Уязвимость в утилите GNU split, приводящая к переполнению буфера

24.01.2024 10:07

В утилите split, поставляемой в пакете GNU coreutils и применяемой для разделения больших файлов на части, выявлена уязвимость (CVE-2024-0684), приводящая к переполнению буфера при обработке длинных строк (несколько сотен байт), в случае использования в split опции "--line-bytes" ("-C"). Уязвимость была выявлена в ходе анализа сбоев, возникающих при использовании утилиты split для разделения данных, передаваемых при помощи QR-кодов.

Уязвимость вызвана ошибкой, допущенной в выпуске coreutils 9.2 при замене вызова функции xrealloc на xpalloc. Патч с исправлением уже принят в кодовую базу, но новая версия с исправлением пока не сформирована. Для демонстрации проявления уязвимости опубликован пример файла, вызывающего переполнение при запуске "split -C 1024 ./split_me".

исправить +18 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60490-coreutils

Ключевые слова: coreutils, split

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (140)

1.1, Аноним (1), 10:18, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+4 +/–
То ли ещё будет когда split научат с Unicode работать, точно наступят на все возможные грабли, как наступили в sort. Сейчас split только байтовые счётчики поддерживает и корежит при разделении текст в многобайтовых кодировках.

2.23, adolfus (ok), 11:44, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
А что с sort не так? Просто указываешь какой LC_COLLATE нужен и все. Или еще короче -- LANG $ LANG=C sort file

3.79, Аноним (1), 15:27, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> А что с sort не так?

https://bugzilla.suse.com/show_bug.cgi?id=928749

2.178, Бывалый смузихлёб (?), 10:28, 25/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> cwrite (n_out == 0, hold, n_hold);
> n_out += n_hold;
> - if (n_hold > bufsize)
> - hold = xirealloc (hold, bufsize);
> n_hold = 0;
> - hold_size = bufsize;

Учитывая что весь патч - это не переделка, а просто выкидывание какого-то ненужного гомна без которого работает даже лучше, это и граблями называть едва ли корректно

В итоге окажется что какой-то очередной эксперимент по впиливанию незаметных дыр в попенсорс
Или - откровенная криворукость и отсутствие внятного тестирования

1.2, cheburnator9000 (ok), 10:26, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–6 +/–
Срочно переписать на rust.

2.4, НяшМяш (ok), 10:39, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+3 +/–
Уже: https://uutils.github.io/coreutils/book/utils/split.html

3.7, Аноним (7), 10:47, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–2 +/–
v0.0.24 что именно тут уже ?

4.26, Аноним (26), 12:08, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
> v0.0.24 > что именно тут уже ? Уже в версии v0.0.24 дыреней меньше, чем в coreutils 7.2.

5.27, Аноним (7), 12:16, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
как вы это определили ?

6.120, Аноним (-), 18:06, 24/01/2024 Скрыто ботом-модератором [к модератору]	–1 +/–

4.91, Аноним (91), 16:44, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Пользуюсь полгода, всё отлично работает

5.96, Аноним (7), 17:02, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+4 +/–
я пользуюсь оригинальной coreutils и представьте тоже всё отлично работает

6.106, Аноним (106), 17:49, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Так на здоровье, рад за вас.

3.89, Вы забыли заполнить поле Name (?), 16:21, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Готов поспорить ты этим не пользуешься

4.93, Аноним (91), 16:44, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Ну я пользуюсь, задавай вопросы.

2.66, Аноним (66), 14:41, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
>Срочно переписать на rust. Не дождёдесь. Эти скорее на Guile перепишут.

3.87, Аноним (-), 16:17, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Мы перепишем на любом языке, который имеет одобрение Столлмана и имеет строгую, непримиримую по отношению к проприетарщикам и пермиссивщикам, лицензию.

4.107, Аноним (106), 17:51, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Guile, common lisp. Вперёд. Это не должно быть очень сложно)

5.128, Аноним (128), 19:03, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
На CL такое действительно пишется за вечер, с тестами и документацией.

6.130, Аноним (7), 19:08, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
не рассказывайте им )))

6.146, Аноним (146), 21:47, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну собственно я знаю. Но обычно те кто "лишь бы батька одобрил фар фап" умеют писать только на матерном русском.

4.125, Аноним (125), 18:48, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Забавно, но у Guile, несмотря на то что это "гнушный" язык , лицензция как раз таки совместимая с проприетарщиной и пермессивщиной. И ментейнеры его, насколько я знаю, со Столлманом не особо дружат.

5.126, Аноним (-), 18:59, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Ну так LGPL это наверное единственная гну лицензия, не похожая на раковую опухоль. Удивительно что поехавшие вообще разрешили ее создать.

6.147, Аноним (146), 21:50, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Не удивительно. Это единственная лицензия, которая 1) является одобренной гну 2) позволяет бороде получать лавандос напрямую от компаний, а не откаты от универов как он привык. Самое смешное, что это схема не работает. В принципе это всё что надо знать о его умственных способностях.

7.152, Аноним (152), 23:24, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Согласен, план очень тупой, но что-то мне подсказывает, что ты его сам только что нафантазировал. Потому что доходы деда абсолютно никак не зависят от того, какие лицензии использует гнутый софт. Дед как бомжевал с донатов с fsf, так и продолжает бомжевать.

3.113, Вы забыли заполнить поле Name (?), 17:56, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
>>Срочно переписать на rust. > Не дождёдесь. Эти скорее на Guile перепишут. Как будто это плохо.

1.3, Аноним (3), 10:37, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Нет, ну а что хотят уважаемые эксперты по Си? Сишка - сложный системный язычок, чтобы на нём писать, погроммист должен 150 раз обдумать поведение каждой строчки на выход за пределы, переполнение, нулевые указатели-сегфолт, деление на ноль и т.д. и т.п. На написание полностью безопасной утилиты на Си нужно много лет работы лучших инженеров по Си, вот так то...

2.8, Аноним (8), 10:49, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–2 +/–
Другое дело раст: мозги в принципе не включают, считая что safe магия их спасет от всех проблем, а она почему-то не работает, да ещё новые проблемы добавляет. Так ещё и гораздо медленнее. Но в каждой новости конечно хруст надо приплести, который с 2014 года использовался только во всякой ерунде.

3.11, Аноним (3), 10:53, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Причём тута раст? Я пишу про сишку! Тебе раст просто мерещится! Кроме раста есть плюсы, хоть громоздкие, но там есть сморт пойнторс и RAII, а сишка - это же вообще технология без всякой защиты. Язычок из 80-х годов.

4.20, Аноним (20), 11:38, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+2 +/–
> а сишка - это же вообще технология без всякой защиты то что надо для написания ядер ОС и драйвер. А всякие умные указатели и прочие RAII - это всё для прикладухи, а не для системщины.

5.22, Аноним (22), 11:41, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
> то что надо для написания ядер ОС и драйвер. Да, именно то что нужно! Чтобы дырень в твоем драйвере, написанном лучшими погромистами из имеющихся, рутанула тебе всю ОСь))

6.25, Аноним (20), 12:01, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
ОЙ, да не завидуй ты так. Ты ни на каком языке никакого драйвера не напишет, даже на самом безопасном.

7.53, Аноним (53), 13:55, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Лучше тот, кто не пишет драйверов, чем тот, кто пишет их на сишке. Первый хотя бы не делает хуже.

8.97, Аноним (20), 17:02, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+6 +/–
Ты получается круче всех инженеров в IBM RedHat Я горжусь, что живу в одно врем... текст свёрнут, показать

6.118, Аноним (106), 18:01, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Он прав. Ядра ОС это пожалуй единственная ниша для сишки. Драйверы - нет.

4.30, adolfus (ok), 12:35, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Если внимательно читать IEEE Std 1003 1 aka POSIX и разного рода rationale про ф... большой текст свёрнут, показать

5.137, stalinus (?), 19:32, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Всё верно, но зря ты так подробно расписал. Анонимы opennet читают первые десять слов, а дальше у них происходит переполнение буфера со стиранием уже прочитанного.

6.150, Аноним (-), 23:20, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> "дальше у них происходит переполнение буфера со стиранием уже прочитанного" Они что тоже на СИ написаны? Вот это откровение! Но тогда понятно почему некоторые настолько дырявые)

7.170, berium (?), 05:30, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Переполнение буфера реализуется в коде на любом языке программирования, даже Rust от этого не спасёт.

5.158, Аноним (158), 23:51, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Тебе про Фому, а ты про сисколы. Да еще и человека соблазнил тебе чаю подлить.

3.28, Аноним (-), 12:16, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+5 +/–
А сишники забавные ребята. Каждый раз когда ты начинаешь их мордочкой тыкать в их... эээ... код, они начинают верещать про раст, про его проблемы, то что он не серебрянная пуля и тд. Мы тут не раст обсуждаем, да и кроме него есть еще другие языки. Скажите уже что-то дельно в оправдание дыряшки. А пока что мозги не включают сишники. PS. хруст первым приплел ты))

4.171, berium (?), 05:39, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]

–1 +/–

Нет разницы кто и кого первым приплёл.

Когда кодовая база на языке "ВАШЕНАЗВАНИЕ" достигнет объёмов кодовой базе на C/C++, тогда можно будет сделать какие-то выводы.

В будущем Rust займет какую-то нишу, но она будет существенно ниже C/C++, т.к. в последние года произошло размытие проектов по разным языкам программирования, а не как в 80/90-ых выбор между пятеркой языков, из которых два лидировали с колоссальным отрывом.

5.179, Советский инженер (ok), 10:30, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>Нет разницы кто и кого первым приплёл. разница есть. потому что такая ошибка, как описана (креш на некорректных входных данных), должна выявляться на этапе тестирования, которого, очевидно нет. и да, язык программирования тут уже ничего не исправит, просто кодеркам похер на качество.

6.193, Совершенно другой аноним (?), 13:06, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>>Нет разницы кто и кого первым приплёл. > разница есть. потому что такая ошибка, как описана (креш на некорректных входных > данных), должна выявляться на этапе тестирования, которого, очевидно нет. и да, > язык программирования тут уже ничего не исправит, просто кодеркам похер на > качество. Тесты у них есть, как минимум с 1993 года. Ошибка была внесена в coreutils 9.2 (2023-03-20). Очевидно, именно эта ситуация не тестируется.

7.197, Советский инженер (ok), 18:22, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>Тесты у них есть ага, есть но мягкий ...

2.194, Аноним (194), 13:27, 25/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> Сишка - сложный системный язычок, чтобы на нём писать, погроммист должен 150 раз обдумать поведение каждой строчки на выход за пределы, переполнение, нулевые указатели-сегфолт, деление на ноль и т.д. и т.п. т.е. ты не осилил си и так и не научился конструктивно думать, а виноват, очевидно, язык? это язык тебя сюда загнал время на комменты тратить?

1.15, Аноним (15), 11:23, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
xrealloc xpalloc... Это какой же должен быть пипец я языке чтобы было столько всяких от alloc от AAalloc до ZZalloc

2.18, Аноним (20), 11:33, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Надо запретить люядм писать свои аллокаторы, sbrk и mmap хватит всем. И да, их тоже нельзя писать, надо просто купить и скачать единственно верную реализацию

3.21, нах. (?), 11:41, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

они в ведре, к сожалению, а не в языке.

Продать отдельно от вендыпоганой не получитсо.
А в ней и так все хорошо - дай такому альтернативно-одаренному HeapAlloc - он и член сломает, и руки порежет, и код так и не скомпилится даже (так что - безопастно).

4.24, Аноним (20), 11:58, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> они в ведре, к сожалению, а не в языке. Да понятно, просто чел возникал изначально, что людям дали malloc(), а им мало, они еще что-то там своё пишут. Плохой язык C, на нем можно свой аллокатор написать, если по какой-либо причине тебя не устраивает тот, который в libc

5.32, пох. (?), 12:38, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
главное не говорите ему, что исходник alloc() есть в книжке k&r как образец совершенно тривиального Си кода для обучения.

6.49, Аноним (53), 13:49, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Кстати, сколько дыр в этой реализации? Наверное, с десяток.

2.19, нах. (?), 11:37, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]

–3 +/–

это не в языке, дурашка, это - в головах.
В процессоре нет никакого alloc, представляешь - вообще.

А проблема именно тем и вызвана что новое альтернативно одаренное поколение полезло теребонькать то что не следовало трогать - затобезопастным способом.

Лучше б оно на безопастном язычке, конечно, программировало, тут я с тобой согласен - нет кода, нет опастностей. Но увы, видимо настолько альтернативные, что не смогли освоить даже маркдаун.

3.34, Аноним (-), 12:43, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Да, да, это все новое "новое альтернативно одаренное поколение" А кто писал шикарнейший код типа Dirty COW (CVE-2016-5195) которая жила с ядра 2.6.22? А кто выпрограммировал sock_sendpage (CVE-2009-2692) который жил с 2001 по 2009? В 2001 поколение смузихлебов, наверное, только в школу ходило. А все эти кучи наваливали те самые диды, которые сейчас на это самое поколение бухтят.

4.41, Аноним (20), 13:26, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
> А кто писал шикарнейший код типа Dirty COW (CVE-2016-5195) которая жила с ядра 2.6.22? > А кто выпрограммировал sock_sendpage (CVE-2009-2692) который жил с 2001 по 2009? Ахахахах, а ты вообще ничего не написал, ахахаха

5.46, Аноним (46), 13:43, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А где ваши доказательства? (с) Без пруфов это просто газификация лужи, что в принципе от лиютеля дыряшки и ожидалось) Но оправдывать кал-лег бракоделов это у вас принято, как я понял.

6.51, Аноним (53), 13:53, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Как говорят це-разработчики, "от всех этих дыр нам же только луДше!!1"

7.59, Аноним (-), 14:17, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Так правильно говорят! Чем запутанее код и чем больше там непонятных багов - тем меньше шансов, что такого уволят. Но даже если и уворят, то он найдет себе такой же проект написанный через одно место и будет сидеть на его поддержке годами. Ты почитай на чем должны зарабытывать ГНУтики, согластно манифесту коммуняки столмана. Правильно "на поддержке". А чтобы поддержка и денюжка не закончились, то баги тоже не должны заканчиваться.

3.35, Аноним (-), 12:48, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+1 +/–

> это не в языке, дурашка, это - в головах.

Полностью согласен!
В головах у сишников, очевидно, опилки. Тк на протяжении 30-40 лет делать одни и те же ошибки...
Это надо явно обладать альтрнативным мышлением.

К сожалению целое поколение (а то и два) таких альтернативно одаренных сейчас сидит и пишут системы, от которых требуется максимальная надежность.
Но хуже того - они противодействуют любым попыткам как-то изменить ситуацию - тк в этом случае все их знания о 193 Undefined Behavior в C99 становятся ненужными и они могут идти работать дворниками.

4.50, Аноним (53), 13:51, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
> в этом случае все их знания о 193 Undefined Behavior в C99 становятся ненужными А были ли знания? 99% сишников про UB не задумываются. Если программа не падает на его компе и его входных данных, то она считается стабильной.

5.57, Аноним (57), 13:59, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Я тебе сейчас тайну открою. 99% сишников пох, даже если падает. И не только сишников, потому что иди нах, задачу решает. Тратить время на нештатные случаи и маловероятные ситуации стоит только когда это является проблемой.

6.60, Аноним (-), 14:22, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Отличное описание типи-кал СИ разработки. Сначала зачем "Тратить время на нештатные случаи и маловероятные ситуации", а потом: - у нас хартблид у половины интернета - почти все андроид телефоны оказывают дырявыми - машинки тойоты разгоняются сами по себе и убивают людей Имеено поэтому такой подход должен помереть (вместе с бракоделами)

7.64, Аноним (20), 14:33, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> Имеено поэтому такой подход должен помереть (вместе с бракоделами) И кто останутся? Один ты, ничего не написавший?

8.65, Аноним (53), 14:39, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Повторюсь, чем писать дырявый код, лучше не писать код вообще Поэтому, если уда... текст свёрнут, показать

8.68, Аноним (-), 14:44, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Свято место пусто не бывает Как сказал Линус - мы седые и старые, надо готовить... текст свёрнут, показать

9.75, Аноним (75), 15:19, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Коллега, гордыня до бобра еще никого не довела Начиная с прегордого денницы Пу... текст свёрнут, показать

10.82, Аноним (-), 15:50, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Так я горжусь, что пол ляма народу ежедневно пользуются И это упрощает им жизнь... текст свёрнут, показать

11.92, Аноним (20), 16:44, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Плин, ну ты вспомнил Я, до того как переехал в Европу, в России сменил больше 1... текст свёрнут, показать

12.98, Аноним (-), 17:03, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну не гордись Я ж тебя не заставляю Просто когда из этих людей есть например н... текст свёрнут, показать

11.95, Аноним (75), 17:00, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Не то чтобы я задроttством каким занимаюсь и к словам придираюсь, но на самом де... текст свёрнут, показать

12.103, Аноним (-), 17:34, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Не, сорри У меня выдуманные невидимые друзья закончились еще в детстве Ну т е ... текст свёрнут, показать

13.111, Аноним (75), 17:56, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Здесь как Вам будет угодно Просто из собственного опыта рекомендовал Недавно у... текст свёрнут, показать

9.77, Серб (ok), 15:23, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Только вряд ли на rust Это хороший способ переманить разработчиков Потыкаются ... текст свёрнут, показать

4.56, нах. (?), 13:58, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]

–1 +/–

> К сожалению целое поколение (а то и два) таких альтернативно одаренных сейчас сидит и пишут системы

ну так ты-то ничего кроме комментов на опеннете не умеешь... а ресдох, написанный "правильным" поколением - почему-то сдох. Что ж ето деется - никому, оказывается, даром не нужна безопастная ось? Попробуй приплачивать?

> Но хуже того - они противодействуют любым попыткам как-то изменить ситуацию

потому что пока что попытки сводятся к "давайте заставим их писать как НАМ хочется". От тех кто не умеет ничего кроме coc.md и мертворожденных переписываний того что в переписывании не нуждалось.

5.63, Аноним (-), 14:33, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Инертность мышления то что во всяких коммитетах и ядре сидят такие же престаре... большой текст свёрнут, показать

6.88, Ivan_83 (ok), 16:20, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Я вам повторю, поскольку до вас никак не доходит 30 лет назад была куча безопас... большой текст свёрнут, показать

7.94, Советский инженер (ok), 16:58, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+1 +/–

>синтаксис понятен любому идиоту

время идиотов в кодинге прошло

>ошибки относительно легко исправляются, особенно современными инструментами

все упоротые сишники все время рассказывают про эти современные инструменты, но элементарного fuzz testing так и не осилили на таком важном проекте !!!

так что ты, прежде чем учить жизни растоманов, научись этими современными инструментами пользоваться, а не в коментах про них рассказывать.

8.141, Ivan_83 (ok), 20:18, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
О нет, как раз новое поколение пришло Просто когда мы бунтовали то переписыва... текст свёрнут, показать

9.151, Аноним (-), 23:23, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Предположим, пользователи перезапустят А что делать с уязвимостями типа heartbl... текст свёрнут, показать

10.162, Ivan_83 (ok), 01:09, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ничего, всё исправят в своё время, как обычно Прежде всего вы должны признатся ... текст свёрнут, показать

7.99, Аноним (-), 17:10, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
Вот вроде говорите правильные вещи, но выводы из них делаете мама родная Д... большой текст свёрнут, показать

8.143, Ivan_83 (ok), 21:04, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
От того что у вас мобила лишний раз перезагрузится или приложение в ней - ничего... большой текст свёрнут, показать

9.155, Аноним (-), 23:26, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
У вас через браузер, через вьювер картинок или через пдф-просмоторщик уведут пар... большой текст свёрнут, показать

10.164, Ivan_83 (ok), 01:18, 25/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Мой банковский счёт не стоит таких усилий, будем честны, и ваш тоже Да да, и ... большой текст свёрнут, показать

11.183, Аноним (-), 11:04, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Согласился бы, если бы усилия вообще были нужны Эксплойт может работать в автом... большой текст свёрнут, показать

12.199, Ivan_83 (ok), 20:53, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это так не работает в банками, только щиткойнами Там нужна цепочка чтобы по быс... большой текст свёрнут, показать

10.176, Совершенно другой аноним (?), 09:56, 25/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Прошу прощения, так-сказать на правах лингвиста, боюсь, что японский ни в чём не... текст свёрнут, показать

11.190, Аноним (-), 12:02, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Прошу прощения, но на правах учащего японский и знающего английский на уровне ср... текст свёрнут, показать

12.192, Совершенно другой аноним (?), 13:05, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну вроде как идея была правильная - все глаголы заканчиваются на 12427 , но ... текст свёрнут, показать

9.156, жабабыдлокодер (ok), 23:40, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Мобила лишний раз перезагрузится, томограф неправильные данные передаст, искусст... текст свёрнут, показать

7.101, Аноним (-), 17:20, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Да они и сейчас есть, Ада например и особенно Spark Pro Но, к сожалению, в яд... большой текст свёрнут, показать

8.161, Ivan_83 (ok), 01:04, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Так проблема в том, что вы этот санузел пытаетесь изуродовать со словами - как ... большой текст свёрнут, показать

7.110, Аноним (110), 17:55, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–2 +/–
Кто о чем, а вшывый о расте. А ведь в коменте на который ты отвечал ни слова о расте. И да, один из безопасных языков это Ада. И Ада даже есть в гцц. Но диды упорно продолжают выходить за границы буфера.

7.114, Аноним (106), 17:56, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Можно было просто написать "раньше было лучше, а теперь гогно, хотим быть идиотами" и получилось бы то же самое, но без балабольства.

7.160, Аноним (-), 23:59, 24/01/2024 Скрыто ботом-модератором [к модератору]	+/–

8.165, Ivan_83 (ok), 01:49, 25/01/2024 Скрыто ботом-модератором [к модератору]	+/–

9.185, Аноним (-), 11:27, 25/01/2024 Скрыто ботом-модератором [к модератору]	+/–

10.202, Ivan_83 (ok), 21:37, 25/01/2024 Скрыто ботом-модератором [к модератору]	+/–

9.204, n00by (ok), 08:03, 26/01/2024 Скрыто ботом-модератором [к модератору]	+/–

7.175, Аноним (175), 09:31, 25/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	–1 +/–
>синтаксис понятен любому идиоту ага особенно с void (*functionPtr)(void); и всякие && \|\| ^ & \| << >>

8.181, Совершенно другой аноним (?), 10:42, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Но согласитесь, у Rust с этим гораздо хуже fn longest a, b a x a Str... текст свёрнут, показать

9.189, Аноним (-), 11:56, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Добавился символ , выкинули символ Не вижу ничего сложного - очень похоже in... текст свёрнут, показать

10.191, Совершенно другой аноним (?), 12:20, 25/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
не скажите Когда два подряд спец-символа, как-то глаз спотыкается и выглядит не... текст свёрнут, показать

11.195, n00by (ok), 16:39, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это про одинарную кавычку Она ж во многих языках требует закрывающей пары Пото... текст свёрнут, показать

10.200, Ivan_83 (ok), 21:04, 25/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Таких макросов полторы штуки и нужны они крайне редко, если именно по нужде а не... текст свёрнут, показать

7.182, Bottle (?), 11:01, 25/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–2 +/–
>Фишка программ на С в том что они быстро и везде собираются Ахахаха, расскажи это разработчикам ядра Линукс. Особенно Инго Молнару, который целый год потратил на оптимизацию заголовочных файлов ядра, чтобы оно быстрее собиралось.

8.198, Аноним (198), 18:40, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Растоманам лучше помалкивать о скорости сборки, а то выйдет неудобно ... текст свёрнут, показать

2.136, RM (ok), 19:29, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Вот кстати почитать про palloc было занимательно, я например не знал что оно и зачем надо

....большая нить свёрнута, показать (61)

1.29, Серб (ok), 12:35, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
Забавный патч. Просто удаляет реалокацию? Она там вообще не нужна была?

2.33, пох. (?), 12:41, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
конкретно в этом месте она была очевидно вообще мимо тазика. А то что там поулучшайкали в целом - патч не удаляет, оно теперь навеки с нами.

3.74, Аноним (75), 15:14, 24/01/2024 Скрыто ботом-модератором [к модератору]	+/–

3.83, Аноним (75), 15:50, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
О, вижу некие инновации. А говорили бот-модератор, ии, вот это все...а за ширмой как всегда Васян.

2.100, n00by (ok), 17:10, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
shrink - это урезать буфер. "Преждевременная оптимизация - корень всех зол."

3.169, Аноним (169), 02:45, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> Преждевременная Сколько десятилетий этому коду? Это по человеческим меркам уже глубокий пенсионер, а вы размышляете отдавать ли его в детский садик или рановато ещё...

4.180, n00by (ok), 10:31, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> вы размышляете отдавать ли его в детский садик или рановато ещё... Читаете мои мысли? Доктор в курсе?

1.52, Аноним (52), 13:54, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–2 +/–
>возникающих при использовании утилиты split для разделения данных, передаваемых при помощи QR-кодов Баш-скрипты надо запретить. Использовали бы питон - такой проблемы бы не было. Это им ещё повезло, если на выполнение данных, переданных в коде, как команды шелла не нарвались.

2.58, Аноним (53), 13:59, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+/–

> Баш-скрипты надо запретить.

Одна из ключевых проблем баша — то, что он позволяет запускать программы, которые были написаны на сишке.
Ещё одна — то, что он сам является такой программой.

Питон (по крайней мере, классический cpython) в этом плане не сильно лучше.

3.168, Аноним (169), 02:43, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Одна из ключевых проблем баша — то, что он позволяет запускать программы, которые были написаны на сишке. Погодите, давайте понаблюдаем как этот зумер переизобретёт идеальный сферический Java-процессор...

2.69, Аноним (66), 14:47, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Ну ещё бы shell не позволял запускать исполняемые ELF-файлы. Толку тогда от него.

3.80, Аноним (80), 15:37, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Питон позволяет отлично и удобно запускать исполняемые файлы. amoffat/sh. Но что намного важнее, он обладает нормальной типизацией, нормальными функциями, нормальной системой модулей, нормальной стандартной библиотекой и нормальным синтаксисом, и поэтому там не приходится извращаться с запуском чужих бинарей, что кстати ещё и медленно, с взаимодействием с ними через извращённые интерфейсы, зачастую in-band, что приводит к хрупкости и атакам. Кто использует баш вместо питона для чего-либо сложнее find . -exec echo hello {} \; - того вон из профессии.

4.81, Аноним (81), 15:41, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]

–2 +/–

Унас есть такая пословица

>you are only as good, as your tools.

Хоть ты сто раз мнишь себя гением, если ты используешь баш вместо питона, то есть выбрал неправильный инструмент для задачи, то ты не гений.

5.86, Аноним (57), 16:05, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Желание везде пихать любимый яп вместо баша тоже детектор отклонений кстати.

6.108, Аноним (106), 17:54, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Баш это клей для конвейеров. Если вы используете что-то большее, чем вызовы и циклы - скорей всего вы выбрали баш неправильно.

2.85, User (??), 15:58, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Фигня в том, что (Парадоксально, да?) bash - язык существенно более "высокоуровневый", нежели python. Т.е. заменить одно на другое кнешн можно - но писать придется прям существенно больше с понятными последствиями по качеству писева.

3.131, Аноним (128), 19:10, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> писать придется прям существенно больше И вот тут бы примеры привести, но нет, User не смог для этого встать с дивана.

4.145, User (??), 21:26, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

>> писать придется прям существенно больше
> И вот тут бы примеры привести, но нет, User не смог для
> этого встать с дивана.

Ээээм... возьмите любой однострочник на баше (Ну хоть один-то видеть должны были, да?), чтоли - и попробуйте его в python-скрипт преобразовать. Фиг с ним с бойлерплейтом (Хотя его тоже больше) - таки ж ведь и кода больше придется писать.

5.163, Аноним (57), 01:14, 25/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Ты неправ, баш приспособлен под определённые задачи куда лучше любых альтернатив. И да, кода меньше. Как мне видится, основное его ограничение в том, что всё, по-сути, строки, и нет возможности эффективно оперировать байтовыми последовательностями (в частности, больше всего не хватает IFS=\0 или чего-нибудь вроде того). К 45 годам нагромождений легаси и ограничений можно привыкнуть, к невозможности работать с произвольными именами файлов без find -- нет.

6.173, User (??), 08:11, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Ты неправ, баш приспособлен под определённые задачи куда лучше любых альтернатив. И
> да, кода меньше.

В том плане, что не "более высокоуровневый", а "фактически DSL"?

>Как мне видится, основное его ограничение в том,
> что всё, по-сути, строки, и нет возможности эффективно оперировать байтовыми последовательностями
> (в частности, больше всего не хватает IFS=\0 или чего-нибудь вроде того).
> К 45 годам нагромождений легаси и ограничений можно привыкнуть, к невозможности
> работать с произвольными именами файлов без find -- нет.

В тикле кстати все тоже строки - и в общем-то норм. А за шеллом, построенным на принципах моложе поздних 70х\ранних 80х - вам пожалуй что в microsoft :). Xonsh\ipython все же сиииильно не дотягивают - те же яйца, вид в профиль.

5.167, Аноним (169), 02:40, 25/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Проблема с башем та же, что и с Перлом - сплошной write-only код получается, наполовину состоящий из спецсимволов. Конечно очень сжато получается, только этот код через год сам автор не разберёт.

6.172, User (??), 07:12, 25/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Проблема с башем та же, что и с Перлом - сплошной write-only > код получается, наполовину состоящий из спецсимволов. Конечно очень сжато получается, > только этот код через год сам автор не разберёт. Так никто не говорит, что это "хороший" язык. Просто - "более высокоуровневый".

2.206, Аноним (206), 01:02, 27/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Использовать надо Nushell, а не Питон. Питон - как и любой язык не имеющий удобной интеграции с командной строкой - плохо подходит под скриптование.

1.104, Аноним (104), 17:41, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
А в чем уязвимость? Переполнения отлавливаются железом и программа завершается

2.132, Аноним (66), 19:21, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Как повезёт. Если переполнение выйдет за границу страницы памяти, то отловится.

1.129, Аноним (128), 19:08, 24/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+4 +/–
Никогда такого не было, и вот опять: ненастоящие сишники прокрались в GNU и накодили там CVE.

2.133, Аноним (66), 19:24, 24/01/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
"Ненастоящие" и в GNU пробрались. И в GNU были наезжавшие на Столмана.

3.135, Аноним (75), 19:29, 24/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А как нонче трушность проверяют? По ухоженности бороды? Длине штаников? Выбору туалетной комнаты м,жо,оно?! Или это не взаимоисключающие параграфы?

2.134, Аноним (75), 19:26, 24/01/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Вот бсдишечка от гнутого софта и избавляется потихоньку. #все правильно делают! Бсди чмафки и любимки111!

1.166, Аноним (169), 02:37, 25/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	–3 +/–
> при замене вызова функции xrealloc на xpalloc Угу, типа починили, до следующего раза. А вот писали бы на современном C++ - не пришлось бы заниматься мартышкиным трудом по ручному управлению памятью..

2.203, _ (??), 00:02, 26/01/2024 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Не надо полумер! Переписывайте на ржавом! :)

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: