The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск GNU Wget 1.20.3 с устранением уязвимости

05.04.2019 22:09

Сформирован корректирующий релиз GNU Wget 1.20.3, программы для автоматизации загрузки контента с использованием протоколов HTTP и FTP. В новом выпуске устранена уязвимость CVE-2019-5953, которая может привести к переполнению буфера при возвращении сервером специально оформленных данных в многобайтовой кодировке. Не исключается возможность использования уязвимости для организации выполнения кода. Изначально проблема устранена в выпуске 1.20.2, но в исправлении разработчики забыли убрать отладочные вызовы, поэтому следом сразу выпущен релиз 1.20.3.

  1. Главная ссылка к новости (https://lists.gnu.org/archive/...)
  2. OpenNews: Выпуск GNU Wget 1.20
  3. OpenNews: Выпуск GNU Wget 1.19.2 с устранением критических уязвимостей
  4. OpenNews: Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/600
  5. OpenNews: Лидером загрузок Curl стало вредоносное ПО
  6. OpenNews: Новая версия утилиты cURL 7.51 с устранением 11 уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wget
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (40) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:15, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > переполнению буфера

    Хм... что-то не характерно для программ, написанных на си. Тут что-то не так. Обычно таких уязвимостей в си-программах не бывает.

     
     
  • 2.2, Аноним (2), 22:50, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Со всей ответственностью заявляешь? Много писал на Си?
     
     
  • 3.3, Аноним (3), 23:07, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мне кажется, это был сарказм.
     
     
  • 4.4, Аноним (4), 23:22, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вот взял и лишил нас попкорнового зрелища. Айтишники без ч/ю это так забавно.
     
  • 4.7, Michael Shigorin (ok), 23:54, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вам кажется.
     
  • 4.13, IRASoldier (?), 03:50, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да какой сарказм - очередное _тонко_ завуалированное намекание, что "С/С++ остой, устарели, всем срочно писать на модных и безопасных вот вчера прямо придуманных языках!". Ну, есть еще вероятность, что предложит писать не на модноязыках, а наоборот - на каком-нибудь Обероне, потому что "великiй ВиртЪ всё это предвидел!", но - маленькая.
     
     
  • 5.31, Аноним (31), 16:16, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо скудоумых фантазий, просто возьми C#!
     
     
  • 6.37, IRASoldier (?), 16:39, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не надо скудоумых фантазий, просто возьми C#!

    Насколько я понимаю, на никсах с шарпами не сложилось. Хотя давно уже .NET в опенсорсе.


     
     
  • 7.41, нах (?), 12:35, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Насколько я понимаю, на никсах с шарпами не сложилось.

    все с ними сложилось, с нынешней дистанции не видно разницы в возрасте между mono и ms'овской реализацией.

    Просто никсы оказались ненужны разработчикам *на* C# - у них-то под виндой все и так неплохо получается. Вряд ли и .core что изменит, это для пользователей wsl придумано, не для людей.

     

  • 1.5, Анонимс (?), 23:29, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >> переполнению буфера
    > Хм... что-то не характерно для программ, написанных на си.

    И что Вы предлагаете для решения этой проблемы? Переписать на rust, js или другой безопасный язык? А существуют ли в природе вообще эти безопасные языки? Очень сложный вопрос, на который я не знаю ответа. Может эксперты знают ответ на этот вопрос?

     
     
  • 2.6, Аноним (6), 23:40, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Для Си есть набор техник препятствующих переполнениям. Другое дело, что стоимость этих подходов мешает производительности. А так то можно использовать и вообще какую-то виртуальную машину.
     
     
  • 3.10, Аноним (10), 00:17, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А какие? Хочу просветиться, на Си писать
     
  • 3.12, IRASoldier (?), 03:47, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Для Си есть набор техник препятствующих переполнениям

    Ага, просто супертехника - просто писать код _правильно_.

     
     
  • 4.21, PnDx (ok), 10:22, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так не бывает, и где-то в районе хабра даже попадались статьи, почему.
    На пальцах, при написании кода работает "спекулятивное" мышление. Программист пропускает некоторые "нюансы" просто потому что не видит. Не видит "неправильного", увлёкшись как раз созданием "правильного".
    Отсюда как раз вытекает необходимость покрывать код тестами: с точки зрения инженера они описывают, как *должно* работать. (И как ломаться.) Т.е. "модель".
    В силу первого параграфа, написать сразу "правильные" тесты также проблематично. Поэтому, процесс — итеративный. "Архитектор" (в других сферах деятельности обычно называется "инженер") изначально должен озаботиться, чтобы процесс ("допилил код — дописал тест") таки сходился. (* Выбор языка/языков под задачу — тоже часть проектирования.)
    * И в этом кстати формальное обоснование, почему "глючные комбайны" не работают примерно всегда. Потому что тупо не "свести".
     
     
  • 5.23, IRASoldier (?), 10:51, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот старая добрая модель водопада такое глюкло системно фиксила чаще, чем новомодные скрамы и прочие агиле, когда "баги будем фиксить потом, сейчас главное добавить ещё одну ну очень как нужную фичу".
     
     
  • 6.33, Аноним (31), 16:21, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ни одна "модель" не обезопасит тупости низкоквалифицированного персонала.
     
     
  • 7.38, IRASoldier (?), 16:45, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ни одна "модель" не обезопасит тупости низкоквалифицированного персонала.

    Два чая этому Анонимусу.


     
  • 5.32, Аноним (31), 16:20, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хватит уже фапать на тесты! Только бестолкушки вроде вас, не особо высокой квалификации, наивно думают, что тесты от чего-то там защитят.
    Тест - это *ровно такая же программа*, со своими недостатками, утечками, неполнотой и прочим. Написать 100% гарантирующий тест - практически нереально, он стоит 10-кратно по ср. с покрываемым кодом. Поэтому вы либо пишете "недотесты" (очевидно, на***ер не нужные), либо не пишете вообще.
     
  • 4.24, Michael Shigorin (ok), 11:25, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ага, и желательно верхними конечностями.
     

  • 1.8, Аноним (8), 00:03, 06/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > Изначально проблема устранена в выпуске 1.20.2, но в исправлении разработчики забыли убрать отладочные вызовы, поэтому следом сразу выпущен релиз 1.20.3.

    Как-то непрофессионально звучит. Но есть и "профессионалы", у которых вообще был бы notabug в такой ситуации.

     
     
  • 2.9, Аноним (1), 00:06, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А у вас негров линчуют!
     
  • 2.25, Michael Shigorin (ok), 11:27, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как майнтейнер wget в альте (кстати, обновка убежала вскоре после апстримного анонса) могу отметить, что после того, как wget взялись шевелить -- в него посадили несколько неприятных дырок (да, после указания на них сразу бросились фиксить, но не порадовало).
     

  • 1.11, Аноним (11), 00:54, 06/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    wget давно пора переписать на Go/Rust - и даже runtime с собой таскать не жалко, ибо им качают огромные файлы.
     
     
  • 2.14, IRASoldier (?), 03:51, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ядро себе на Go/Rust перепиши...
     
     
  • 3.16, Аноним (16), 07:52, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    наши программисты работают...
    https://www.redox-os.org/

    ну или так: https://www.reddit.com/r/rust/comments/b8qy70/my_new_project_a_purerust_usersp
     
     
  • 4.17, IRASoldier (?), 08:03, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > наши программисты работают...
    > https://www.redox-os.org/
    > ну или так:
    > https://www.reddit.com/r/rust/comments/b8qy70/my_new_project_a_purerust_usersp

    "Как сказала молоденькая Керо королю Вриданку при их первом свидании - 'Недурная штучка, но есть ли у неё какое-то практическое применение?'" (с) Золтан Хивай


     
     
  • 5.18, Аноним (16), 08:12, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    лет через 10 будет ясно
     
     
  • 6.19, IRASoldier (?), 08:25, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > лет через 10 будет ясно

    На самом деле, если без трололо, как раз на утилитах Rust и имеет смысл оттачивать - естественно, не меняя майнстрим, а форкая для желающих в перманентный тестинг. С теми же coreutils поиграть. Опять же, проекты типа Oxidation уместны. И т.п. А вот тогда можно будет постепенно смотреть, насколько этот самый Rust из перспективных (всяко интереснее Go, разумеется) годится в продакшен чего-то сурьезного.


     
     
  • 7.20, Аноним (16), 09:49, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    я про 10 лет сказал реально без трололо. Считаю что до некоего условно юзабельного состояния эту RedoxOs раньше не осилят, если только туда кто-то не вольет бабла.
    А насчет утилит, то  в GNOME уже пишут.
     
     
  • 8.22, IRASoldier (?), 10:46, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это я про ядро немного тролльнул Дабы выказать отношение к всё прямщаз перепис... текст свёрнут, показать
     
     
  • 9.39, InuYasha (?), 19:22, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да что спорить с этими педеRustами ... текст свёрнут, показать
     
     
  • 10.40, IRASoldier (?), 15:58, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Деточка, ты со своими гомофобскими ассоциативными неологизмами такой же шлак, ка... текст свёрнут, показать
     
  • 2.26, Аноним (26), 14:26, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > wget давно пора переписать на Go/Rust

    На тебе:
    https://godoc.org/github.com/u-root/u-root/cmds/wget
    https://github.com/jaytarang92/goget
    https://github.com/laher/wget-go
    На хрусте сам поищи, на сегодня лимит бесплатного гугления исчерпан.

     
  • 2.28, Ivan_83 (ok), 19:37, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Только вот всем пофик на такие уязвимости.
    wget/curl/fetch используются редко, и в основном с вполне определёнными серверами (а не какими попало), таскать жуткий раст ради мифической безопасности - бесполезная трата времени.
     
  • 2.34, Аноним (31), 16:23, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ваши "горасты" только и нужны тем, кто пишет эти языки. Есть нормальный, промышленный Ди - бери, да пиши.
     

  • 1.27, VINRARUS (ok), 16:01, 06/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    wget устарел к сожалению, всё чаще требуется curl.
     
     
  • 2.29, Аноним3 (?), 20:36, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    или aria2)) часто вижу в разных дистрах.
     
  • 2.30, Аноним (26), 22:26, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > wget устарел к сожалению, всё чаще требуется curl.

    Совершенно разные инструменты, изначально рассчитанные на разные области применения. Перекрываются разве что в самом востребованном хомячками кейсе — выкачать из веба один файл.

     
  • 2.35, Аноним (31), 16:24, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём разница?
     
     
  • 3.36, Andrey Mitrofanov (?), 16:27, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А в чём разница?

    Ентерпрайсно. https://www.opennet.ru/opennews/art.shtml?num=50404

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру