Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в Glibc, позволяющая поднять привилегии в системе, opennews (??), 12-Янв-18, (0) [смотреть все] Мне нравится этот красивый номер уязвимости , Аноним (-), 23:39 , 12-Янв-18, (1) +13 // CVE-2018-1000000 топчик, Багтрекер (?), 23:54 , 12-Янв-18, (3) // Да что ж такое-то, Meltdown Spectre не работают, тут опять подстава code s, pavlinux (ok), 17:09 , 13-Янв-18, (49) +2 // Подстава случилась тогда когда придумали относительные пути, со всякими и про, Аноним (-), 23:36 , 16-Янв-18, (75) Ну почему каждая третья уязвимость связана с этим , Аноним (-), 23:45 , 12-Янв-18, (2) +4 // С напряжением ждём уязвимости dev null, ы (?), 01:26 , 13-Янв-18, (10) +4 // При обращении к dev null можно задудосить и без того багнутый Meltdown камень, ХипстерСпам (?), 12:32 , 13-Янв-18, (33) Хайпонули немножечко, бывает Отключил, если вдруг не отключено по дефолту и заб, EHLO (?), 02:29 , 13-Янв-18, (13) +4 // Первый раз отключил в августе 12-го года, что за уязвимость была не вспомню, но, backbone (ok), 08:46 , 13-Янв-18, (23) // Ну и как, контейнеры работают , Аноним (-), 19:04 , 13-Янв-18, (53) Нет, а должны , backbone (ok), 19:15 , 13-Янв-18, (55) Они шевелятся, ты не понял Они готовят user namespaces на царствование Когда к, Andrey Mitrofanov (?), 09:55 , 13-Янв-18, (25) +1 Всем срочно переходить на musl , минонА (?), 00:13 , 13-Янв-18, (6) +1 // там пользователей из ад нету, как мы будем деньги микрософту платить , Аноним (-), 12:23 , 13-Янв-18, (31) Можно подумать, в прочих либцах совсем нет уязвимостей , Аноним (-), 19:09 , 13-Янв-18, (54) +1 В нем тоже CVE случаются Переходить надо на другой глобус, где програмисты не о, Аноним (-), 23:48 , 16-Янв-18, (76) полный опасносте мирок стандартных библиотек , ыы (?), 00:47 , 13-Янв-18, (8) +2   // Полон опасностей Си-мирок то буфера переполнятся, то стеки слетают, то длину ст, Анонимчик (?), 03:04 , 13-Янв-18, (14) –4   // Правда, тупило бы непредсказуемо, память жрало и имело бы свои классы ошибок -- , Crazy Alex (??), 03:36 , 13-Янв-18, (15) +17   // Для Apple Lisa и Apple IIe большая часть программ написана на Pascal Apple Obje, iZEN (ok), 11:13 , 13-Янв-18, (29)   Всё переврали Там речь шла про скорость отклика в консольке В Apple IIe она был, h31 (ok), 12:38 , 13-Янв-18, (34) +1   Это все галимая теория, в реальных условиях, у пользователя на его смартфоне за , Адекват (ok), 14:52 , 13-Янв-18, (37) +1   Пчёлы iZEN против мёда , Аноним (-), 19:17 , 13-Янв-18, (56) +2   В Android нет Java Как язык высокого уровня используется, а как бинарный код - , iZEN (ok), 20:54 , 13-Янв-18, (60) –5   Ты Мастер разбирающийся в сортах Tm Остальным пох, жаба она и в дройдах - жаба, _ (??), 17:22 , 16-Янв-18, (73)   А вот интересно, как вы разделяете, Oracle Access Manager системное или несистем, iZEN (ok), 21:03 , 16-Янв-18, (74)   Java может и нет А тормозное памятежручее г вно - есть Так какая разница P S , Аноним (-), 18:05 , 17-Янв-18, (78)   JVM написана на C Ничего уж тут не поделаешь , iZEN (ok), 18:34 , 17-Янв-18, (79)   Выводы Java - г-но , Led (ok), 22:51 , 13-Янв-18, (63) +5   Ну да, а то на C CPP софт не тупит, не течёт, сжирая гигабайты, и не падает Ну , RobotsCantPoop (?), 14:37 , 13-Янв-18, (35) –2   Ну да, а в C CPP не расслабляются, прям так всё качественно контролируют, что со, RobotsCantPoop (?), 15:14 , 13-Янв-18, (41) –1   Хипстота не в курсе существования нормальных языков и концептов Неудивительно , RobotsCantPoop (?), 13:26 , 14-Янв-18, (67) –1   Фантастика на уровне АйФак 10 В вашей реальности хипстота на C пишет , щи (?), 10:37 , 15-Янв-18, (70) +1   Ты внимательно читал описание бага Ну допустим это был бы С и getcwd возвра, Аноним (-), 06:32 , 13-Янв-18, (17) +3   // Это слишком сложно для меня Я пишу на питоне совсем не что умен, а потому что п, Анонимчик (?), 07:18 , 13-Янв-18, (18) –2   Ты хотел сказать, что ещё не дорос до проектов, на которых нужны настолько сложн, QuAzI (ok), 10:06 , 13-Янв-18, (26) +8   наводящий вопрос - а на чём написан интерпретатор байт-кода питона , Hellraiser (??), 12:27 , 13-Янв-18, (32) +1   А причём тут питон Да хоть на Java - jython, например - это не изменит его инте, iZEN (ok), 15:07 , 13-Янв-18, (39) –1   jython не на Java язык программирования , а на байткоде, исполняемом JIT ядром , Вареник (?), 21:34 , 13-Янв-18, (61) +1   Да какая разница Валять дурака на левых входных данных можно и на питоне и на я, Аноним (-), 00:43 , 17-Янв-18, (77)   А как вы решаете проблему зоопарка версий его величества питона , а то как не с, Адекват (ok), 14:54 , 13-Янв-18, (38)   Две версии это да, дичайший зоопарк Очевидно, тоже гадает и правит заголовок фай, другой Аноним (?), 15:07 , 13-Янв-18, (40) +2   Пользуюсь 3 6 и игнорирую код, несовместимый с ней Ну примерно, как при сборке , Аноним (-), 15:53 , 13-Янв-18, (44) –2   Поставлю вопрос по другому, вы написали платную программу, но выложили в открыты, Адекват (ok), 16:44 , 13-Янв-18, (48) –3   Ты как раз описал SublimeText К слову, нужная версия Питона там идёт в поставке, Sirob (?), 17:17 , 13-Янв-18, (50) +1   Так пиши на третьей версии Про вторую забывать уже пора, поддержка скоро законч, Аноним (-), 19:27 , 13-Янв-18, (57) –1   Фантазер , другой Аноним (?), 20:38 , 13-Янв-18, (59) +3   Как раз именно поэтому , Led (ok), 22:46 , 13-Янв-18, (62) +2   С это не memory managed язык В нем доступна прямая адресная арфиметика и возм, angra (ok), 08:13 , 13-Янв-18, (22) +3   То, что она там доступна не означает, что ей обязательно нужно пользоваться В C, Аноним (-), 10:57 , 13-Янв-18, (28) –1   Ну осталось глянуть как именно реализован оператор в std string и что произо, angra (ok), 11:26 , 13-Янв-18, (30)   Так и есть - в соответствии с принципом платить только за что, что используешь , Crazy Alex (ok), 15:25 , 13-Янв-18, (43)   Возможна, и это хорошо - есть случаи, когда это действительно нужно Но в повсед, Crazy Alex (ok), 15:14 , 13-Янв-18, (42)   Кто-то что-то понял из несвязнного набора слов в статье , Аноним (-), 00:49 , 13-Янв-18, (9) +1 // Мне пришлось таки сходить по ссылке и почитать вполне связный набор слов в англи, angra (ok), 07:49 , 13-Янв-18, (20) +7 Опять какое-то особое ядро надо иметь Особые настройки Рут , Аноним (-), 07:40 , 13-Янв-18, (19) –2 // Нет, всего лишь внимательно читать Для инициирования появления относительного п, angra (ok), 07:58 , 13-Янв-18, (21) +1 // Я внимательно прочитал sysctl управляет настройками в sys, там этой настройки , Аноним (-), 08:54 , 13-Янв-18, (24) –1 // Я вообще-то про то, что в статье сказано о необходимости включения этого механиз, angra (ok), 10:55 , 13-Янв-18, (27) в proc sys А так логика верная , EHLO (?), 18:48 , 13-Янв-18, (52) Уточню, потому что вдруг кто-то читает Верная логика относится к соответствию, EHLO (?), 23:58 , 14-Янв-18, (69) Странное дело в новости про NPM было цело состязание злословия и конкурс моделе, Аноним (-), 16:06 , 13-Янв-18, (45) –2 // Кому что болит, о том и говорит Тут, как видно, болит очень немногим, увы , Борщдрайвен бигдата (?), 16:32 , 13-Янв-18, (46) +2 по ходу только переписывание glibc на rust спасёт ситуацию, Аноним (-), 01:20 , 14-Янв-18, (64) –1 // Тотальное выпиливание C CPP спасёт от 90 проблем с безопасностью и , RobotsCantPoop (?), 13:21 , 14-Янв-18, (66) –2 Как оно спасёт Все имеющиеся там функции должны делать ровно то, что они делают, Аноним (-), 18:41 , 15-Янв-18, (71) –1 Вы не понимаете, что значат буковки glibc , Michael Shigorin (ok), 14:29 , 16-Янв-18, (72) +1 Еще одна уязвимость, связанная с suid Ну, дело не новое, Аноним (-), 17:15 , 14-Янв-18, (68) –1 1,2,6,8,9,19,45,64,68

Сообщения

[Сортировка по времени | RSS]

8. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+2 +/–
Сообщение от ыы (?), 13-Янв-18, 00:47
полный опасносте мирок стандартных библиотек :)
Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–4 +/–
	Сообщение от Анонимчик (?), 13-Янв-18, 03:04
	Полон опасностей Си-мирок: то буфера переполнятся, то стеки слетают, то длину строк проверить забудут. В общем, тысяча и один способ накосячить трудноуловимо и критически. Писали бы на managed-языках - таких проблем by-design бы не было бы.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+17 +/–
	Сообщение от Crazy Alex (??), 13-Янв-18, 03:36
	Правда, тупило бы непредсказуемо, память жрало и имело бы свои классы ошибок -- на managed языках как-то быстро расслабляются, с управлением ресурсами в особенности, забывая, что ресурсы - это далеко не только память.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от iZEN (ok), 13-Янв-18, 11:13
	Для Apple Lisa и Apple IIe большая часть программ написана на Pascal (Apple ObjectPascal уже тогда был, кажется). Недавно измеряли скорость ответной реакции системы на внешнее воздействие - 30-60 миллисекунд. Для примера ещё взяли современные смартфоны с операционными системами, написанными на C/C++,Java - скорость ответной реакции от 250 до 800 миллисекунд. Делайте выводы.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+1 +/–
	Сообщение от h31 (ok), 13-Янв-18, 12:38
	Всё переврали. Там речь шла про скорость отклика в консольке. В Apple IIe она была чуть ли не аппаратно реализована, поэтому такое маленькое время отклика. И никаких 800 мс я не вижу. В районе 100 на нормальных компьютерах и 120-130 на смартфонах. Это нормально, с учётом того, как работает тачскрин. https://danluu.com/input-lag/
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+1 +/–
	Сообщение от Адекват (ok), 13-Янв-18, 14:52
	> И никаких 800 мс я не вижу. В районе 100 на нормальных > компьютерах и 120-130 на смартфонах. Это нормально, с учётом того, как > работает тачскрин. https://danluu.com/input-lag/ Это все галимая теория, в реальных условиях, у пользователя на его смартфоне за 4000р запущенно несколько программок в фоне, и телефону нужно продуматься, просто при выходе из VK.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+2 +/–
	Сообщение от Аноним (-), 13-Янв-18, 19:17
	>,Java - скорость ответной реакции от 250 до 800 миллисекунд Пчёлы (iZEN) против мёда! ;)
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	60. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–5 +/–
	Сообщение от iZEN (ok), 13-Янв-18, 20:54
	>>,Java - скорость ответной реакции от 250 до 800 миллисекунд > Пчёлы (iZEN) против мёда! ;) В Android нет Java. Как язык высокого уровня используется, а как бинарный код - нет той JVM и среды исполнения, чтобы считать это Java.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от _ (??), 16-Янв-18, 17:22
	Ты Мастер разбирающийся в сортах(Tm)! Остальным пох, жаба она и в дройдах - жаба! :-р И она такое же Г как и на пизюках. Не - ну очередные "склад-магазины" клепать - самое оно! Хуже жабы - лучше нет! Но системное что то на ней лепить ... надо быть iZEN-ом на всю голову :-Р
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от iZEN (ok), 16-Янв-18, 21:03
	> Ты Мастер разбирающийся в сортах(Tm)! > Остальным пох, жаба она и в дройдах - жаба! :-р > И она такое же Г как и на пизюках. > Не - ну очередные "склад-магазины" клепать - самое оно! Хуже жабы - > лучше нет! Но системное что то на ней лепить ... надо > быть iZEN-ом на всю голову :-Р А вот интересно, как вы разделяете, Oracle Access Manager системное или несистемное ПО?
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от Аноним (-), 17-Янв-18, 18:05
	Java может и нет. А тормозное памятежручее г@вно - есть. Так какая разница? P.S. Если что-то пишется - как жаба,тормозит - как жаба, память жрет - как жаба и глючит - как жаба, то это жаба и есть!
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

	79. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от iZEN (ok), 17-Янв-18, 18:34
	> Java может и нет. А тормозное памятежручее г@вно - есть. Так какая > разница? > P.S. Если что-то пишется - как жаба,тормозит - как жаба, память жрет > - как жаба и глючит - как жаба, то это жаба > и есть! JVM написана на C++. Ничего уж тут не поделаешь.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+5 +/–
	Сообщение от Led (ok), 13-Янв-18, 22:51
	> Pascal > скорость ответной реакции системы на внешнее воздействие - 30-60 миллисекунд. > Java - скорость ответной реакции от 250 до 800 миллисекунд. Делайте выводы. Выводы: Java - г-но.
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	35. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–2 +/–
	Сообщение от RobotsCantPoop (?), 13-Янв-18, 14:37
	Ну да, а то на C/CPP софт не тупит, не течёт, сжирая гигабайты, и не падает. Ну ваще-ваще.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	41. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–1 +/–
	Сообщение от RobotsCantPoop (?), 13-Янв-18, 15:14
	Ну да, а в C/CPP не расслабляются, прям так всё качественно контролируют, что софт на сях не тупит, не падает, не течёт сжирая гигабайты и уязвимостям ну ваще не подвержен.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	67. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–1 +/–
	Сообщение от RobotsCantPoop (?), 14-Янв-18, 13:26
	> Правда, тупило бы непредсказуемо, память жрало Хипстота не в курсе существования нормальных языков и концептов. Неудивительно.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	70. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+1 +/–
	Сообщение от щи (?), 15-Янв-18, 10:37
	Фантастика на уровне "АйФак 10". В вашей реальности хипстота на C пишет.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+3 +/–
	Сообщение от Аноним (-), 13-Янв-18, 06:32
	>Писали бы на managed-языках - таких проблем by-design бы не было бы. Ты внимательно читал описание бага? Ну допустим это был бы С++ и getcwd() возвращала бы std::string("(unreachable)"). Исправило ли бы это проблему? Нет! Просто это было идиотское архитектурное решение, ломающее обратную совместимость.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	18. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–2 +/–
	Сообщение от Анонимчик (?), 13-Янв-18, 07:18
	Это слишком сложно для меня. Я пишу на питоне совсем не что умен, а потому что проще. Зато у меня нет проблем с переполнением буферов.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+8 +/–
	Сообщение от QuAzI (ok), 13-Янв-18, 10:06
	Ты хотел сказать, что ещё не дорос до проектов, на которых нужны настолько сложные вещи, что и переполнение буфера будет вылезать?
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+1 +/–
	Сообщение от Hellraiser (??), 13-Янв-18, 12:27
	наводящий вопрос - а на чём написан интерпретатор байт-кода питона?
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	39. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–1 +/–
	Сообщение от iZEN (ok), 13-Янв-18, 15:07
	> наводящий вопрос - а на чём написан интерпретатор байт-кода питона? А причём тут питон? Да хоть на Java - jython, например - это не изменит его интерпретативной сущности.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+1 +/–
	Сообщение от Вареник (?), 13-Янв-18, 21:34
	jython не на Java (язык программирования), а на байткоде, исполняемом JIT ядром - сишечкой, ассмеблерными вставками.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от Аноним (-), 17-Янв-18, 00:43
	> А причём тут питон? Да хоть на Java - jython, например - > это не изменит его интерпретативной сущности. Да какая разница? Валять дурака на левых входных данных можно и на питоне и на яве. Особенно если тебе внезапно кернел отгрузит какую-то фигню а хакер воспользуется недоразумением.
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	38. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от Адекват (ok), 13-Янв-18, 14:54
	> Это слишком сложно для меня. Я пишу на питоне совсем не что > умен, а потому что проще. Зато у меня нет проблем с > переполнением буферов. А как вы решаете проблему зоопарка версий его величества питона ?, а то как не скачаешь что-то на пиотне, выясняется, что у меня версия не та, какие-то ошибки в коде не понятные, приходится методом тыка в заголовке файла версию указывать.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	40. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+2 +/–
	Сообщение от другой Аноним (?), 13-Янв-18, 15:07
	>> Это слишком сложно для меня. Я пишу на питоне совсем не что > А как вы решаете проблему зоопарка версий его величества питона ? Две версии это да, дичайший зоопарк! > а о как не скачаешь что-то на пиотне, выясняется, что у меня > версия не та, какие-то ошибки в коде не понятные, Очевидно, тоже гадает и правит заголовок файла после написания скрипта!
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–2 +/–
	Сообщение от Аноним (-), 13-Янв-18, 15:53
	Пользуюсь 3.6 и игнорирую код, несовместимый с ней. Ну примерно, как при сборке бинарников игнорируют PDP-11, например. В тяжёлых случаях — во всех двух! — пользуюсь virtualenv. Это примерно как поставить старый CentOS в контейнер для запуска старой версии софта, несовместимой с современными дистрибутивами, только места значительно меньше занимает. Про «ошибки в коде непонятные» посмеялись вместе в Гвидо. Ух, и юморист же ты!
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	48. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–3 +/–
	Сообщение от Адекват (ok), 13-Янв-18, 16:44
	> Про «ошибки в коде непонятные» посмеялись вместе в Гвидо. Ух, и юморист > же ты! Поставлю вопрос по другому, вы написали платную программу, но выложили в открытый доступ бесплатную демо-версию, с ограниченным функционалом. Как сделать так, чтобы эта программа, написанная на питоне работала У ВСЕХ (для тех, кто любит подменять понятия, я хочу сказать, что у всех, у кого компы не старее 15ти лет, у кого или винда, или линукс, или макось). К слову сказать, написнный на СИ бинарик, особенно под винду заработает 100%, а вот в случае с питоном - то питон не той версии, то его вообще нет. А люди, кто готов платить деньги вовсе не обязаны быть программистами, или сисадминами, им нужен конечный результат, функционал.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+1 +/–
	Сообщение от Sirob (?), 13-Янв-18, 17:17
	Ты как раз описал SublimeText. К слову, нужная версия Питона там идёт в поставке с самой прогой.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–1 +/–
	Сообщение от Аноним (-), 13-Янв-18, 19:27
	Так пиши на третьей версии. Про вторую забывать уже пора, поддержка скоро закончится. А то, что Питона вообще нет, ну так в Винде же. Что ж теперь опенсорсу не использовать какие-либо интерпретаторы только потому, что их по умолчанию нет в Винде?
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

	59. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+3 +/–
	Сообщение от другой Аноним (?), 13-Янв-18, 20:38
	> К слову сказать, написнный на СИ бинарик, особенно под винду заработает 100%, Фантазер.
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

	62. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+2 +/–
	Сообщение от Led (ok), 13-Янв-18, 22:46
	> Я пишу на питоне совсем не что умен Как раз именно поэтому.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	22. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+3 +/–
	Сообщение от angra (ok), 13-Янв-18, 08:13
	С++ это не memory managed язык. В нем доступна прямая адресная арфиметика и возможность выхода за границы буфера. Например в go такая ошибка не могла бы произойти, работа программы прервется как только произойдет выход за нижнюю границу буфера. А в perl вместо вылета или уязвимости было бы заворачивание к концу буфера.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	28. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	–1 +/–
	Сообщение от Аноним (-), 13-Янв-18, 10:57
	> С++ это не memory managed язык. В нем доступна прямая адресная арфиметика То, что она там доступна не означает, что ей обязательно нужно пользоваться. В C# она тоже доступна, но почти никто ей не пользуется. Проблема скорее в том, что обычно C++ код это дикая смесь Си и C++ кода, а нужно на весь Си код писать обертки.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от angra (ok), 13-Янв-18, 11:26
	Ну осталось глянуть как именно реализован оператор [] в std::string и что произойдет если обратится к [-1]. То описание, что мне попалось, говорит об отсутствии проверок на границы и рекомендует использовать at(), если проверка нужна. Получается, что даже в чистом C++ проблема остается.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от Crazy Alex (ok), 13-Янв-18, 15:25
	Так и есть - в соответствии с принципом "платить только за что, что используешь", то есть тоормоза надо запрашивать явно. Можно спорить, хорошо это в данном случае или нет, но есть оба варианта, и любой хоть как-то компетентный плюсовик это отличие знает. В данном случае это значения не имеет - плюсовый код вообще не особо предполагает работу со строками через индексы на каждом шагу - где возможно используют готовые алгоритмы, в них все проверки на месте и в сто раз проще понять, что вообще делает код. А так - при желании можно хоть char* получить, конечно.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимость в Glibc, позволяющая поднять привилегии в системе"	+/–
	Сообщение от Crazy Alex (ok), 13-Янв-18, 15:14
	Возможна, и это хорошо - есть случаи, когда это действительно нужно. Но в повседневном программировании использование адресной арифметики, сырых массивов и (в меньшей степени) сырых указателей вообще - плохой тон начиная с C++11, в любом вменяемом проекте подобное завернут без хорошего обоснования.
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема