https://www.opennet.ru/openforum/vsluhforumID3/107162.html Доступна (http://seclists.org/oss-sec/2016/q1/645) информация о наличии удалённо эксплуатируемых уязвимостей (CVE-2016-2324 (https://security-tracker.debian.org/tracker/CVE-2016-2324) и CVE-2016&#8209;2315 (https://security-tracker.debian.org/tracker/CVE-2016-2315)) в Git. Проблемы проявляются как на стороне сервера, так и на стороне клиента, и могут привести (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-2315) к выполнению кода атакующего, имеющего доступ к Git-репозиторию. Эксплуатация сводится к инициированию переполнения буфера при выполнении операции push или clone в репозитории, содержащем файл со слишком длинным именем или большим числом вложенных деревьев. Уязвимость устранена в версии 2.7.1 и присутствует во всех более ранних выпусках git. <br><br><br>URL: http://seclists.org/oss-sec/2016/q1/645<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=44052<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#29 Sat, 19 Mar 2016 11:55:44 GMT Вот, к примеру, как сдвиги и повороты сделанные в c++ сворачиваются в 4 ассемблерные инструкции функции f(), если не считать ret https://goo.gl/yColR5<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#28 Sat, 19 Mar 2016 11:49:37 GMT За счет объектов в плюсах можно следить за границами где надо и контролировать типы как надо, а не передавать в функцию адрес указателя на буфер вместо самого буфера. А за счет шаблонов можно сделать вещи гораздо более крутые, чем на макросах в сях, которые оптимизируются в компайлтайм, заинлайнятся и свернутся в несколько асёмблерных инструкций. И все это с контролем типов. А сишники пусть продолжают передавать данные через void* и выяснять тип if'ами в рантайме. Зато труЪ.<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#27 Fri, 18 Mar 2016 07:55:40 GMT Ask!<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#26 Thu, 17 Mar 2016 20:39:06 GMT MGIMO finished?<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#25 Thu, 17 Mar 2016 19:49:50 GMT &gt; C, оказывается, недостаточно объектный, чтобы автоматически следить за буферами...<br><br>Слежение за буферами запилено в gcc 4.9 где-то, и clang 3.6 или 3.7. Только оно скорость просаживает, как и везде, поэтому позиционируется как отладочная фича.<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#24 Thu, 17 Mar 2016 19:41:56 GMT Берешь более-менее новые gcc или clang и собираешь все с -fsanitize=address, правда скорость работы просядет. Сделать яву можно и из сишечки, было бы желание.<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#23 Thu, 17 Mar 2016 19:13:56 GMT Загляни в сорцы винды (вот только не надо делать невинность на лице и говорить, что их нет) и удивись тому, что увидишь всё точно тоже самое, только в куче с плюсами (а в новых ещё и с шарпом).<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#22 Thu, 17 Mar 2016 18:39:50 GMT И при всём этом - это единственное (!) ядро, без вендорских блобов работающее на туевой хуче оборудования, работающее хорошо, и обслуживающее львиную долю серверов Сети.<br><br>Назовите хоть один аналог или альтернативу со сходными характеристиками. Их нет.<br> https://www.opennet.ru/openforum/vsluhforumID3/107162.html#21 Thu, 17 Mar 2016 15:05:56 GMT &gt; Нужно Git просто на Java переписать. Там ошибки такого плана вообще невозможны! <br><br>And does evry jvm programs runs Jazelle&#8239;? No, and their own for having security issue.<br>