The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз ftp-сервера ProFTPD 1.3.4 и 1.3.3g с устранением критической уязвимости

10.11.2011 13:28

Спустя полтора года с момента выхода прошлой версии вышел релиз ftp-сервера ProFTPD 1.3.4 в котором исправлено 219 ошибок и внесено несколько улучшений. Одновременно выпущен корректирующий релиз ProFTPD 1.3.3g в котором устранена уязвимость, которая может привести к выполнению кода злоумышленника на сервере через манипуляцию с пулом соединений при помощи команд xfer_stor и xfer_recv. Всем пользователям рекомендуется срочно обновить ProFTPD. Интересно, что в примечании к релизу ProFTPD 1.3.3g не упомянуто о наличии уязвимости, проблема помечена лишь как "ошибка, приводящая к повреждению памяти".

В настоящее время опубликована подробная инструкция с изложением принципа эксплуатации. Уже подготовлен рабочий эксплоит, который не опубликован публично. Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, Mandriva, openSUSE, CentOS, Fedora, RHEL и Debian. Патч с исправлением уязвимости можно загрузить здесь.

Среди улучшений, добавленных в ProFTPD 1.3.4:

  • Новые модули
    • mod_tls_memcache - использование mod_memcache/memcached для кэширования в памяти информации о сессиях SSL, что позволяет использовать единый кэш для группы FTP-серверов;
    • mod_copy - реализация команд SITE CPFR и SITE CPTO, позволяющих клиенту скопировать файл из одного места в другое без перезагрузки данного файла;
    • mod_deflate - поддержка режима "MODE Z", обеспечивающем сжатие передаваемых данных, в том числе выводимых списков файлов;
    • mod_ifversion - возможность привязки секций конфигурации к версиям ProFTPD, что позволяет использовать один файл конфигурации на разных серверах с разными версиями ProFTPD;
    • mod_qos - позволяет устанавливать для пакетов параметры "Quality of Service" (QoS);
  • Новые директивы конфигурации
    • MaxCommandRate - для ограничения интенсивности отправки FTP-команд клиентом с возможностью блокирования клиента через mod_ban при превышении указанного порога;
    • ProcessTitles - позволяет определить собственный набор параметров, которые будут отображаться в заголовке обслуживающего текущую сессию процесса (по умолчанию показывается логин, команда FTP и путь);
    • SQLNamedConnectInfo - позволяет создавать именованные соединения к СУБД для организации одновременного доступа к разным базам данных, например, к первой для получения параметров пользователя, а ко второй для ведения лога. Созданные соединения могут быть в дальнейшем задействованы при помощи директивы SQLNamedQuery;
    • TraceOptions - позволяет вывести в TraceLog более детальную информацию для отслеживания поведения сервера в целях диагностики, например, IP сервера/клиента и точное время;
    • Protocols - даёт возможность определить какие протоколы можно использовать при соединении определённого клиента, класса пользователей или группы;
    • SFTPClientAlive - позволяет включить проверку "keep alive" на уровне протокола для SSH-соединений mod_sftp;
    • WrapOptions - позволяет настроить дополнительные параметры для mod_wrap2, такие как правила разрешения/запрещения на этапе соединения или после входа;
  • Упрощены директивы конфигурации mod_ldap;
  • Добавлена возможность использования RADIUS для аутентификации через SSH2 и поддержка RADIUS-атрибута NAS-IPv6-Address;
  • "Limit WRITE" теперь запрещает перемещение и переименование файлов вне директории, для которой задано ограничение;
  • Прекращена поддержка директивы DisplayGoAway.


  1. Главная ссылка к новости (http://www.proftpd.org/...)
  2. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
  3. OpenNews: Вышел ftp-сервер ProFTPD 1.3.3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/32272-proftpd
Ключевые слова: proftpd, ftp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (119) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 14:30, 10/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    То есть вчера вышедший Solaris 11, перешедший на ProFTPD, будет ещё месяц с дырой без обновлений ?
     
     
  • 2.2, фклфт (ok), 14:33, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > То есть вчера вышедший Solaris 11, перешедший на ProFTPD, будет ещё месяц
    > с дырой без обновлений ?

    Скорее всего не месяц а несколько месяцев - учитывая скорость латания дырок в солярке

     
     
  • 3.7, Аноним (-), 14:50, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Скорее всего не месяц а несколько месяцев - учитывая скорость латания дырок в солярке

    Ну, хакеры тоже халяву любят же. Оракл заботится о них :))

     
     
  • 4.26, Аноним (-), 20:23, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Скорее всего не месяц а несколько месяцев - учитывая скорость латания дырок в солярке
    > Ну, хакеры тоже халяву любят же. Оракл заботится о них :))

    Хотя бы один пруф достоверного взлома Соляры за период с 1983 года - в студию. Или балабол.

     
     
  • 5.30, Аноним (-), 20:28, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Хотя бы один пруф достоверного взлома Соляры за период с 1983 года
    > - в студию. Или балабол.

    Как минимум на покойном ныне milw0rm были сплойты/руткиты/прочий милый софт и для соляры.

     
     
  • 6.37, Аноним (-), 21:49, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Хотя бы один пруф достоверного взлома Соляры за период с 1983 года
    >> - в студию. Или балабол.
    > Как минимум на покойном ныне milw0rm были сплойты/руткиты/прочий милый софт и для
    > соляры.

    Я сказал не линк на малварь, а пруфлинк на подтвержденный взлом продакшена. Пойди, возьми мой Солярис 10 с ежедневным апдейтом, поднятый по защите до B1. Ы?

     
     
  • 7.38, Аноним (-), 21:50, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да что ты ведешься на этих трепачей. Они Солярис в телевизоре на Ютубе видали. Тут одни красноглазы.
     
  • 7.39, Аноним (-), 22:00, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Пойди, возьми мой Солярис 10 с ежедневным апдейтом, поднятый по защите
    > до B1. Ы?

    Факты упрямая вещь. Апдейт дыры к proftpd пришел ? Нет ! DoS в Apache запатчили почти через месяц после обнаружения. В разных libpng, libpango и libxml2 дыры вообще по три месяца латали, а все использующие данные библиотеки программы всё это время оставались уязвимыми. В недавно пришедшем апдейте Tomcat исправлена дыра годичной давности. Делайте выводы.

     
     
  • 8.83, Аноним (-), 17:17, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Неуловимый Джо ... текст свёрнут, показать
     
  • 7.40, Аноним (-), 22:12, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пойди, возьми мой Солярис 10 с ежедневным апдейтом, поднятый по защите до B1. Ы?

    Адрес mymegasolaris.local ?

     
  • 7.65, Аноним (-), 15:26, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пойди, возьми мой Солярис 10 с ежедневным апдейтом, поднятый по защите до B1. Ы?

    Вы кажется забыли сказать айпишник вашего соляриса, для начала. Кстати не хотите там поставить непатченый ProFTPD? Для более острых ощущений пониже спины? :)

     
  • 5.43, Аноним (-), 04:38, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ух ты - у нас похоже эксперт в студии ... или балабол :)
    Ибо как же ты пропустил эпический ping of death - который только на соляре и был?
    Да дыр там было ну никак не меньше чем в других, просто ты как Ыкперт не в курсе :)
     
     
  • 6.51, Макс (??), 09:00, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да не ты чё, на винде ещё был :)
     
     
  • 7.66, Аноним (-), 15:27, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да не ты чё, на винде ещё был :)

    А теперь в винде udp packed of total kernel pwnage...

     
  • 3.19, Аноним (-), 19:23, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ты б не трындел о чем не знаешь. Особенно если никогда не имел официального саппорта. Дырки в Солярке латают раз в два-три дня вот уже на протяжении последних 10 лет. Я его ежедневно использую, так что знаю - в отличие от тебя - скорость латания.
     
     
  • 4.67, Аноним (-), 15:27, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы только что прослушали рекламу компании Оракл :)
     
  • 2.28, Аноним (-), 20:24, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть вчера вышедший Solaris 11, перешедший на ProFTPD, будет ещё месяц
    > с дырой без обновлений ?

    Вменяемые соляристы не используют FTPD в соляре с тех пор, как в нее включен SSHD. Примерно с 2001 года.

     
     
  • 3.44, Аноним (-), 04:42, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Певец! :)
    Там даже NIS не брезгуют юзать, а ты всё песни пляшешь :)
     
  • 3.136, Аноним (-), 01:22, 23/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вменяемые соляристы не используют FTPD в соляре с тех пор, как в
    > нее включен SSHD. Примерно с 2001 года.

    Интересно, много секретарш на ssh переучили? :)

     

  • 1.3, Аноним (-), 14:38, 10/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    ктото ещё использует не vsftpd?
     
     
  • 2.4, Дима (??), 14:45, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как правило хостинг-компании используют именно ProFTPd
     
     
  • 3.6, Аноним (-), 14:48, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как правило хостинг-компании используют именно ProFTPd

    И по этому поводу хакеры теперь получат много халявных хостингов, ибо "может привести к выполнению кода злоумышленника".

     
     
  • 4.25, Аноним (-), 20:23, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Они всегда их имели. Видишь ли, недоумки-хостеры не знают о том, что SFTP изобрели уже о-очень давно. По меркам ИТ-мира - вечность назад.
     
     
  • 5.32, Аноним (-), 20:30, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Они всегда их имели. Видишь ли, недоумки-хостеры не знают о том, что
    > SFTP изобрели уже о-очень давно. По меркам ИТ-мира - вечность назад.

    А ssh хакерам тоже нравится, судя по наглости брутфорса оного ;)


     
     
  • 6.35, Аноним (-), 21:47, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А нехрен оставлять SSHD на 22м порту, чтобы скриптами ловился. Да и рут ремоутный в туннеле, разрешенный в некоих линаксах по дефолту - тоже. Ну и SSHD версии 4.7 в 2011м - тоже веселуха.
     
     
  • 7.68, Аноним (-), 15:30, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А нехрен оставлять SSHD на 22м порту, чтобы скриптами ловился.

    Сие полезно только в плане снижения нагрузки на проц, которая при интенсивном брутфорсе может и не порадовать.

    > Да и рут ремоутный в туннеле, разрешенный в некоих линаксах по дефолту - тоже.

    Это где такое счастье?  

    > Ну и SSHD версии 4.7 в 2011м - тоже веселуха.

    А это у кого?

     
  • 7.129, Клыкастый (ok), 18:16, 13/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А нехрен оставлять SSHD на 22м порту

    специально оставляю на 22-ом порту. и да, вход руту - ёк, вход по паролям - ёк. И да, sshguard на борту. А вообще конечно knockd хотелось бы привинтить - идея красивая.

    > рут ремоутный в туннеле, разрешенный в некоих линаксах по дефолту -

    o_O можно подробнее?

    > тоже. Ну и SSHD версии 4.7 в 2011м - тоже веселуха.

    O_o

     
  • 6.128, Клыкастый (ok), 18:12, 13/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    это быдлоскрипты которые по словарику долбятся - "хакеры"?
     
  • 5.45, Аноним (-), 04:46, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Угу - зазеркаль какой нить debian repo по SFTP ... :)
    Иди уже в дупу пионер, пока не сделают 0-crypt в ssh им все FTP-шные дырки заткнуть увы нельзя.

    PS: 0-crypt - это когда auth & so - в зашифрованном канале, а сам траффик - нет.

     
     
  • 6.69, Аноним (-), 15:32, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > а сам траффик - нет.

    В принципе, сам траффик тоже можно шифровать на скорости канала - каким-нибудь arcfour-like алгоритмом. Быстро работает. Но опенссшники до такого пока не доперли.

     
  • 2.41, Anonymous000 (?), 01:00, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да, я использую pure-ftpd, а что?
     

  • 1.5, Аноним (-), 14:47, 10/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > релиз ftp-сервера ProFTPD 1.3.4 в котором исправлено 219 ошибок

    Нифига себе багов в всего лишь ftpd! 8[ ]

    "helloworld.c: 11 errors, 19 warnings".

     
     
  • 2.11, Аноним (-), 16:32, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    напиши чтоб меньше было
     
     
  • 3.12, Аноним (-), 17:21, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > напиши чтоб меньше было

    FTP? В 2011 году? Вы еще UUCP попросите!

     
     
  • 4.20, Аноним (-), 19:24, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> напиши чтоб меньше было
    > FTP? В 2011 году? Вы еще UUCP попросите!

    Не поверишь - эти недоумки еще с десяток лет не будут пользовать SFTP, как "недостаточно зрелый". Они до сих пор - в 2011м - используют R-команды. Так шта.... UUCP там недалеко.

     
     
  • 5.47, Аноним (-), 05:00, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Пыонер. Иди в ... (С)Ф.Раневская

    Выше дали задачу - отзеркалить че нить типа Deban repo ч\з sftp.
    Сделаешь и расскажешь. Если ты на IX-е каком нить - как раз через год закончишь.
    Если (как водится) непризнанный гений из мухосранска ... ну и ладно, че-ж теперь.

     
     
  • 6.70, Аноним (-), 15:33, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Выше дали задачу - отзеркалить че нить типа Deban repo ч\з sftp.

    Не, лучше не так.
    Выше дали задачу: подмести ломом плац и покрасить траву в зеленый цвет, ибо ноябрь на дворе. Ведерко с зеленой краской получи у завхоза.

     
     
  • 7.121, Аноним (-), 06:38, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Выше дали задачу - отзеркалить че нить типа Deban repo ч\з sftp.
    > Не, лучше не так.
    > Выше дали задачу: подмести ломом плац и покрасить траву в зеленый цвет,
    > ибо ноябрь на дворе. Ведерко с зеленой краской получи у завхоза.

    То есть - в сухом остатке после сброса всей словесной шелухи - НЕТ! нельзя взять и отказаться от ftp в пользу sftp. О чём вам и говорили. Так что пионеры всенепременно воспользуйтесь советом Ф.Раневской! :)


     
  • 6.130, Аноним (-), 17:44, 15/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А, простите, причем тут IX? SFTP не увеличивает (точнее, увеличивает только маргинально) объемы трафика. Все, в чем проблема — упор в проц, из-за требований по шифрованию. Не более того.

    Невозможность зеркалить терабайты по SFTP никак не повод пользоваться FTP там, где этих терабайтов нет в помине. У типичного хостинг провайдера дается, в самом лучшем случае, пара десятков гигов. Вот нафига там FTP?

    А, да, чуть не забыл. Привет пионерам, зеркалящим репу Дебиана по FTP. В нормальном мире зеркалят по rsync, а раздают по HTTP.

     
     
  • 7.132, arisu (ok), 19:14, 15/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А, да, чуть не забыл. Привет пионерам, зеркалящим репу Дебиана по FTP.
    > В нормальном мире зеркалят по rsync, а раздают по HTTP.

    не пугай страусов.

     
  • 3.14, Ваня (?), 17:22, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, пару ошибок я указывать не стал, чтобы не расслаблялись :-)))))
     
     
  • 4.23, Аноним (-), 20:17, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати, пару ошибок я указывать не стал, чтобы не расслаблялись :-)))))

    Зато их указали в вашей любимой винде. Особенно доставляет MS11-083 - систему можно удаленно поиметь с правами ядра UDP пакетом. Epic failure/Эпическая неисправность.

     
  • 2.13, Ваня (?), 17:21, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    void sqrtroot double a,double b,double c,double x1,double x2 double d b b-4... большой текст свёрнут, показать
     
     
  • 3.16, Andrew Kolchoogin (?), 18:32, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1. "а" может быть 0, делить на 0 нельзя.

    "Да ладно, профессор!" (C)

    В IEEE libm, ЕМНСКНИМС, для любого финитного a > 0 верно, что a/0 = Inf и -a/0 = -Inf.
    Для а=0 a/0=NaN.

     
  • 3.17, arisu (ok), 19:09, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    благодарим за демонстрацию, мы и так знаем, как написана винда. зачем сюда-то с этим лезть?
     
     
  • 4.24, Аноним (-), 20:20, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > благодарим за демонстрацию, мы и так знаем, как написана винда.

    Я вот даже пруфлинк накопал. Именно так и написана - см http://www.securitylab.ru/news/409632.php

    Ну или что это за система где в ядро можно ремотно вломиться просто отправив "расово верный" UDP пакет?! Тут даже ProFTPD по лютости бага отдыхает.

     
     
  • 5.33, arisu (ok), 21:03, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну или что это за система где в ядро можно ремотно вломиться
    > просто отправив «расово верный» UDP пакет?! Тут даже ProFTPD по лютости
    > бага отдыхает.

    на самом деле не всё так страшно, конечно. хотя забытое dereference — это забавно. как и вся концепция «заката солнца вручную» (то бишь, сборки мусора без помощи компилятора и рантайма).

     
     
  • 6.58, Ваня (?), 11:29, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не вижу проблемы. Кто смотрел Затоичи помнит, как прикидывающийся слепым мужик 1,5 часа рубил козлов, а в конце фильма споткнулся о камень на пустой дороге и упал.

    Вообще ваша логика "дайте мне одну белую ворону и я докажу что чёрных не существует" мне кажется ошибочной.

     
  • 3.18, COBA (?), 19:16, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А где здесь деление на a?
    Я вижу только умножение суммы/2 на a.
     
  • 3.22, iZEN (ok), 19:55, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Давайте сразу перейдём от никуда не годного к более правильному решению http ... большой текст свёрнут, показать
     
     
  • 4.56, Ваня (?), 11:18, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Цель демонстрационный пример кода, содержащего ошибки Какое более правильное ... большой текст свёрнут, показать
     
     
  • 5.61, arisu (ok), 14:29, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да хватит уже бугуртить. мы уже поняли, что новость про epic fail с upd-пакетами никак не может оставить тебя равнодушной.
     
  • 4.94, Аноним (-), 17:49, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Давайте сразу перейдём от никуда не годного к более правильному решению:
    > http://ipg.h1.ru/lessons/ci/les31.html

    Писец годное решение:    #include <windows.h>

    Портабельность консольной программы прибита на ровном месте. За такое расстреливать надо.

    > А вы оставляете assert'ы в готовом коде?

    Некоторые в сомнительных оставляют. Лучше если программа сразу упадет и баг будет локализован и починен, чем когда вместо падения сразу будет полчаса глюкания, потом все навернется, но баг никто никогда не обнаружит, потому что бэктрейсить на полчаса назад - нереально напрочь.

     
  • 3.27, Аноним (-), 20:24, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > void sqrtroot(double a,double b,double c,double &x1,double &x2)

    Если ты такой умный, тогда смотри сюда:

    int i = 5;
    i = ++i + ++i;

    Чему будет равно i после этого? В компилер не подсматривать, обоснуй вместо этого почему именно так.

     
     
  • 4.49, kshetragia (ok), 06:28, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Зависит от компилятора
     
     
  • 5.53, Макс (??), 09:51, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Точно, ты прав. У меня на gcc получилось 13, а у соседа на том, который в vc - 14.
     
     
  • 6.57, Ваня (?), 11:22, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это один из классических примеров неоднозначного кода. По-хорошему компилятор должен был выдать предупреждение (warning). То же самое проще: i+++j, что может быть как (i++)+j, так и i+(++j).

    Таким же примером является значение переменной цикла после его завершения, напр.: for(i=0;i<5;i++), после завершения значение i неоднозначно и не может быть использовано.

     
     
  • 7.64, arisu (ok), 14:36, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Таким же примером является значение переменной цикла после его завершения, напр.: for(i=0;i<5;i++),
    > после завершения значение i неоднозначно и не может быть использовано.

    лолшто? нет, может у вас в m$vc и это смогли поломать, но то исключительно интимные проблемы рабов m$. никто не виноват, что ваш компилятор очень плохо умеет компилировать C. а в C значение i после цикла очень даже однозначно и может быть использовано.

    учи матчасть, студент.

     
     
  • 8.80, Ваня (?), 17:13, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Программный код должен быть переносимым Поведение компиляторов не всегда соотве... текст свёрнут, показать
     
     
  • 9.82, arisu (ok), 17:16, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    я тебе страшный секрет открою для переносимости стандарты и придумали а если т... текст свёрнут, показать
     
     
  • 10.85, Ваня (?), 17:26, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Майкрософт не мой , мир несовершенен, но я как разработчик вынужден заботиться ... текст свёрнут, показать
     
     
  • 11.88, Аноним (-), 17:33, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не, так не пойдет Покажите место в стандарте где указано что на переменную посл... текст свёрнут, показать
     
     
  • 12.90, Ваня (?), 17:36, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Оно не будет потеряно, но если условие for i 0 i 10 i , то после исполнения ... текст свёрнут, показать
     
     
  • 13.96, arisu (ok), 18:22, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    аааааааааа АААААААААААААААА нет, а я ведь говорил, говорил, что оно стандарт... большой текст свёрнут, показать
     
     
  • 14.100, Ваня (?), 18:30, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Много шума из ничего, и Майкрософт о котором не было ни слова Данное поведение ... текст свёрнут, показать
     
     
  • 15.101, arisu (ok), 18:34, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    шапочку из фольги и противометеоритный зонтик носишь а если нет 8212 то поче... текст свёрнут, показать
     
  • 15.106, Anonymouse (?), 00:59, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Звиздунчик Watcom был почти лучшим по поддержке стандарта Давай номер версии -... текст свёрнут, показать
     
     
  • 16.108, arisu (ok), 01:09, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    есть подозрение, что оно собирало проект с какими-то опциями максимальной оптими... текст свёрнут, показать
     
  • 15.115, Аноним (-), 01:34, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А у них много каких еще багов было Мне теперь что, привыкать вообще все баги во... текст свёрнут, показать
     
     
  • 16.118, arisu (ok), 01:48, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    нет, конечно писать как наш корреспондент 8212 в машинном коде а то всё ост... текст свёрнут, показать
     
     
  • 17.134, Аноним (-), 01:14, 23/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать что в машинном коде багов не бывает Баги делает программер, поэт... текст свёрнут, показать
     
     
  • 18.137, arisu (ok), 01:25, 23/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а какой у бедного ванюши-то выбор остаётся ... текст свёрнут, показать
     
  • 14.111, Аноним (-), 01:23, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати нынче разворачивать циклы часто довольно тупая идея чем жирнее код, тем ... текст свёрнут, показать
     
     
  • 15.112, arisu (ok), 01:27, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    это, в принципе, к теме беседы не относится ну мало ли, может это цикл типа for... текст свёрнут, показать
     
     
  • 16.116, Аноним (-), 01:36, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже на откровенный баг оптимизатора, если честно ... текст свёрнут, показать
     
     
  • 17.119, arisu (ok), 01:50, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ну, лично я такого бага воочию не видел на другие баги, правда, в gcc натыкался... текст свёрнут, показать
     
     
  • 18.124, Аноним (-), 16:44, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже Господин утверждает что это на ваткоме Ну то что у ваткома по жизни хва... текст свёрнут, показать
     
  • 7.75, Аноним (-), 15:43, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > после завершения значение i неоднозначно и не может быть использовано.

    А это откуда следует? Что-то не припоминаю такого в стандартах.

     
     
  • 8.76, arisu (ok), 15:44, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    оттуда, что в delphi так ну, и в некоторых компиляторах цпп тоже а стандарты о... текст свёрнут, показать
     
     
  • 9.78, Ваня (?), 17:04, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    О каком из стандартнов языка С или С конкретно вы ведёте речь ... текст свёрнут, показать
     
     
  • 10.79, arisu (ok), 17:08, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    тебе-то какая разница, коли ты ни один не читал O_O... текст свёрнут, показать
     
  • 9.86, Аноним (-), 17:28, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да мало ли что там в дельфи и некоторых компиляторах Надеяться можно лишь на то... текст свёрнут, показать
     
     
  • 10.87, Ваня (?), 17:32, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    8 80 За бесплатно готовить аналитическую заметку по стандартам и их соблюдению я... текст свёрнут, показать
     
     
  • 11.89, Аноним (-), 17:34, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это чего А, нормально, рассказать как оно у MS - можно и забесплатно, а как оно... текст свёрнут, показать
     
     
  • 12.92, Ваня (?), 17:40, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    MSVC и gcc - на этом ваши знания закончились У меня их 5, и я не помню у кого к... текст свёрнут, показать
     
     
  • 13.98, arisu (ok), 18:26, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    дададада 171 то ли он украл, то ли у него украли 8230 187 пиши багрепорт,... текст свёрнут, показать
     
  • 10.97, arisu (ok), 18:24, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    есть подозрение, что он только что сочинил себе какой-то компилятор, который 1... текст свёрнут, показать
     
  • 7.77, arisu (ok), 15:49, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > как (i++)+j, так и i+(++j).

    с какого испугу? у ++ больший приоритет, чем у +, поэтому оно будет съедено первым. ты и тут умудрился облажаться, бедняга. хотя я, конечно, допускаю, что на свете есть больные на голову авторы компиляторов, у которых разбор выражений сделан задом наперёд.

    зыж это, если чо, особенность любого адекватного парзера.

     
     
  • 8.81, Ваня (?), 17:13, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Программный код должен быть переносимым Поведение компиляторов не всегда соотве... текст свёрнут, показать
     
     
  • 9.84, arisu (ok), 17:18, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    http www opennet ru openforum vsluhforumID3 81276 html 82... текст свёрнут, показать
     
  • 9.91, Аноним (-), 17:37, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В лично моем понимании если кто не соответствует устоявшемуся и общепринятому ст... текст свёрнут, показать
     
     
  • 10.93, Ваня (?), 17:45, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Есть задача написать код, за это платят хорошие деньги Компиляторо-независимый ... текст свёрнут, показать
     
     
  • 11.99, arisu (ok), 18:29, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    пишем багрепорт вендору компилятора, работающего неверно в документации к библи... текст свёрнут, показать
     
     
  • 12.102, Ваня (?), 18:49, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Итог твоей клоунады требования ТЗ выполнены не в полном объёме со всеми вытекаю... текст свёрнут, показать
     
     
  • 13.103, arisu (ok), 18:55, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    нет итог моих дествий внизапна получил больше денег итог твоих действий за ... текст свёрнут, показать
     
  • 13.113, Аноним (-), 01:27, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А что за ТЗ такое хитрое, что требует нахаляву воркэраундить чужие баги Кто мн... текст свёрнут, показать
     
     
  • 14.114, arisu (ok), 01:29, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а это из разряда 171 солнце светит 8212 негры пашут солнце село 8212 не... текст свёрнут, показать
     
     
  • 15.117, Аноним (-), 01:38, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А, ну если кто хочет бесплатно воркэраундить баги в оптимизаторах всякой кривизн... текст свёрнут, показать
     
     
  • 16.122, Ваня (?), 10:57, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Стандарты не для красоты http mobile opennet ru opennews art shtml num 32287 ... текст свёрнут, показать
     
     
  • 17.123, Аноним (-), 16:36, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это вообще к чему Если уж говорить о стандартах то по идее BIOS должен выставит... большой текст свёрнут, показать
     
  • 8.107, Anonymouse (?), 01:03, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тут от кстати прав - а облажался - ты Ибо у i и j приоритет одинаков... текст свёрнут, показать
     
     
  • 9.109, arisu (ok), 01:13, 12/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а я и не говорил, что в этом случае я про стандарт речь веду просто любой норма... текст свёрнут, показать
     
  • 7.131, 1 (??), 18:12, 15/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >что может быть как (i++)+j, так и i+(++j).

    не может. "компилятор должон взять в лексему максимум.." т.е. (i++)+j и никак иначе

     
  • 5.71, Аноним (-), 15:35, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Зависит от компилятора

    Не надо было ему подсказывать, мне было интересно что из себя представляет MS-студент, а вы всю малину обосрали :))

     
  • 4.52, Макс (??), 09:41, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Чему будет равно i после этого?

    6 + 7 = 13
    Да, я сверился с компилятором.

     
     
  • 5.63, arisu (ok), 14:32, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Чему будет равно i после этого?
    > 6 + 7 = 13
    > Да, я сверился с компилятором.

    это лишь один из возможных ответов. а правильный ответ — undefined.

     
  • 5.72, Аноним (-), 15:38, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 6 + 7 = 13

    Только в допущении что преинкремент более приорететен чем суммирование. Для си например такое допущение неверно, даже если иногда действительно так.

    > Да, я сверился с компилятором.

    Не, на самом деле это лишь частный случай. В данном случае порядок действий не определен стандартом и в зависимости от того какие действия будут отработаны первыми - результат может быть разный.

     
  • 4.62, arisu (ok), 14:31, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    интересно (чисто академически), какой ёбнутый на голову вертухай удалил мой камент. и совершенно неакадемически интересно, за что. за то, что нихуя не знает си и не понял, что камент имеет ровно столько же смысла, сколько и вопрос? это прямо как в бебиане с криптографией: не знаем, а лезем править.
     
     
  • 5.73, Аноним (-), 15:41, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > интересно (чисто академически), какой ёбнутый на голову вертухай удалил мой камент.

    А мне интересно что там было написано. Господа модераторы, а может вы не будете стирать осмысленные и интересные комменты, но зато будете стирать хамливые и бессмысленные, а? Метете все без разбора, утомили.

     
     
  • 6.74, arisu (ok), 15:43, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    там всего лишь было написано, что в результате i равняется куску зелёного сыра.
     

  • 1.8, Аноним (-), 14:56, 10/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне кажется, что vsftpd по меньше дырок имеет.
     
     
  • 2.9, makky (ok), 15:27, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    vsftpd, pure-ftpd вполне гибкие и безопасные решения.

    зачем нужен вечно дырявый proftpd? в конце ноября и начале декабря прошлого года вообще подмена сорцов произошла, даже в портах freebsd. Хотя любителей наверняка много. Никода не использовал и не собираюсь.

     
     
  • 3.15, Аноним (-), 17:56, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > vsftpd, pure-ftpd вполне гибкие и безопасные решения.

    Ага, особенно pure-ftpd. Помнится, когда в нем нашли remote root дыру и по сети вовсю гулял сплойт, главный разработчик проекта даже не почесался что-то исправлять - тупо материл и банил всех, кто сообщал ему об уязвимости.

    Что касается гибкости, то тут, извините, у proftpd конкурентов нет и не предвидится. Поэтому остается выбирать - либо гибкость (proftpd), либо безопасность (vsftpd).

     
     
  • 4.29, Аноним (-), 20:26, 10/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что касается гибкости, то тут, извините, у proftpd конкурентов нет

    Да, гибкость обалденна! Он до кучи еще и средство удаленного администрирования оказывается :-]

     
  • 4.42, Anonymous000 (?), 01:03, 11/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, особенно pure-ftpd. Помнится, когда в нем нашли remote root дыру и
    > по сети вовсю гулял сплойт, главный разработчик проекта даже не почесался
    > что-то исправлять - тупо материл и банил всех, кто сообщал ему
    > об уязвимости.

    Пруф или не было.

    http://secunia.com/community/advisories/search/?search=pure-ftpd
    не вижу

     
     
  • 5.135, Аноним (-), 01:19, 23/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Пруф или не было.

    Во деграданты пошли! Оказывается набрать "pure-ftpd exploit" в поисковике - это уже слишком сложно. Ну вот например такой экспонат сходу нашелся: http://www.governmentsecurity.org/forum/topic/10150-remote-root-exploit-for-p

    Выглядит как вполне себе боевой вариант эксплойта для раритетных версий pure-ftpd.

     

  • 1.126, Василий Степанович (?), 23:14, 12/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как серверу proftpd указать интерфейсы, на которых ему разрешено слушать подключения?

    Мне надо разрешить слушать только локалку 192.168.0.0/16 (или весь местный интерфейс sk0, главное, чтоб инет не слушал).

    Пока сделал
    <Limit LOGIN>
      Order allow,deny
      Allow from 192.168.
      Deny from all
    </Limit>

    Но это ж не дело, он всё-равно слушает на всех интерфейсах, просто на левых интерфейсах отбивает соединения:
    421 Service not available, remote server has closed connection.

    А надо чтоб вообще не слушал левые интерфейсы.

     
     
  • 2.127, Аноним (-), 17:04, 13/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://www.proftpd.org/docs/directives/linked/config_ref_DefaultAddress.html
    а лучше - делайте уроки, Василий Степанович. рано вам еще FTP серверы поднимать.
     

  • 1.133, pentarh (ok), 18:03, 19/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> Одновременно выпущен корректирующий релиз ProFTPD 1.3.3g в котором устранена уязвимость, которая может привести к выполнению кода злоумышленника на сервере

    хехе. Это у профтпд уже традиция такая

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру