The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск GNU Wget 1.20.3 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от opennews (??), 05-Апр-19, 22:15 
Сформирован (https://lists.gnu.org/archive/html/bug-wget/2019-04/msg00015...) корректирующий релиз GNU Wget 1.20.3 (http://www.gnu.org/software/wget/), программы для автоматизации загрузки контента с использованием протоколов HTTP и FTP. В новом выпуске устранена уязвимость CVE-2019-5953 (https://security-tracker.debian.org/tracker/CVE-2019-5953), которая может привести (https://git.savannah.gnu.org/cgit/wget.git/commit/?id=692d5c...) к переполнению буфера при возвращении сервером специально оформленных данных в многобайтовой кодировке. Не исключается (https://bugzilla.redhat.com/show_bug.cgi?id=1695679) возможность использования уязвимости для организации выполнения кода. Изначально проблема устранена в выпуске 1.20.2, но в исправлении разработчики забыли убрать (https://git.savannah.gnu.org/cgit/wget.git/commit/?id=562eac...) отладочные вызовы, поэтому следом сразу выпущен релиз 1.20.3.

URL: https://lists.gnu.org/archive/html/bug-wget/2019-04/msg00015...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50466

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –5 +/
Сообщение от Аноним (1), 05-Апр-19, 22:15 
> переполнению буфера

Хм... что-то не характерно для программ, написанных на си. Тут что-то не так. Обычно таких уязвимостей в си-программах не бывает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (2), 05-Апр-19, 22:50 
Со всей ответственностью заявляешь? Много писал на Си?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +3 +/
Сообщение от Аноним (3), 05-Апр-19, 23:07 
Мне кажется, это был сарказм.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +4 +/
Сообщение от Аноним (4), 05-Апр-19, 23:22 
Вот взял и лишил нас попкорнового зрелища. Айтишники без ч/ю это так забавно.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +2 +/
Сообщение от Michael Shigorinemail (ok), 05-Апр-19, 23:54 
Вам кажется.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +2 +/
Сообщение от IRASoldier (?), 06-Апр-19, 03:50 
Да какой сарказм - очередное _тонко_ завуалированное намекание, что "С/С++ остой, устарели, всем срочно писать на модных и безопасных вот вчера прямо придуманных языках!". Ну, есть еще вероятность, что предложит писать не на модноязыках, а наоборот - на каком-нибудь Обероне, потому что "великiй ВиртЪ всё это предвидел!", но - маленькая.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

31. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (31), 08-Апр-19, 16:16 
Не надо скудоумых фантазий, просто возьми C#!
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

37. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –1 +/
Сообщение от IRASoldier (?), 08-Апр-19, 16:39 
> Не надо скудоумых фантазий, просто возьми C#!

Насколько я понимаю, на никсах с шарпами не сложилось. Хотя давно уже .NET в опенсорсе.


Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

41. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от нах (?), 18-Апр-19, 12:35 
> Насколько я понимаю, на никсах с шарпами не сложилось.

все с ними сложилось, с нынешней дистанции не видно разницы в возрасте между mono и ms'овской реализацией.

Просто никсы оказались ненужны разработчикам *на* C# - у них-то под виндой все и так неплохо получается. Вряд ли и .core что изменит, это для пользователей wsl придумано, не для людей.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

5. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –3 +/
Сообщение от Анонимс (?), 05-Апр-19, 23:29 
>> переполнению буфера
> Хм... что-то не характерно для программ, написанных на си.

И что Вы предлагаете для решения этой проблемы? Переписать на rust, js или другой безопасный язык? А существуют ли в природе вообще эти безопасные языки? Очень сложный вопрос, на который я не знаю ответа. Может эксперты знают ответ на этот вопрос?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –2 +/
Сообщение от Аноним (6), 05-Апр-19, 23:40 
Для Си есть набор техник препятствующих переполнениям. Другое дело, что стоимость этих подходов мешает производительности. А так то можно использовать и вообще какую-то виртуальную машину.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (10), 06-Апр-19, 00:17 
А какие? Хочу просветиться, на Си писать
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +2 +/
Сообщение от IRASoldier (?), 06-Апр-19, 03:47 
>Для Си есть набор техник препятствующих переполнениям

Ага, просто супертехника - просто писать код _правильно_.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от PnDx (ok), 06-Апр-19, 10:22 
Так не бывает, и где-то в районе хабра даже попадались статьи, почему.
На пальцах, при написании кода работает "спекулятивное" мышление. Программист пропускает некоторые "нюансы" просто потому что не видит. Не видит "неправильного", увлёкшись как раз созданием "правильного".
Отсюда как раз вытекает необходимость покрывать код тестами: с точки зрения инженера они описывают, как *должно* работать. (И как ломаться.) Т.е. "модель".
В силу первого параграфа, написать сразу "правильные" тесты также проблематично. Поэтому, процесс — итеративный. "Архитектор" (в других сферах деятельности обычно называется "инженер") изначально должен озаботиться, чтобы процесс ("допилил код — дописал тест") таки сходился. (* Выбор языка/языков под задачу — тоже часть проектирования.)
* И в этом кстати формальное обоснование, почему "глючные комбайны" не работают примерно всегда. Потому что тупо не "свести".
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

23. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от IRASoldier (?), 06-Апр-19, 10:51 
Вот старая добрая модель водопада такое глюкло системно фиксила чаще, чем новомодные скрамы и прочие агиле, когда "баги будем фиксить потом, сейчас главное добавить ещё одну ну очень как нужную фичу".
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

33. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (31), 08-Апр-19, 16:21 
Ни одна "модель" не обезопасит тупости низкоквалифицированного персонала.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от IRASoldier (?), 08-Апр-19, 16:45 
> Ни одна "модель" не обезопасит тупости низкоквалифицированного персонала.

Два чая этому Анонимусу.


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

32. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (31), 08-Апр-19, 16:20 
Хватит уже фапать на тесты! Только бестолкушки вроде вас, не особо высокой квалификации, наивно думают, что тесты от чего-то там защитят.
Тест - это *ровно такая же программа*, со своими недостатками, утечками, неполнотой и прочим. Написать 100% гарантирующий тест - практически нереально, он стоит 10-кратно по ср. с покрываемым кодом. Поэтому вы либо пишете "недотесты" (очевидно, на***ер не нужные), либо не пишете вообще.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –2 +/
Сообщение от Michael Shigorinemail (ok), 06-Апр-19, 11:25 
Ага, и желательно верхними конечностями.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

8. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –4 +/
Сообщение от Аноним (8), 06-Апр-19, 00:03 
> Изначально проблема устранена в выпуске 1.20.2, но в исправлении разработчики забыли убрать отладочные вызовы, поэтому следом сразу выпущен релиз 1.20.3.

Как-то непрофессионально звучит. Но есть и "профессионалы", у которых вообще был бы notabug в такой ситуации.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (1), 06-Апр-19, 00:06 
А у вас негров линчуют!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –1 +/
Сообщение от Michael Shigorinemail (ok), 06-Апр-19, 11:27 
Как майнтейнер wget в альте (кстати, обновка убежала вскоре после апстримного анонса) могу отметить, что после того, как wget взялись шевелить -- в него посадили несколько неприятных дырок (да, после указания на них сразу бросились фиксить, но не порадовало).
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –6 +/
Сообщение от Аноним (11), 06-Апр-19, 00:54 
wget давно пора переписать на Go/Rust - и даже runtime с собой таскать не жалко, ибо им качают огромные файлы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +5 +/
Сообщение от IRASoldier (?), 06-Апр-19, 03:51 
Ядро себе на Go/Rust перепиши...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (16), 06-Апр-19, 07:52 
наши программисты работают...
https://www.redox-os.org/

ну или так: https://www.reddit.com/r/rust/comments/b8qy70/my_new_project.../
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +1 +/
Сообщение от IRASoldier (?), 06-Апр-19, 08:03 
> наши программисты работают...
> https://www.redox-os.org/
> ну или так:
> https://www.reddit.com/r/rust/comments/b8qy70/my_new_project.../

"Как сказала молоденькая Керо королю Вриданку при их первом свидании - 'Недурная штучка, но есть ли у неё какое-то практическое применение?'" (с) Золтан Хивай


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (16), 06-Апр-19, 08:12 
лет через 10 будет ясно
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –1 +/
Сообщение от IRASoldier (?), 06-Апр-19, 08:25 
> лет через 10 будет ясно

На самом деле, если без трололо, как раз на утилитах Rust и имеет смысл оттачивать - естественно, не меняя майнстрим, а форкая для желающих в перманентный тестинг. С теми же coreutils поиграть. Опять же, проекты типа Oxidation уместны. И т.п. А вот тогда можно будет постепенно смотреть, насколько этот самый Rust из перспективных (всяко интереснее Go, разумеется) годится в продакшен чего-то сурьезного.


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (16), 06-Апр-19, 09:49 
я про 10 лет сказал реально без трололо. Считаю что до некоего условно юзабельного состояния эту RedoxOs раньше не осилят, если только туда кто-то не вольет бабла.
А насчет утилит, то  в GNOME уже пишут.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –1 +/
Сообщение от IRASoldier (?), 06-Апр-19, 10:46 
> я про 10 лет сказал реально без трололо

Это я про ядро немного тролльнул. Дабы выказать отношение к "всё прямщаз переписать на <новый модный ЯП>, С/C++ напамойкуистории111!".

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

39. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от InuYasha (?), 08-Апр-19, 19:22 
Да что спорить с этими педеRustами...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

40. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от IRASoldier (?), 09-Апр-19, 15:58 
> Да что спорить с этими педеRustами...

Деточка, ты со своими гомофобскими ассоциативными неологизмами такой же шлак, как и моднофанатики: с Rust работает множество адекватных людей, как развивающих сами языки, так и использующих их там, где это целесообразно.


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

26. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +1 +/
Сообщение от Аноним (26), 06-Апр-19, 14:26 
> wget давно пора переписать на Go/Rust

На тебе:
https://godoc.org/github.com/u-root/u-root/cmds/wget
https://github.com/jaytarang92/goget
https://github.com/laher/wget-go
На хрусте сам поищи, на сегодня лимит бесплатного гугления исчерпан.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –2 +/
Сообщение от Ivan_83 (ok), 06-Апр-19, 19:37 
Только вот всем пофик на такие уязвимости.
wget/curl/fetch используются редко, и в основном с вполне определёнными серверами (а не какими попало), таскать жуткий раст ради мифической безопасности - бесполезная трата времени.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (31), 08-Апр-19, 16:23 
ваши "горасты" только и нужны тем, кто пишет эти языки. Есть нормальный, промышленный Ди - бери, да пиши.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  –1 +/
Сообщение от VINRARUS (ok), 06-Апр-19, 16:01 
wget устарел к сожалению, всё чаще требуется curl.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним3 (?), 06-Апр-19, 20:36 
или aria2)) часто вижу в разных дистрах.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +1 +/
Сообщение от Аноним (26), 07-Апр-19, 22:26 
> wget устарел к сожалению, всё чаще требуется curl.

Совершенно разные инструменты, изначально рассчитанные на разные области применения. Перекрываются разве что в самом востребованном хомячками кейсе — выкачать из веба один файл.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

35. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Аноним (31), 08-Апр-19, 16:24 
А в чём разница?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "Выпуск GNU Wget 1.20.3 с устранением уязвимости"  +/
Сообщение от Andrey Mitrofanov (?), 08-Апр-19, 16:27 
> А в чём разница?

Ентерпрайсно. https://www.opennet.ru/opennews/art.shtml?num=50404

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Fornex
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру