"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы" | +/– |  |
| Сообщение от opennews (??), 10-Мрт-26, 20:52 | ||
Компания Cloudflare объявила об устранении трёх уязвимостей во фреймворке Pingora, двум из которых присвоен критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust и предназначен для разработки защищённых высокопроизводительных сетевых сервисов. Построенный при помощи Pingora прокси используется в сети доставки контента Cloudflare и обрабатывает более 40 млн запросов в секунду. Уязвимости устранены в выпуске Pingora 0.8.0... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по ответам | RSS] |
| 2. Сообщение от Диды (ok), 10-Мрт-26, 20:53 | +9 +/– |  |
Ну ожидаемо. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #19, #28 | ||
| 3. Сообщение от Аноним (3), 10-Мрт-26, 20:53 | +2 +/– | |
РЕШЕТO!!1 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #16, #34 | ||
| 8. Сообщение от Аноним (16), 10-Мрт-26, 21:08 | +/– | |
>Уязвимости устранены в выпуске Pingora 0.8.0 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #9, #12 | ||
| 9. Сообщение от Аноним (16), 10-Мрт-26, 21:10 | +/– | |
>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #8 | ||
| 12. Сообщение от Аноним (12), 10-Мрт-26, 21:17 | +2 +/– | |
> Хотя сейчас везде так, ПО становится всё сложнее и сложнее. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #8 Ответы: #15, #33 | ||
| 15. Сообщение от Аноним (16), 10-Мрт-26, 21:22 | –1 +/– | |
И без переписывания за всем не уследишь: | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #12 | ||
| 16. Сообщение от Аноним (16), 10-Мрт-26, 21:23 | –2 +/– | |
https://www.opennet.ru/opennews/art.shtml?num=64574 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #3 | ||
| 19. Сообщение от Аноним (19), 10-Мрт-26, 21:39 | –1 +/– | |
> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #2 | ||
| 24. Сообщение от Аноним (24), 10-Мрт-26, 22:02 | +1 +/– | |
"haha, classic" (ц) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #27, #29, #40 | ||
| 27. Сообщение от Аноним (28), 10-Мрт-26, 22:20 | +3 +/– | |
> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 Ответы: #37 | ||
| 28. Сообщение от Аноним (28), 10-Мрт-26, 22:21 | +/– | |
> На brainfuck весьма сложно отслеживать логику приложения. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #2 | ||
| 29. Сообщение от Аноним (29), 10-Мрт-26, 22:25 | +/– | |
Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов: | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 | ||
| 33. Сообщение от Аноним (33), 10-Мрт-26, 22:41 | +1 +/– | |
> Диды не зря завещали: "Keep it simple, stupid". | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #12 | ||
| 34. Сообщение от Аноним (34), 10-Мрт-26, 22:52 | +/– | |
никакой спеки там нет, костыль на костыле | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #3 | ||
| 35. Сообщение от ятупойтролль (ok), 10-Мрт-26, 23:00 | +/– |  |
так, а зачем на этот небезопасный язык переписывают ядро и коре утилс? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 36. Сообщение от Аноним10084 и 1008465039 (?), 10-Мрт-26, 23:03 | +/– | |
Противники божественного Rust'а сейчас побегут писать: "Ага, вот видите, Раст не спасает!1" Но на деле эта новость именно что подтверждает, что божественный Раст спасает! Уязвимость не переполнение буффера, а реальная логическая ошибка. Она и на Си завсегда могла быть, только прежде чем ее обнаружить, было бы куча ошибок памяти. А тут сразу логика - успех. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 37. Сообщение от Аноним (37), 10-Мрт-26, 23:06 | +/– | |
Мне кажется ты не разобрался. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #27 | ||
| 38. Сообщение от Tron is Whistling (?), 10-Мрт-26, 23:19 | +/– | |
Так и запишем: критический уровень опасности на языке Rust предназначен для разработки защищённых сетевых сервисов. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 39. Сообщение от Аноним (39), 10-Мрт-26, 23:19 | +/– | |
Это только цветочки. Всё, что переписывается на Rust будет обложено бэкдорами и уязвимостями, которые потом задействует. А люди будут верить, что уязвимостей там нет, ибо Rust. Если надо, они её подтянут очередной версией какого-нибудь crate при сборке. Rust пропихивается теми, кто заинтересован через него распространять бэкдоры. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 40. Сообщение от Аноним (40), 10-Мрт-26, 23:25 | +/– | |
Что характерно, если использовать язык программирования, где приходится обдумывать каждую строчку, то тоже можно знатно нафакапить. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
