|
| |
| |
| |
| 4.12, Аноним (12), 14:14, 27/03/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Zlib это опенсорс реализация deflate, всё, что не zlib -- часто копия/форк. Тот же zip это (среди прочего) формат архива, использующий этот самый deflate (по появился он до png и zlib). А Gzip это не архив.
| | |
| |
| 5.16, timur.davletshin (ok), 14:36, 27/03/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Всё это конечно классно и правильно, что ты сказал. Но я советую всё же распаковать исходники Firefox и поискать там файлик deflate.c, который и надо в основном пропатчить.
| | |
|
|
|
|
| 1.3, Аноним (12), 13:42, 27/03/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Мне интересно, как они получили эту последовательность? А вообще, выглядит довольно опасно, такая уязвимость может быть куда серьёзнее уязвимости в openssl и всего-то надо подставить строку текста под сжатие.
| | |
| |
| 2.6, Аноним (6), 13:50, 27/03/2022 [^] [^^] [^^^] [ответить]
| +5 +/– |
У чувака программа падала при сжатии. Он начал копать и определил, что причина в zlib. А потом и последовательность для повторения бага подобрал.
| | |
|
| 1.4, Аноним (4), 13:43, 27/03/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> патч с исправлением уязвимости был предложен ещё в 2018 году, но разработчики не обратили на него внимания
Опять... 🤦
| | |
| |
| 2.25, КО (?), 16:09, 27/03/2022 [^] [^^] [^^^] [ответить]
| +8 +/– |
Современным хакерам даже не нужно ничего придумывать, все в закрытых/висящих issue.
| | |
| 2.31, Kuromi (ok), 17:07, 27/03/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Поэтому и появляются вот эти громкие заголовки, только на хайпе можно заставить разработчика пофиксить проблему которая в обычных условиях признается "слишком редкой, мудреной и сложной в применении"
| | |
| |
| 3.69, adolfus (ok), 11:45, 31/03/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Из таких проблем и состоит, например, libreoffice. Правда только на треть, у второй трети ноги растут из xml, а у третьей -- из использования ООП-наследования.
| | |
|
|
| |
| 2.39, Аноним (39), 23:29, 27/03/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Осталось подсунуть файл на сервер и заставить его сжимать...
| | |
| |
| 3.47, Аноним (6), 09:26, 28/03/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Осталось подсунуть файл на сервер и заставить его сжимать...
Любой web-сервер по дефолту начнёт сжимать что укажешь.
https://en.wikipedia.org/wiki/HTTP_compression
Или волшебную последовательность можно отправить в любую форму на сайте и СУБД сожмёт их при сохранении, или прислать в числе изменений для Git.
| | |
| |
| 4.70, Kuromi (ok), 20:31, 31/03/2022 [^] [^^] [^^^] [ответить]
| +/– |
Не факт, иногда серверу надо явно включать модули сжатия. Опять же есть более новые методы, тот же brotli
| | |
|
|
|
| |
| 2.22, Аноним (22), 15:26, 27/03/2022 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Сегфолта может и не будет, но поток же будет повреждён?
Windows 10 тоже до сих пор extended разделы портит, если в самом начале EBR встречается дырка. Толку с того, что diskpart не упал, потом все равно ковыряться в hex-редакторе и вручную править смещения для EBR. Хоть на C, хоть на C#, хоть на javascript пиши...
| | |
| |
| 3.33, Kusb (?), 18:04, 27/03/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Haiku что-то нехорошее делает с разделами, причём по моему даже если другие были подключены только для чтения.
| | |
|
| 2.27, Аноним (27), 16:21, 27/03/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
А чего же там 68% кода на некошерной Сишке?
C 68.4%
Rust 26.4%
C++ 4.9%
Shell 0.3%
| | |
| |
| |
| 4.37, Аноним (37), 21:34, 27/03/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> Pure rust Rust replacement for the miniz deflate/zlib encoder/decoder using no unsafe code
>> This project is organized into a C API shell and a rust crate.
>> The C API is intented to replicate the api exported from miniz, and in turn also part of zlib.
> Как обычно, взяли сишный код, обернули слоем раста...
Как обычно, опеннетные эксперты сморозили глупость, ведь сделали там обертку для сишного кода.
Но ЖСники и прочие питонисты опеннета в таких деталях не разбираются, они видят знакомые слова и сразу идут в газовую атаку ...
| | |
|
| 3.34, Аноним (-), 18:18, 27/03/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А чего же там 68% кода на некошерной Сишке?
> C 68.4%
> Rust 26.4%
> C++ 4.9%
> Shell 0.3%
С того, что как истинный Опеннетный Воен Супротив Раста - читал опой?
> miniz_oxide_C_API
> The C API is intented to replicate the api exported from miniz, and in turn also part of zlib. > The C header is generated using cbindgen
...
> the miniz C code used for tests
...
> or to compare to miniz
> $ ./travis-after-success.sh | | |
| |
| 4.45, Аноним (45), 09:06, 28/03/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Чтож этот суперский раст не может сам себя протестировать. Это просто ор.
| | |
| |
| 5.50, Аноним (50), 11:23, 28/03/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Pure rust Rust replacement for the miniz deflate/zlib encoder/decoder using no unsafe code.
>> The C API is intented to replicate the api exported from miniz,
> Чтож этот суперский раст не может сам себя протестировать.
Для неумеющих в английский, переведу: оно написано как замена miniz.
А теперь расскажи поподробнее, как именно Воен собрался тестировать совместимость c либой miniz без использования последней?
> Это просто ор.
С опеннетовского воинствующего ламерья ...
| | |
| |
| 6.54, Аноним (54), 13:56, 28/03/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> А теперь расскажи поподробнее, как именно Воен собрался тестировать совместимость c либой miniz без использования последней?
Какая же каша в голове.
В таких случаях пишутся заглушки которые обрабатывают запросы.
Использовать реальную библиотеку?
Какой версии?
Для какой архитектуры?
В каком окружении?
С какими параметрами собранную?
| | |
| |
| 7.55, Аноним (55), 14:27, 28/03/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> А теперь расскажи поподробнее, как именно Воен собрался тестировать совместимость c либой miniz без использования последней?
> Какая же каша в голове.
Какой же юлеж у Военов, которые опять не потрудились глянуть в сорцы, зато готовы заглушками в либе тестировать совместимость, ага.
> В таких случаях пишутся заглушки которые обрабатывают запросы.
Ну да, зачем брать и прогонять _готовые_ тесты и примеры из miniz с новой либой, если можно просто написать свои заглушки ...
| | |
| |
| 8.61, Аноним (54), 16:15, 28/03/2022 [^] [^^] [^^^] [ответить] | +/– | То есть тестироваться будет на одной архитектуре с одним набором окружения и одн... текст свёрнут, показать | | |
| |
| 9.65, Аноним (-), 17:29, 28/03/2022 [^] [^^] [^^^] [ответить] | +/– | Т е , если бы Воен соизволил заглянуть дальше заголока, то знал бы, что тестиров... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 1.18, YetAnotherOnanym (ok), 15:00, 27/03/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Хммм... а ведь я не очень давно поимел странный эпизод, когда у меня почему-то при распаковке архива распаковалась только часть одного из файлов. Полдня угробил в поисках ошибки у себя, прежде чем догадался сделать просто tail и увидел, что файл битый. Не удивлюсь, если и в распаковщике какая-нибудь фигня обнаружится.
Воспроизвести не удалось.
| | |
| |
| 2.23, Аноним (12), 15:46, 27/03/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Почему-то? Как можно не проверять код завершения? Я только вчера столкнулся (впервые на самом деле), что все архивы с пикабу выдают такую ошибку:
error: invalid zip file with overlapped components (possible zip bomb)
Error: extraction wasn't successfull
Распаковался только 100гб архив. Но я проверял код завершения, поэтому rm -rf /* не случился (и да, там много rm-rf в инструкциях, это удобно).
| | |
| |
| |
| 4.28, Аноним (12), 16:22, 27/03/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Звучит достаточно ненадёжно, большая часть zip архивов идёт в неправильной кодировке. Стримить можно только данные, которые пожаты потоковым компрессором.
Но и в таком случае есть всякие set -o pipefail и shopt -s inherit_errexit.
| | |
|
|
|
| 1.19, Gedweb (ok), 15:01, 27/03/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Произошла чудовищная ошибка! Подобная уязвимость в любимом языке stackoverflow заняла бы 10 экарнов коментов
| | |
| |
| |
| |
| 4.43, Брат Анон (ok), 07:56, 28/03/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Вы путаете понятие "программирование" и "кодинг".
Алгоритм стоит уровнем выше реализации. Реализации может не быть, а алгоритм будет.
Реализаций может быть несколько, а алгоритм один.
И проблема здесь -- в дырявом Си и псевдобезопасном Расте, который дырявость Си заметает под ковёр ансейва.
Самое плохое решение -- делать вид, что ты умный и красивый таковым не являясь. Го в этом смысле -- гораздо честнее. Старается не лезть в Си и не обещает того, что невозможно.
| | |
| |
| |
| 6.49, PnD (??), 11:04, 28/03/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Тогда уж java. После лечебного голодания и трудотерапии.
* Я ещё помню флэш-моб времён фидонета "перепишем всё с C на Java". И "java-процессоры" (там до 2010 движ продолжался и даже остался кое-какой выхлоп в виде "продвинутого" сборщика мусора).
История повторяется через ≈25 лет. Но, похоже что в виде фарса. Ресурсов нету на новый банкет.
| | |
|
| 5.56, burjui (ok), 14:46, 28/03/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Вот чего у растохейтеров не отнять, так это умение приплести Rust к любой теме.
| | |
| 5.57, burjui (ok), 14:58, 28/03/2022 [^] [^^] [^^^] [ответить]
| –2 +/– | |
И да, unsafe (читается "ансейф") - не для заметания под ковёр, а для локализации небезопасных операций, которые всё равно неизбежны. Просто когда нужно убедиться в корректности реализации, в Rust ты вручную проверяешь только блоки unsafe, а в C - весь код. И ничего невозможного Rust не обещает, в документации прямо сказано, что безопасность работы с памятью гарантирована только для той части кода, которая не обёрнута в unsafe. В типичном проекте на Rust это 100% кода, потому что unsafe нужен крайне редко для нетривиальных вещей.
Короче, RTFM нубы, надоело уже читать ваш straw man бред.
| | |
| |
| 6.58, Брат Анон (ok), 15:42, 28/03/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Короче, RTFM нубы, надоело уже читать ваш straw man бред.
Угу. Ждём дыру в компиляторе, связанную с концепцией владения и гонкой данных.
Всё впереди.
| | |
| |
| 7.59, burjui (ok), 16:12, 28/03/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Баги есть в любом ПО. Давайте не будем писать на C тогда, а то вдруг компилятор сгенерит некорректный машинный код.
| | |
| |
| 8.62, Аноним (63), 16:15, 28/03/2022 [^] [^^] [^^^] [ответить] | +1 +/– | Просто ты недалекий пыхер Твой уровень интеллекта это максимум 171 не использ... текст свёрнут, показать | | |
|
|
| 6.71, Andrew (??), 13:04, 01/04/2022 [^] [^^] [^^^] [ответить]
| +/– |
...в unsafe требуется оборачивать даже разыменовывание указателя - эта операция требуется в любой производительной современной программе, чуть сложнее "привет мир". Я как только это увидел, сразу закинул Rust за шкаф, и продолжил дальше на Go.
| | |
| |
| 7.72, burjui (ok), 19:34, 01/04/2022 [^] [^^] [^^^] [ответить] | +/– | Вот мне всегда было интересно каково это - быть упёртым хейтером Наверное, это... большой текст свёрнут, показать | | |
| |
| 8.73, Andrew (??), 20:03, 03/04/2022 [^] [^^] [^^^] [ответить] | +/– | Да кому нужно голову морочать с Rust, тратить в 3-5 раз больше времени на язык, ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.48, test (??), 10:34, 28/03/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А это точно не на бекдоор наткнулись ? Сложно представить последовательность влияющую на это.
| | |
| |
| 2.51, Аноним (63), 12:03, 28/03/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Конечно же нет такого не может быть. Это фантастика. Ты разве когда-нибудь видел чтобы бекдоры вставляли специально. Бред какой-то. Ты смотришь неправильные ТВ каналы, тебя там наймиты зазомбировали. Начиная с этой строчки ты забудешь что такое бекдоры и что они вообще существуют.
| | |
|
|
