forum.opennet.ru

"Уязвимость в утилите GNU split, приводящая к переполнению буфера"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Уязвимость в утилите GNU split, приводящая к переполнению буфера"	+/–
Сообщение от opennews (??), 24-Янв-24, 10:18
В утилите split, поставляемой в пакете GNU coreutils и применяемой для разделения больших файлов на части, выявлена уязвимость (CVE-2024-0684), приводящая к переполнению буфера при обработке длинных строк (несколько сотен байт), в случае использования в split опции "--line-bytes" ("-C"). Уязвимость была выявлена в ходе анализа сбоев, возникающих при использовании утилиты split для разделения данных, передаваемых при помощи QR-кодов... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60490
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в утилите GNU split, приводящая к переполнению буфера, opennews, 24-Янв-24, 10:18 [смотреть все]

То ли ещё будет когда split научат с Unicode работать, точно наступят на все воз, Аноним, 24-Янв-24, 10:18 (1) //
- А что с sort не так Просто указываешь какой LC_COLLATE нужен и все Или еще кор, adolfus, 24-Янв-24, 11:44 (23) //
  - https bugzilla suse com show_bug cgi id 928749, Аноним, 24-Янв-24, 15:27 (79)
- Учитывая что весь патч - это не переделка, а просто выкидывание какого-то ненужн, Бывалый смузихлёб, 25-Янв-24, 10:28 (178)
Срочно переписать на rust , cheburnator9000, 24-Янв-24, 10:26 (2) //
- Уже https uutils github io coreutils book utils split html, НяшМяш, 24-Янв-24, 10:39 (4) //
  - v0 0 24что именно тут уже , Аноним, 24-Янв-24, 10:47 (7) //
    - Уже в версии v0 0 24 дыреней меньше, чем в coreutils 7 2 , Аноним, 24-Янв-24, 12:08 (26)
      - как вы это определили , Аноним, 24-Янв-24, 12:16 (27)
        
        По размеру, очевидно же Просто умалчивают о маленьких дырочках, более приятных , Аноним, 24-Янв-24, 18:06 (120)
    - Пользуюсь полгода, всё отлично работает , Аноним, 24-Янв-24, 16:44 (91)
      - я пользуюсь оригинальной coreutils и представьте тоже всё отлично работает, Аноним, 24-Янв-24, 17:02 (96)
        
        Так на здоровье, рад за вас , Аноним, 24-Янв-24, 17:49 (106)
  - Готов поспорить ты этим не пользуешься, Вы забыли заполнить поле Name, 24-Янв-24, 16:21 (89) //
    - Ну я пользуюсь, задавай вопросы , Аноним, 24-Янв-24, 16:44 (93)
- Не дождёдесь Эти скорее на Guile перепишут , Аноним, 24-Янв-24, 14:41 (66) //
  - Мы перепишем на любом языке, который имеет одобрение Столлмана и имеет строгую, , Аноним, 24-Янв-24, 16:17 (87) //
    - Guile, common lisp Вперёд Это не должно быть очень сложно , Аноним, 24-Янв-24, 17:51 (107)
      - На CL такое действительно пишется за вечер, с тестами и документацией , Аноним, 24-Янв-24, 19:03 (128)
        
        не рассказывайте им , Аноним, 24-Янв-24, 19:08 (130)
        Ну собственно я знаю Но обычно те кто лишь бы батька одобрил фар фап умеют пи, Аноним, 24-Янв-24, 21:47 (146)
    - Забавно, но у Guile, несмотря на то что это гнушный язык , лицензция как раз т, Аноним, 24-Янв-24, 18:48 (125)
      - Ну так LGPL это наверное единственная гну лицензия, не похожая на раковую опухол, Аноним, 24-Янв-24, 18:59 (126)
        
        Не удивительно Это единственная лицензия, которая 1 является одобренной гну 2 , Аноним, 24-Янв-24, 21:50 (147)
        
        Согласен, план очень тупой, но что-то мне подсказывает, что ты его сам только чт, Аноним, 24-Янв-24, 23:24 (152)
  - Как будто это плохо , Вы забыли заполнить поле Name, 24-Янв-24, 17:56 (113)
Нет, ну а что хотят уважаемые эксперты по Си Сишка - сложный системный язычок, , Аноним, 24-Янв-24, 10:37 (3) //
- Другое дело раст мозги в принципе не включают, считая что safe магия их спасет , Аноним, 24-Янв-24, 10:49 (8) //
  - Причём тута раст Я пишу про сишку Тебе раст просто мерещится Кроме раста есть, Аноним, 24-Янв-24, 10:53 (11) //
    - то что надо для написания ядер ОС и драйвер А всякие умные указатели и прочие R, Аноним, 24-Янв-24, 11:38 (20)
      - Да, именно то что нужно Чтобы дырень в твоем драйвере, написанном лучшими погром, Аноним, 24-Янв-24, 11:41 (22)
        
        ОЙ, да не завидуй ты так Ты ни на каком языке никакого драйвера не напишет, даж, Аноним, 24-Янв-24, 12:01 (25)
        
        Лучше тот, кто не пишет драйверов, чем тот, кто пишет их на сишке Первый хотя бы, Аноним, 24-Янв-24, 13:55 (53)
        
        Ты получается круче всех инженеров в IBM RedHat Я горжусь, что живу в одно врем, Аноним, 24-Янв-24, 17:02 (97)
        
        Он прав Ядра ОС это пожалуй единственная ниша для сишки Драйверы - нет , Аноним, 24-Янв-24, 18:01 (118)
    - Если внимательно читать IEEE Std 1003 1 aka POSIX и разного рода rationale про ф, adolfus, 24-Янв-24, 12:35 (30)
      - Всё верно, но зря ты так подробно расписал Анонимы opennet читают первые десять, stalinus, 24-Янв-24, 19:32 (137)
        
        Они что тоже на СИ написаны Вот это откровение Но тогда понятно почему некоторые, Аноним, 24-Янв-24, 23:20 (150)
        
        Переполнение буфера реализуется в коде на любом языке программирования, даже Rus, berium, 25-Янв-24, 05:30 (170)
      - Тебе про Фому, а ты про сисколы Да еще и человека соблазнил тебе чаю подлить , Аноним, 24-Янв-24, 23:51 (158)
  - А сишники забавные ребята Каждый раз когда ты начинаешь их мордочкой тыкать в и, Аноним, 24-Янв-24, 12:16 (28) //
    - Нет разницы кто и кого первым приплёл Когда кодовая база на языке ВАШЕНАЗВАНИЕ , berium, 25-Янв-24, 05:39 (171)
      - разница есть потому что такая ошибка, как описана креш на некорректных входных, Советский инженер, 25-Янв-24, 10:30 (179)
        
        Тесты у них есть, как минимум с 1993 года Ошибка была внесена в coreutils 9 2 , Совершенно другой аноним, 25-Янв-24, 13:06 (193)
        
        ага, есть но мягкий , Советский инженер, 25-Янв-24, 18:22 (197)
- т е ты не осилил си и так и не научился конструктивно думать, а виноват, очевид, Аноним, 25-Янв-24, 13:27 (194)
xrealloc xpalloc Это какой же должен быть пипец я языке чтобы было столько вс, Аноним, 24-Янв-24, 11:23 (15) //
- Надо запретить люядм писать свои аллокаторы, sbrk и mmap хватит всем И да, их т, Аноним, 24-Янв-24, 11:33 (18) //
  - они в ведре, к сожалению, а не в языке Продать отдельно от вендыпоганой не получ, нах., 24-Янв-24, 11:41 (21) //
    - Да понятно, просто чел возникал изначально, что людям дали malloc , а им мало, , Аноним, 24-Янв-24, 11:58 (24)
      - главное не говорите ему, что исходник alloc есть в книжке k r как образец сове, пох., 24-Янв-24, 12:38 (32)
        
        Кстати, сколько дыр в этой реализации Наверное, с десяток , Аноним, 24-Янв-24, 13:49 (49)
- это не в языке, дурашка, это - в головах В процессоре нет никакого alloc, предст, нах., 24-Янв-24, 11:37 (19) //
  - Да, да, это все новое новое альтернативно одаренное поколение А кто писал шикар, Аноним, 24-Янв-24, 12:43 (34) //
    - Ахахахах, а ты вообще ничего не написал, ахахаха, Аноним, 24-Янв-24, 13:26 (41)
      - А где ваши доказательства с Без пруфов это просто газификация лужи, что в прин, Аноним, 24-Янв-24, 13:43 (46)
        
        Как говорят це-разработчики, от всех этих дыр нам же только луДше 1 , Аноним, 24-Янв-24, 13:53 (51)
        
        Так правильно говорят Чем запутанее код и чем больше там непонятных багов - тем , Аноним, 24-Янв-24, 14:17 (59)
  - Полностью согласен В головах у сишников, очевидно, опилки Тк на протяжении 30-4, Аноним, 24-Янв-24, 12:48 (35) //
    - А были ли знания 99 сишников про UB не задумываются Если программа не падает , Аноним, 24-Янв-24, 13:51 (50)
      - Я тебе сейчас тайну открою 99 сишников пох, даже если падает И не только сишн, Аноним, 24-Янв-24, 13:59 (57)
        
        Отличное описание типи-кал СИ разработки Сначала зачем Тратить время на нештатн, Аноним, 24-Янв-24, 14:22 (60)
        
        И кто останутся Один ты, ничего не написавший , Аноним, 24-Янв-24, 14:33 (64)
        
        Повторюсь, чем писать дырявый код, лучше не писать код вообще Поэтому, если удал, Аноним, 24-Янв-24, 14:39 (65)
        Свято место пусто не бывает Как сказал Линус - мы седые и старые, надо готовить , Аноним, 24-Янв-24, 14:44 (68)
        
        Коллега, гордыня до бобра еще никого не довела Начиная с прегордого денницы Пу, Аноним, 24-Янв-24, 15:19 (75)
        
        Так я горжусь, что пол ляма народу ежедневно пользуются И это упрощает им жизнь,, Аноним, 24-Янв-24, 15:50 (82)
        
        Плин, ну ты вспомнил Я, до того как переехал в Европу, в России сменил больше 1, Аноним, 24-Янв-24, 16:44 (92)
        
        Ну не гордись Я ж тебя не заставляю Просто когда из этих людей есть например на, Аноним, 24-Янв-24, 17:03 (98)
        
        Не то чтобы я задроttством каким занимаюсь и к словам придираюсь, но на самом де, Аноним, 24-Янв-24, 17:00 (95)
        
        Не, сорри У меня выдуманные невидимые друзья закончились еще в детстве Ну т е в , Аноним, 24-Янв-24, 17:34 (103)
        Здесь как Вам будет угодно Просто из собственного опыта рекомендовал Недавно уз, Аноним, 24-Янв-24, 17:56 (111)
        
        Только вряд ли на rust Это хороший способ переманить разработчиков Потыкаются , Серб, 24-Янв-24, 15:23 (77)
    - ну так ты-то ничего кроме комментов на опеннете не умеешь а ресдох, написанны, нах., 24-Янв-24, 13:58 (56)
      - Инертность мышления то что во всяких коммитетах и ядре сидят такие же престаре, Аноним, 24-Янв-24, 14:33 (63)
        
        Я вам повторю, поскольку до вас никак не доходит 30 лет назад была куча безопасн, Ivan_83, 24-Янв-24, 16:20 (88)
        
        время идиотов в кодинге прошловсе упоротые сишники все время рассказывают про эт, Советский инженер, 24-Янв-24, 16:58 (94)
        
        О нет, как раз новое поколение пришло Просто когда мы бунтовали то переписывал, Ivan_83, 24-Янв-24, 20:18 (141)
        
        Предположим, пользователи перезапустят А что делать с уязвимостями типа heartble, Аноним, 24-Янв-24, 23:23 (151)
        
        Ничего, всё исправят в своё время, как обычно Прежде всего вы должны признатся с, Ivan_83, 25-Янв-24, 01:09 (162)
        
        Вот вроде говорите правильные вещи, но выводы из них делаете мама родная Да, Аноним, 24-Янв-24, 17:10 (99)
        
        От того что у вас мобила лишний раз перезагрузится или приложение в ней - ничего, Ivan_83, 24-Янв-24, 21:04 (143)
        
        У вас через браузер, через вьювер картинок или через пдф-просмоторщик уведут пар, Аноним, 24-Янв-24, 23:26 (155)
        
        Мой банковский счёт не стоит таких усилий, будем честны, и ваш тоже Да да, и в, Ivan_83, 25-Янв-24, 01:18 (164)
        
        Согласился бы, если бы усилия вообще были нужны Эксплойт может работать в автома, Аноним, 25-Янв-24, 11:04 (183)
        
        Это так не работает в банками, только щиткойнами Там нужна цепочка чтобы по быст, Ivan_83, 25-Янв-24, 20:53 (199)
        
        Прошу прощения, так-сказать на правах лингвиста, боюсь, что японский ни в чём не, Совершенно другой аноним, 25-Янв-24, 09:56 (176)
        
        Прошу прощения, но на правах учащего японский и знающего английский на уровне ср, Аноним, 25-Янв-24, 12:02 (190)
        
        Ну вроде как идея была правильная - все глаголы заканчиваются на 12427 , но , Совершенно другой аноним, 25-Янв-24, 13:05 (192)
        
        Мобила лишний раз перезагрузится, томограф неправильные данные передаст, искусст, жабабыдлокодер, 24-Янв-24, 23:40 (156)
        
        Да они и сейчас есть, Ада например и особенно Spark Pro Но, к сожалению, в ядр, Аноним, 24-Янв-24, 17:20 (101)
        
        Так проблема в том, что вы этот санузел пытаетесь изуродовать со словами - как б, Ivan_83, 25-Янв-24, 01:04 (161)
        
        Кто о чем, а вшывый о расте А ведь в коменте на который ты отвечал ни слова о ра, Аноним, 24-Янв-24, 17:55 (110)
        Можно было просто написать раньше было лучше, а теперь гогно, хотим быть идиота, Аноним, 24-Янв-24, 17:56 (114)
        Нет, это тебе следует понять, что ты отстал от прогресса лет на 20 или больше Т, Аноним, 24-Янв-24, 23:59 (160)
        
        НИ-КО-Г-ДА Меня интересовало всегда как сделать так чтобы программа делала то чт, Ivan_83, 25-Янв-24, 01:49 (165)
        
        А, типичный ремесленник-самодельщик Не, это тоже хорошо, никого даже не пытаюсь, Аноним, 25-Янв-24, 11:27 (185)
        
        А вас не смущает что я ориентирован на конечный результат а вы на процесс Нет, я, Ivan_83, 25-Янв-24, 21:37 (202)
        
        А вот и напрасно Теория -- любопытная штука Фишка в том, что доказательство , n00by, 26-Янв-24, 08:03 (204)
        
        ага особенно с void functionPtr void и всякие 124 124 124 , Аноним, 25-Янв-24, 09:31 (175)
        
        Но согласитесь, у Rust с этим гораздо хуже fn longest a, b a x a Stri, Совершенно другой аноним, 25-Янв-24, 10:42 (181)
        
        Добавился символ , выкинули символ Не вижу ничего сложного - очень похоже int, Аноним, 25-Янв-24, 11:56 (189)
        
        не скажите Когда два подряд спец-символа, как-то глаз спотыкается и выглядит не, Совершенно другой аноним, 25-Янв-24, 12:20 (191)
        
        Это про одинарную кавычку Она ж во многих языках требует закрывающей пары Пото, n00by, 25-Янв-24, 16:39 (195)
        
        Таких макросов полторы штуки и нужны они крайне редко, если именно по нужде а не, Ivan_83, 25-Янв-24, 21:04 (200)
        
        Ахахаха, расскажи это разработчикам ядра Линукс Особенно Инго Молнару, который , Bottle, 25-Янв-24, 11:01 (182)
        
        Растоманам лучше помалкивать о скорости сборки, а то выйдет неудобно , Аноним, 25-Янв-24, 18:40 (198)
- Вот кстати почитать про palloc было занимательно, я например не знал что оно и з, RM, 24-Янв-24, 19:29 (136)
Забавный патч Просто удаляет реалокацию Она там вообще не нужна была , Серб, 24-Янв-24, 12:35 (29) //
- конкретно в этом месте она была очевидно вообще мимо тазика А то что там поулуч, пох., 24-Янв-24, 12:41 (33) //
  - О, пох, здоровеньки булы Долго жить будете, однако Крайний раз, когда доводилось, Аноним, 24-Янв-24, 15:14 (74)
  - О, вижу некие инновации А говорили бот-модератор, ии, вот это все а за ширмой, Аноним, 24-Янв-24, 15:50 (83)
- shrink - это урезать буфер Преждевременная оптимизация - корень всех зол , n00by, 24-Янв-24, 17:10 (100) //
  - Сколько десятилетий этому коду Это по человеческим меркам уже глубокий пенсионе, Аноним, 25-Янв-24, 02:45 (169) //
    - Читаете мои мысли Доктор в курсе , n00by, 25-Янв-24, 10:31 (180)
Баш-скрипты надо запретить Использовали бы питон - такой проблемы бы не было Э, Аноним, 24-Янв-24, 13:54 (52) //
- Одна из ключевых проблем баша 8212 то, что он позволяет запускать программы, , Аноним, 24-Янв-24, 13:59 (58) //
  - Погодите, давайте понаблюдаем как этот зумер переизобретёт идеальный сферический, Аноним, 25-Янв-24, 02:43 (168)
- Ну ещё бы shell не позволял запускать исполняемые ELF-файлы Толку тогда от него, Аноним, 24-Янв-24, 14:47 (69) //
  - Питон позволяет отлично и удобно запускать исполняемые файлы amoffat sh Но что, Аноним, 24-Янв-24, 15:37 (80) //
    - Унас есть такая пословицаХоть ты сто раз мнишь себя гением, если ты используешь , Аноним, 24-Янв-24, 15:41 (81)
      - Желание везде пихать любимый яп вместо баша тоже детектор отклонений кстати , Аноним, 24-Янв-24, 16:05 (86)
        
        Баш это клей для конвейеров Если вы используете что-то большее, чем вызовы и ци, Аноним, 24-Янв-24, 17:54 (108)
- Фигня в том, что Парадоксально, да bash - язык существенно более высокоуровн, User, 24-Янв-24, 15:58 (85) //
  - И вот тут бы примеры привести, но нет, User не смог для этого встать с дивана , Аноним, 24-Янв-24, 19:10 (131) //
    - Ээээм возьмите любой однострочник на баше Ну хоть один-то видеть должны были, User, 24-Янв-24, 21:26 (145)
      - Ты неправ, баш приспособлен под определённые задачи куда лучше любых альтернатив, Аноним, 25-Янв-24, 01:14 (163)
        
        В том плане, что не более высокоуровневый , а фактически DSL В тикле кстати , User, 25-Янв-24, 08:11 (173)
      - Проблема с башем та же, что и с Перлом - сплошной write-only код получается, нап, Аноним, 25-Янв-24, 02:40 (167)
        
        Так никто не говорит, что это хороший язык Просто - более высокоуровневый , User, 25-Янв-24, 07:12 (172)
- Использовать надо Nushell, а не Питон Питон - как и любой язык не имеющий удоб, Аноним, 27-Янв-24, 01:02 (206)
А в чем уязвимость Переполнения отлавливаются железом и программа завершается , Аноним, 24-Янв-24, 17:41 (104) //
- Как повезёт Если переполнение выйдет за границу страницы памяти, то отловится , Аноним, 24-Янв-24, 19:21 (132)
Никогда такого не было, и вот опять ненастоящие сишники прокрались в GNU и нако, Аноним, 24-Янв-24, 19:08 (129) //
- Ненастоящие и в GNU пробрались И в GNU были наезжавшие на Столмана , Аноним, 24-Янв-24, 19:24 (133) //
  - А как нонче трушность проверяют По ухоженности бороды Длине штаников Выбору туал, Аноним, 24-Янв-24, 19:29 (135)
- Вот бсдишечка от гнутого софта и избавляется потихоньку все правильно делают Б, Аноним, 24-Янв-24, 19:26 (134)
Угу, типа починили, до следующего раза А вот писали бы на современном C - не, Аноним, 25-Янв-24, 02:37 (166) //
- Не надо полумер Переписывайте на ржавом , _, 26-Янв-24, 00:02 (203)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру