https://opennet.ru/openforum/vsluhforumID3/131756.html В утилите для получения и отправки данных по сети curl и развивающейся параллельно библиотеке libcurl выявлена уязвимость (CVE-2023-38545), которая может привести к переполнению буфера и потенциально к выполнению кода атакующего на стороне клиента при обращении при помощи утилиты curl или приложения, использующего libcurl, к HTTPS-серверу, подконтрольному злоумышленнику. Проблема проявляется только в случае включения в curl доступа через прокси SOCKS5. При прямом обращении без прокси уязвимость не проявляется. Уязвимость устранена в выпуске curl 8.4.0. Выявивший ошибку исследователь безопасности получил вознаграждение, размером $4660 в рамках инициативы Internet Bug Bounty на Hackerone...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59909<br> https://opennet.ru/openforum/vsluhforumID3/131756.html#105 Sun, 15 Oct 2023 00:50:13 GMT В плюсах вполне можно кастовать в С-шном стиле.<br> https://opennet.ru/openforum/vsluhforumID3/131756.html#104 Fri, 13 Oct 2023 07:09:43 GMT Всего. Лишь. Не выполнили чужой код.<br>Хотя стоп, это уже не всего лишь.<br> https://opennet.ru/openforum/vsluhforumID3/131756.html#103 Thu, 12 Oct 2023 21:04:49 GMT Вы что то путаете.<br>Санитайзер сборки они для отладки.<br><br>Чтобы найти эту и подобные проблемы обычно достаточно включить все доступные варнинги и компилятор покажет все похожие места.<br> https://opennet.ru/openforum/vsluhforumID3/131756.html#102 Thu, 12 Oct 2023 21:02:03 GMT Когда включаешь в clang максимальные варинги он ещё и не такое начиает обругивать.<br>Но это же надо потом тыщи варнингов отсмотреть и исправить...<br>Поэтому никто не включает.<br> https://opennet.ru/openforum/vsluhforumID3/131756.html#101 Thu, 12 Oct 2023 20:40:05 GMT Не ты чо, проще еще один язык программирования выучить!<br> https://opennet.ru/openforum/vsluhforumID3/131756.html#100 Thu, 12 Oct 2023 20:37:58 GMT &gt;уйдут 41% дыреней<br><br>И близко не стоит переписывания рабочего проекта на другой язык. <br> https://opennet.ru/openforum/vsluhforumID3/131756.html#98 Thu, 12 Oct 2023 20:26:29 GMT Всего. Лишь. Ошибка. <br>Всего. Лишь. Падение. <br>Мда.<br> https://opennet.ru/openforum/vsluhforumID3/131756.html#97 Thu, 12 Oct 2023 17:27:02 GMT &gt; т.е если после смены языка уйдут 41% дыреней, этого мало?<br><br>Какая разница сколько уйдёт? Главное, сколько останется.<br><br>Если аудит регулярный, сколько он находит проблем (1-100) роли не играет, он находит их пачками - условно ВСЁ, что сейчас находится. Количество говорит лишь о качестве разработки, а не о безопасности кода. Найдут хотя бы одну - код уже потенциально небезопасный, на любом языке. И ведь найдут. Потому что, чем больше вносится изменений, тем выше риск ошибки. Даже если ты Раст-гуру с 4-мя глазами.<br> https://opennet.ru/openforum/vsluhforumID3/131756.html#96 Thu, 12 Oct 2023 17:00:58 GMT &gt;&gt;потому что char всегда 1 байт <br>&gt; кто такое сказал? может очень нужеый ISO стандарт?<br><br>Вот самое мерзотное в языке Си - это как раз та непонятная муха, укусившая Ритчи, из-за которой он за каким-то совершенно неведомым хреном придумал эти char использовать не по назначению.<br><br>Причем в bcpl БЫЛ тип byte. <br><br>Как, ну как можно было так долбануться?<br><br><br>