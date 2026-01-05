|
|1.1, Аноним (1), 12:19, 05/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
> отсутствие должной проверки файловых путей
Никогда такого не было и вот опять
|2.14, Аноним (14), 12:56, 05/01/2026 [^] [^^] [^^^] [ответить]
> Wget2 ... переписанный с нуля и полностью переработанный вариант ... уязвимость, допускающая перезапись произвольных файлов.
Получается, в исходном непереписанном вгете этого не было, а после переписывания - появилось?!
|2.48, Аноним (48), 17:24, 05/01/2026 [^] [^^] [^^^] [ответить]
|
Ребят, когда качаешь через Wget/Wget2 (с обычного https-сайта), провайдер не видит что скачиваешь?
|1.2, Аноним (2), 12:20, 05/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
Этих вгетов развелось еще... Подскажите, какой самый трушный и в чем разница?
|2.17, Аноним (14), 13:02, 05/01/2026 [^] [^^] [^^^] [ответить]
|
Ни тот, ни другой на паскале не написан.
> без проверки фактического размера записываемых данных
В паскале есть ключ компиляции array range check: в зависимости от ситуации делает проверку во время компиляции или при выполнении программы. В си - есть что-то подобное? Если есть, почему программисты об этом не знают? Если нету (а паскаль так-то постарше си будет) - почему никто из программистов не догадался добавить опцию в компилятор?
|3.22, Аноним (-), 13:20, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> В си - есть что-то подобное?
Пф... ну у тебя и требования!
> Если есть, почему программисты об этом не знают?
Типикал Сишник даже стандарт не читал)
> Если нету (а паскаль так-то постарше си будет) - почему никто из программистов не догадался добавить опцию в компилятор?
Ты еще спроси когда СИшники осилили добавить boolean в язык))
Подсказка в С23.
Всего 50 лет ушло на то, что уже было в ALGOL 60.
Думаю еще через лет 20 они добавят data type String чтобы перестать каждый раз бегать в поискать null-terminator, терять его и получать очередную CVE.
|4.29, 12yoexpert (ok), 14:26, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> Ты еще спроси когда СИшники осилили добавить boolean в язык))
> Подсказка в С23.
вся суть маркетинга растосекты. сходил бы ты в гугл что ли
тебя ещё в проекте не было, когда в си добавили бул. просто на твоих сельских курсах вайтишников ни один инфоцыган об этом не знает
|5.30, Аноним (30), 14:39, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> тебя ещё в проекте не было, когда в си добавили бул.
Если ты про stdbool.h то типиКАЛ костыли для недоязычка
#define true 1
#define false 0
dii.uchile.cl/~daespino/files/Iso_C_1999_definition.pdf
7.16 Boolean type and values <stdbool.h>
Особенно пocoсным выглядит пункт 4
Notwithstanding the provisions of 7.1.3, a program may undefine and perhaps then
redefine the macros bool, true, and false.
Но для недоязыков это нормально.
А вот тебе стандарт С23, надеюсь ты умеешь читать на английском.
open-std.org/jtc1/sc22/wg14/www/docs/n3220.pdf
6.4.4.6 Predefined constants
predefined-constant:
false
true
|6.43, Аноним (14), 16:49, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> костыли для недоязычка
Помнится, они долго не могли сообразить, что такое nil, меняя определение несколько раз. Потом приняли, что это "тождественно равно числовому нулю".
|7.46, Аноним (46), 17:04, 05/01/2026 [^] [^^] [^^^] [ответить]
А определение нуля они определили The macros are NULL which expands to an imp... большой текст свёрнут, показать
|8.53, Аноним (14), 18:22, 05/01/2026 [^] [^^] [^^^] [ответить]
Продолжаем хохму Dereferencing a null pointer is undefined behavior in C - вр... текст свёрнут, показать
|5.42, Аноним (-), 16:48, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99.
Да, я ж написал про stdbool.h
Особенно класно в "стандарте" прописан размер типа.
An object declared as type _Bool is large enough to store the values 0 and 1.
Вот прямым тестом "а фиг его знает, главное чтобы 0-1 влез".
Ну и сверху это щедро обмазывается ̶г̶о̶в̶н̶ макросами и дефайнами.
Но! В стандарте сказано, что если, не дай бог-машина, у вас где-то undef, то ваша программа превращается в тыкву.
Notwithstanding the provisions of 7.1.3, a program may undefine and perhaps then
redefine the macros bool, true, and false.2
|6.45, Аноним (14), 16:55, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> Bool is large enough to store the values 0 and 1
Особенно классно, когда делают параметр Bool в многопараметрической функции из какой-нибудь библиотеки, а ты сидишь и гадаешь, а каким размером скомпилирован тот параметр, чтобы не промахнуться при обращении в список параметров?
|7.47, Аноним (-), 17:17, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> сидишь и гадаешь
Зато не на паскале! (с)
Вооще читая что стандарт, что код удивляешься как оно вообще может работать.
И вспоминаешь байку про "программистов, дятла и конец цивилизации"))
|6.51, Совершенно другой аноним (?), 17:50, 05/01/2026 [^] [^^] [^^^] [ответить]
|
>> тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99.
> Да, я ж написал про stdbool.h
Ну, тогда при чём тут С23. В нём только, если правильно помню, решили, что путь уже будет bool штатным ключевым словом, а не переопределяться через #define на _Bool.
|7.52, Аноним (52), 17:57, 05/01/2026 [^] [^^] [^^^] [ответить]
|
В том что в C23 они смогли наконец то формализовать это самый бул.
Но он отличается от старого
The type bool shall have one value bit and (sizeof(bool)*CHAR_BIT)- 1
А теперь сравни это со старым
An object declared as type _Bool is large enough to store the values 0 and 1.
|3.25, Аноним (2), 13:41, 05/01/2026 [^] [^^] [^^^] [ответить]
|
>на паскале не написан
Меня вообще не это интересовало. Есть два каких-то wget. Зачем? Какой из них лучше и где глянуть сравнение?
|1.4, Аноним (-), 12:29, 05/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
|
GNU всегда было знаком какчества!
Буквально вчера была новость про GnuPG, которая позволяет обойти верификацию и выполнить свой код.
И вот теперь про GNU Wget...
|2.33, Аноним (33), 14:58, 05/01/2026 [^] [^^] [^^^] [ответить]
|
Это GNU Wget2. Он хостится в каком-то болоте, не имеющем отношения к GNU.
|1.9, Фнон (-), 12:44, 05/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
Звучит круто Фикс просто обалденный char fname_esc sizeof tmp buf len... большой текст свёрнут, показать
|2.12, онанист (?), 12:53, 05/01/2026 [^] [^^] [^^^] [ответить]
|
это ж опен сурсе
для тестирования , да и исправления,есть юзеры
тысячи глаз (тм)
|3.16, Аноним (-), 12:58, 05/01/2026 [^] [^^] [^^^] [ответить]
|
Зато можно с гордостью за свой код писать:
Around 2014, I began contributing to open-source projects and became (co-)maintainer of GNU Wget, GnuTLS, and GNU libidn. Two of my own projects, Wget2 and libpsl, are now packaged in almost every Linux distribution.
|2.18, Аноним (18), 13:05, 05/01/2026 [^] [^^] [^^^] [ответить]
|
Тут явно же видно, что не в перестановке дело а в условии.
Наиболее вероятно при просмотре условие инвертировал для читабельности, а выражения местами забыл поменять. Как вариант - отвлекли.
|3.21, Аноним (-), 13:11, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> Наиболее вероятно при просмотре условие инвертировал для читабельности,
> а выражения местами забыл поменять.
Никто ничего не менял, код зашел одним коммитом.
gitlab.com/gnuwget/wget2/-/commit/3dc30f5f0c6f8feae97f866c537324f821ea05d6
Просто кто-то не умеет в память :)
> Как вариант - отвлекли.
Рептилоиды с Нибиру?)
|2.37, Аноним (37), 16:02, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> Автор и первого б̶е̶к̶д̶о̶р̶а̶ бага и его исправления Tim Rühsen.
Немцы те еще бекдорщики :)
|1.13, Аноним (-), 12:54, 05/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
|
> переполнение буфера потенциально способное привести к
> исполнению кода
Никогда такого не было и вот опять!
> при обработке специально оформленных URL на загружаемых страницах
А можно дропать юзверю хомяка?
Офгенное решение чтобы всякие хитрецы не выкачивали сайт wget'ом.
|2.19, Аноним (14), 13:08, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> Например, атакующий может перезаписать содержимое ... ~/.bashrc и добиться выполнения своего кода в системе
а в bashrc пишем известную команду по зачиствке хомяка...
|1.20, Аноним (20), 13:09, 05/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
|
А мне кажется, сишники специально делают CVE в своих опусах, ради чёрного пиара своих продуктов. Это же тоже пиар. Больше CVE - больше людей узнают о твоём GNU творении из новостей! Вот так вот!
|2.24, Аноним (-), 13:39, 05/01/2026 [^] [^^] [^^^] [ответить]
Ты реально думаешь, что wget 1 был менее дыряв У меня для тебя плохие новости ... большой текст свёрнут, показать
|1.35, Аноним (35), 15:42, 05/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
|
Прямо-таки парад найденных в СПО уязвимостей. Косвенно это говорит о том, что ведется серьезная работа по уменьшению его дырявости, под будущую кибервойну. Можно на уровне сервисов внедрить _более безопасный_ раст, но остаться с дыркой в какой-нибудь крон джобе, использующей вгет.
|3.38, Аноним (37), 16:07, 05/01/2026 [^] [^^] [^^^] [ответить]
|
ты на карту посмотри где его бункер находится, да там целая поляна из бейсбольных полей, чтобы чинуки спокойно могли приземляться, это вам не алтайский бункер :)))
|2.50, Fyji (-), 17:39, 05/01/2026 [^] [^^] [^^^] [ответить]
|
> Прямо-таки парад найденных в СПО уязвимостей.
Системы автоматического поиска проблем просто стали намного круче.
Стали доступны не только спецам.
И внезапно оказалось что диды код писать не умели.
|