forum.opennet.ru

"Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."	+/–
Сообщение от Аноним (14), 26-Апр-23, 12:19
> ну что тут скажешь, уязвимости были, есть и будут, выбор ЯП от этого них спасает, такая уж архитектура современных пекарей и серверов Суть CVE-2023-29007 в том, что необучаемые сишечные кудесники по привычке опять влепили "char buf[1024]" вместо использования нормального строкового типа. Так что конкретно от такого выбор ЯП как раз спасает. И коллеги спасают, не пропуская такую дрянь на ревью. Но ведь здесь сишники г*кодят на сишечке, поэтому такая дичь для них - это в порядке вещей и "было, есть и будет". По другому мы не умеем...
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код, opennews, 26-Апр-23, 11:18 [смотреть все]

ну что тут скажешь, уязвимости были, есть и будут, выбор ЯП от этого них спасает, Аноним, 26-Апр-23, 11:18 (1) //
- Да Главное не быть луддитом, и во время затыкать дырки 127849 , soarin, 26-Апр-23, 11:21 (2) //
  - Луддиты тоже могут затыкать дырки, если ты понимаешь о чём я , Аноним, 26-Апр-23, 11:30 (5)
  - Одну дырку заткнут, две добавят , Аноним, 27-Апр-23, 02:10 (82)
  - пожалуйста, поссы на меня, 27-Апр-23, 04:27 (83)
  - Главное ерунды не писать, как спешунчики И тогда неолуддитам новое тоже начнёт , Антонимка, 27-Апр-23, 17:03 (93)
- Не совсем так Это говорит об уровне разработки Одно дело уязвимости в каких-то , Аноним, 26-Апр-23, 11:27 (3) //
  - У тебя с детства заученное чувство вины и ты его на всех теперь проецируешь , Аноним, 26-Апр-23, 11:29 (4) //
    - Поработать бы сишникам в областях, где от ПО зависят человеческие жизни - вот то, Аноним, 26-Апр-23, 12:27 (15)
      - Embedded это есть сфера от которой часто зависят человеческие жизни ты в интелле, Аноним, 26-Апр-23, 12:39 (16)
        
        Только вот не весь embedded написан на си Если бы ты вылез из сишечного танка, , Аноним, 26-Апр-23, 13:28 (25)
        
        Интересуюсь с целью саморазвития а на чём пишут такое embedded , Аноним, 26-Апр-23, 16:01 (49)
        
        SPARK Ada, Misra C там такое количество ограничений, что с Си оно связано тольк, Анонн, 26-Апр-23, 16:26 (54)
        
        Спасибо, почитаю на досуге , Аноним, 27-Апр-23, 00:09 (79)
        
        Лучше Embedded C Coding Standard by M Barr почитать и тому подобное по смыслу , Аноним, 27-Апр-23, 00:51 (80)
        
        И что, сильно легче стало паре ошпареных на станции из-за того, что одни гении р, Michael Shigorin, 26-Апр-23, 17:46 (64)
        
        На PHP Очевидно, речь идёт о Ada SPARK и т п , Аноним, 27-Апр-23, 09:41 (86)
        
        Как же NASA отстала от передовых анонимов блин, жалко за организацию, OpenEcho, 26-Апр-23, 17:50 (65)
        Вообще-то в практически всех перечисленых немеряно сишного кода А фирмвари микр, Аноним, 26-Апр-23, 23:34 (75)
        
        Yeah, I thought some time back that it would be a week till I got back to my de, n00by, 27-Апр-23, 17:12 (96)
      - очередной лунтик свалился, хехеhttps www misra org uk , Аноним, 26-Апр-23, 12:43 (18)
        
        Мисра конечно крута, по ней код для всяких марсоходов пишут за охулиарды денегНо, Анонимусс, 26-Апр-23, 15:49 (48)
        
        Для начала, MISRA запрещает аллокацию на куче всё - нигодится нидлячего, кром, name, 26-Апр-23, 16:26 (53)
        но современные ракеты на обычном линуксе и С летаютhttps www opennet ru openne, Аноним, 26-Апр-23, 18:14 (69)
        Для начала по ней пишут код для автомобилистов Который очень даже может убить с, Аноним, 26-Апр-23, 23:42 (76)
        
        Это до тех пор пока новая версия git не попортит КАЖДУЮ локальную репу Это ли, Аноним, 27-Апр-23, 22:28 (99)
        
        https repository tudelft nl islandora object uuid 646de5ba-eee8-4ec8-8bbc-2c18, Аноним, 29-Апр-23, 12:30 (106)
      - Может сможешь привести пример ЯП или области где все шоколадно Или только дерьм, Проффесор, 26-Апр-23, 12:43 (19)
      - Да, то ли дело г вн код на других ЯПах, они ещё и выдают жирное потребление ресу, Местный эксперт, 26-Апр-23, 12:52 (22)
        
        Там хотя бы библиотеки есть и структуры данных Здесь как бомжара шаришься чтоб, Аноним, 27-Апр-23, 22:32 (100)
        
        это проблема не языка а тупых поисковиков, Аноним, 28-Апр-23, 10:21 (104)
    - Посмотри код SVN и Git Сравни Это объясняет критицизм Гита , Антонимка, 27-Апр-23, 17:05 (94)
  - Просто сишка - это пыхыпэ для системного программирования Порог вхождения околон, Анонин, 26-Апр-23, 16:03 (50) //
    - Все так и есть Забавно при этом читать, как эти сишные макаки авторитетно зая, Аноним, 26-Апр-23, 16:22 (51)
      - Мне интересно, как ты комментируешь новости об уязвимостях на rust Покраснев об, name, 26-Апр-23, 16:29 (56)
    - наркоман Вытеснила оттуда, где Ады никогда не было Ада появилась через 10 лет , Аноним, 26-Апр-23, 17:03 (60)
      - Первый стадарт на язык Ada 87 - ISO 8652 1987 - 1987 год хотя по факту еще рань, Анонин, 26-Апр-23, 17:18 (62)
        
        Одно дело стандарт, другое, когда сделали С был сделан в 1969 году, годом релиз, Аноним, 26-Апр-23, 18:41 (71)
        И как же страуструп свой С писал поверх Сишки за два года до того, как эта сиш, Аноним, 27-Апр-23, 09:42 (87)
    - Ада изначально разрабатывалась вояками для написания критических систем, систем , Анонимусс, 26-Апр-23, 19:45 (73)
    - Кодить можно на чём угодно научить кого угодно А вот понимать чужой код , Антонимка, 27-Апр-23, 17:08 (95)
      - Угу, процессор где-то из 70х, примерно оттуда же родом что этот копролит Где нет, Аноним, 27-Апр-23, 22:09 (98)
        
        это ерунда, через год ИИ всё будет находить а вот что делает наркоманский раст п, Аноним, 28-Апр-23, 09:57 (103)
- И кто-то внял голосу разума https github com Byron gitoxide, НяшМяш, 26-Апр-23, 11:52 (7) //
  - Уязвимость - не в доступе в неразрешенное место памяти А в обработке симлинков , Аноним, 26-Апр-23, 13:36 (27) //
    - Но наш Раст защитил бы от CVE-2023-29007 и CVE-2023-25815 из новости, о которых , Аноним, 26-Апр-23, 16:28 (55)
- Суть CVE-2023-29007 в том, что необучаемые сишечные кудесники по привычке опять , Аноним, 26-Апр-23, 12:19 (14) //
  - Эти твои нормальные строковые типы работают с кучей, чтоб раздвигать булк W гран, Аноним, 26-Апр-23, 13:10 (24) //
    - Ох уж эти сишечные душевные терзания с выбором между скоростью и пачкой CVE Ты п, Аноним, 26-Апр-23, 13:33 (26)
    - и память освобождается автоматически, Аноним, 26-Апр-23, 15:03 (43)
    - учитывая что тот разбор строк подразумевает чтение данных с диска, все эти ускор, Бывалый смузихлёб, 26-Апр-23, 15:24 (44)
    - А ещё можно написать строковый тип, который со строками до 1024 работает быстро, oficsu, 26-Апр-23, 15:31 (46)
    - поспешишь - людей насмешишь , ИмяХ, 26-Апр-23, 16:34 (58)
    - То есть с функцией alloca вы не знакомы , Аноним, 26-Апр-23, 18:29 (70)
      - Знаком, но она может стек повредить при неправильном использовании Примерано ка, Аноним, 27-Апр-23, 09:44 (88)
        
        Ну поскольку к тому же хорошо знакомы с оптимизацией, значит слышали о спекуляти, n00by, 27-Апр-23, 17:23 (97)
  - Это какого, например Даже в Аде несколько типов строк, потому что универсальног, Аноним, 26-Апр-23, 14:02 (32) //
    - Любого динамически аллоцируемого Вот конкретный фикс этого char 1024 https g, Аноним, 26-Апр-23, 14:40 (37)
      - Ты чаво это На куче выделять память очень долго 111Оно же тормозить на всяком м, Аноним, 26-Апр-23, 14:48 (40)
  - Скажите спасибо что не на баше говнокодят , Аноньимъ, 27-Апр-23, 00:59 (81)
- Тут не выбор ЯП решает, а архитектура git - это нагромождение скриптов, понятно, anonymous, 27-Апр-23, 11:24 (90)
Вот что бывает, когда вместо JSON используешь свой нескучный формат со своим нес, Аноним, 26-Апр-23, 11:57 (8) //
- JSON не нужен , Аноним, 26-Апр-23, 12:01 (10) //
  - JSON нужен, а нескучные форматы не нужны, тем более если они дают CVE RCE , Аноним, 26-Апр-23, 12:08 (12) //
    - Нет не нужен У всего должен быть свой формат, вся это универсальщина зло , Аноним, 26-Апр-23, 12:40 (17)
      - JSON нужен, а нескучные форматы, несовместимые между собой - не нужны Иначе для, Аноним, 26-Апр-23, 12:49 (20)
        
        Чего тогда doc не перейдет на json Да потому что твой json ненужен прими это ка, Аноним, 26-Апр-23, 13:39 (29)
        
        Какой док Док Эмметт Браун или какой-то другой JSON - не серебряная пуля, прим, Аноним, 26-Апр-23, 13:54 (30)
        
        В этой жизни кроме хранения конфигов ещё очень много интересных задач, которые т, Аноним, 26-Апр-23, 14:06 (33)
        
        Я бы не назвал изобретение очередного нескучного формата и RCE-парсера к нему и, Аноним, 26-Апр-23, 14:15 (35)
        
        Кажется, у нас впервые комментируют марсиане D, Michael Shigorin, 26-Апр-23, 17:51 (66)
        
        Первый контакт, получается, Матцумото, 27-Апр-23, 09:26 (85)
        или рептилоиды не впервые , 1, 27-Апр-23, 09:52 (89)
        
        Может потому, что MS не пытались сделать нормальный формат, а наоборот более сло, _RORO_, 26-Апр-23, 13:57 (31)
        
        Нет формат документа сделанных на json это ещё хуже чем doc , Аноним, 26-Апр-23, 14:06 (34)
        Какой-то бред 1 LibreOffice особо и не пытались У них нет такой задачи, потому, soarin, 26-Апр-23, 15:25 (45)
        
        Потому что современный doc который docx и так уже на html , Аноним, 26-Апр-23, 14:45 (38)
        
        фикс на xml , Аноним, 26-Апр-23, 14:47 (39)
        на xml Это разные вещи Хотя лучше бы на html был, как markdown Не лучший форм, _RORO_, 26-Апр-23, 15:00 (42)
        
        Если ты про офисный doc, так его использовали до нулевых, а потом поняли, что по, Аноним, 26-Апр-23, 14:56 (41)
        
        Эта фигня является чем-то типа виртуальной ФС так то, и используется газилионо, Аноним, 26-Апр-23, 23:49 (78)
        
        Да Так и ODT к этому подбирается А то как новость про новый формат ODT Так там, soarin, 27-Апр-23, 06:10 (84)
- Зачем нужен JSON там, где его никогда не читает глазами человек Для увеличения , Проффесор, 26-Апр-23, 12:50 (21) //
  - GIT_DIR config предназначен для человека Если бы не предназначался, то было бы, Аноним, 26-Апр-23, 12:59 (23) //
    - А json , Michael Shigorin, 26-Апр-23, 17:53 (67)
      - А json предназначен для удобной сериализации сообщений при передаче из точки А в, PnD, 28-Апр-23, 10:49 (105)
- Коректно парсить все приколы которые JSON позволяет - это целый отдельный квест , Аноним, 26-Апр-23, 23:45 (77)
CVE-2023-25815переполнение буфера при обработке специально оформленных файловНе,, Аноним, 26-Апр-23, 12:03 (11)
Даже не знал о такой , ip1982, 26-Апр-23, 14:35 (36)
Просто строку обработать C программисты во всей красе, лишь бы не аллоцироват, Аноним, 26-Апр-23, 15:35 (47) //
- Перепиши на Rust, Иваня, 26-Апр-23, 16:24 (52) //
  - Уже переписали, надо попробывать разные имплементации, Аноним, 26-Апр-23, 16:32 (57) //
    - Ошибку сами найдёте строго говоря, две, но сперва хотя бы очевидную , Michael Shigorin, 26-Апр-23, 17:53 (68)
      - Почему вы ищите ошибки в написании, когда у вас у самого море ошибок в мышлении , Аноним, 27-Апр-23, 12:40 (91)
        
        Шегорин знаток языков программирования, он на них собаку съел И в архитектурах , Аноним, 28-Апр-23, 04:01 (101)
  - Так уже есть https github com Byron gitoxide, Аноним, 26-Апр-23, 16:48 (59) //
    - Ты Byron Просили тебя переписать, а не тыкать в чужое переписывание , Аноним, 26-Апр-23, 17:09 (61)
C mon please help me doctor git -Моя бошка уже болит , InuYasha, 27-Апр-23, 13:10 (92)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру