23:23 03/06/2021 % uptime 18:10:04  up 159 days 17:34
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от Аноним (67), 14-Авг-23, 19:16
	Маловероятно, что это рабочая станция -- куча юзерского софта обломится. Да и смысла особого нет, если только нет цели огородить находчивого юзера.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от другой Аноним (?), 14-Авг-23, 19:23
	> Маловероятно, что это рабочая станция -- куча юзерского софта обломится. Угу, это не рабочая станция, это ноут, с которого я пишу этот коммент. И да, "куч" обламывающегося не видел, проблемы обычно лишь у весьма специфичных смузи-поделок (сборка некоторых модулей для питона, ржавчины и прочее современное "sudo curl | sh")
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от Аноним (67), 14-Авг-23, 20:07
	Вайнтрикс? DE?
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от Аноним (89), 14-Авг-23, 22:06
	> Вайнтрикс? Да вроде работал пару лет назад (не помню уже для чего использовал - вино у меня только для пары старых игрушек стоит). > DE? Нету. Еще лет 10 назад надоело регулярное "мы тут опять улучшили и перетасовали, привыкайте". Есть набор программ - частью стянуто из кед (Okular, Dolphin), частью "когда-то наткнулся и с тех пор пользуюсь". Под сборку и прочее есть отдельный /tmp-build
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Fil..."	+/–
	Сообщение от Аноним (93), 14-Авг-23, 22:23
	> Попробуй /tmp монтировать с noexec В Debian 10 многие tmpfs смонтированы с noexec и nosiud по-умолчанию. Запускать что-то из /tmp крайне подозрительно.
	Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

	98. Скрыто модератором	+/–
	Сообщение от Аноним (-), 15-Авг-23, 06:41
	В Слэквэр /tmp для сборки слакбилдов, не?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема