https://www.opennet.ru/openforum/vsluhforumID3/135031.html В библиотеке Libarchive, предоставляющей функции для работы с различными форматами архивов и сжатых файлов, выявлены уязвимости, приводящие к выходу за границы буфера при обработке специально оформленных архивов в формате RAR. Уязвимости присутствуют в функциях execute_filter_audio (CVE-2024-48957) и execute_filter_delta (CVE-2024-48958) и вызваны отсутствием проверки, что блок "src" может перекрывать блок "dst" в повреждённых архивах...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62037<br> https://www.opennet.ru/openforum/vsluhforumID3/135031.html#102 Wed, 16 Oct 2024 06:54:31 GMT А что для тебя массив?<br> https://www.opennet.ru/openforum/vsluhforumID3/135031.html#101 Wed, 16 Oct 2024 04:12:14 GMT как я выше написал &#8212; да, был неправ, виноват.<br> https://www.opennet.ru/openforum/vsluhforumID3/135031.html#100 Wed, 16 Oct 2024 02:09:40 GMT "статический" массив это и есть массив, буквально объект в памяти. как ты не можешь поменять адрес какой-то переменной с типом int, только объявить новую, так и с массивами. проблема с ними только потому, что система типов в Си - страшное убожество и полна хаков, и большая часть времени в стандарте была потрачена на то, чтобы код был переносим между разными тачками без дополнительных телодвижений, хотя практика использования `bool` и `limits.h` подсказывает, что впрочем то не так и много гемороя было бы включать в каждую программу какой-нибудь `stddef.h` в который все бы и положили typedef int на реальный тип, который поддерживает нижележащая тачка, а не наоборот.<br> https://www.opennet.ru/openforum/vsluhforumID3/135031.html#99 Wed, 16 Oct 2024 01:13:07 GMT ok, i stand corrected: на самом деле в сишечке массивы есть. доказывается объявлением двухмерного массива, например. был неправ, погорячился.<br> https://www.opennet.ru/openforum/vsluhforumID3/135031.html#98 Tue, 15 Oct 2024 21:33:05 GMT &gt; но array type там нет<br><br>множество множест есть составной тип array, как и struct - такой же тип данных.<br> https://www.opennet.ru/openforum/vsluhforumID3/135031.html#97 Tue, 15 Oct 2024 18:58:25 GMT это они очень хотят, но array type там нет. если средствами языка это невозможно отличить от указателя &#8212; то, простите, это указатель. они там таки не очень точно говорят про объявление массива. а после объявления существование типа данных &#171;массив&#187; скоропостижно заканчивается.<br><br>статические массивы, впрочем, являются странными кадаврами: это всё ещё обычные указатели, но `sizeof` отчего-то возвращает для них не размер указателя, а размер зарезервированой области. некоторые личности могут закричать: &#171;так вот же они, вот массивы!&#187; &#8212; но мы эти крики отметаем как несознательные.<br> https://www.opennet.ru/openforum/vsluhforumID3/135031.html#95 Tue, 15 Oct 2024 13:17:28 GMT &gt; вот такой он &#8212; дивный современный мир.<br><br>ясно<br><br>&gt; ты даже не знаешь, что проверять собрался, что ли?<br><br>спека где?<br><br>&gt; какая связь?<br><br>в смысле какая связь, мы о чем говорим?<br><br>&gt; я понимаю, что ты не в курсе, но цель проверки на бэкдоры &#8212; доказать их отстутсвие, а не обвинить автора в наличии.<br><br>не я доказываю (proving), я проверяю доказательство (verifying), доказательство предоставляет "имлементатор". И при выявлении бага, что есть несоответствия спецификации, делаем вывод - бекдор! Страшнее не выявление бекдора в имплементации, а его закладка в саму спеку, а тут то знания по серьезней нужны в предметной области.<br><br>&gt; а, то есть, читать исходник не предполагается? отличная проверка.<br><br>проверка кода и его тестирование не имеет отношение к корректности кода согласно спецификации. Спецификация говорит, что надо делать, а не как надо делать.<br><br>&gt; удивишься &#8212; но проверка на бэкдоры не имеет никакого отношения к проверке на корректность реализации алгоритма<br><br>ну конечно не имеет, щассс, вот и https://www.opennet.ru/openforum/vsluhforumID3/135031.html#94 Tue, 15 Oct 2024 12:26:50 GMT &gt; декларация массивов-то есть. а вот самих массивов нет. такой вот парадокс.<br><br>Сначала вспомнил "*опа есть, а слова нет"))<br><br>А потом все-таки решил заглянуть в так называемый стандарт<br>An array type describes a contiguously allocated nonempty set of objects with a<br>particular member object type, called the element type.36) Array types are<br>characterized by their element type and by the number of elements in the array<br><br>Т.е таки не только декларация есть, но даже array type.<br>Сделано конечно через.. как всегда в общем.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/135031.html#91 Tue, 15 Oct 2024 01:08:37 GMT &gt; а то есть, лицензия не позволяет использовать чужой (оригинальный) код (алгоритм), и <br>&gt; это вынуждает писать собственную имплементацию, а что в итоге? некорректная имплементация <br>&gt; (баги, считай бекдор), кому тут спасибо говорить за такое "доброе дело"? <br><br>женечке рошалю.<br><br>&gt; А что делать если еще покрыты патентами? придумывать альтернативу "кривую"?<br><br>вот такой он &#8212; дивный современный мир.<br><br>&gt;&gt; с какого испугу? исходные тексты и есть спецификация, просто представленая в машинообрабатываемом виде.<br>&gt; чьи исходные тексты, автора алгоритма или очередного "недоимлементатора"?<br><br>ты даже не знаешь, что проверять собрался, что ли?<br><br>&gt; к прочтению: <br><br>какая связь?<br><br>&gt;&gt; этого вполне достаточно для проверки утверждения о бэкдорах <br>&gt; а, что кто-то признался хоть раз, что он внедрил бекдор? Любой баг <br>&gt; - бекдор, вы мне не докажите, что ваши намерения были самые <br>&gt; благие, и что это не бага, а фича.<br><br>я понимаю, что ты не в курсе, но цель проверки на бэкдоры &#8212; доказать их отстутсвие, а не обвинить