The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах"  +/
Сообщение от opennews (??), 30-Авг-23, 10:12 
Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, предупредил пользователей о публикации организацией MITRE, отвечающей за ведение базы данных общеизвестных уязвимостей, отчёта с информацией о ложной  критической уязвимости. Проблеме присвоен CVE-идентификатор CVE-2020-19909 и выставлен уровень опасности 9.8 из 10, свойственный для удалённо эксплуатируемых уязвимостей, приводящих к выполнению кода с повышенными привилегиями...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59683

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –1 +/
Сообщение от Аноним (1), 30-Авг-23, 10:12 
Больше не меньше - пусть будет.
Ответить | Правка | Наверх | Cообщить модератору

7. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +5 +/
Сообщение от Аноним (7), 30-Авг-23, 10:27 
Один раз теряют жизнь и доверие.
Ответить | Правка | Наверх | Cообщить модератору

39. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Бывалый смузихлёб (?), 30-Авг-23, 12:49 
доверие - не жизнь
можно терять и обретать пока не надоест
Ответить | Правка | Наверх | Cообщить модератору

48. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –1 +/
Сообщение от Аноним (7), 30-Авг-23, 14:08 
Обрести заново не выйдет. В том-то и соль.

Можно только растратить доступное в начале, только в минус.

Ответить | Правка | Наверх | Cообщить модератору

61. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +4 +/
Сообщение от anonymous (??), 30-Авг-23, 17:37 
... но стоило один раз трахнуть козу.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

63. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от Аноним (63), 30-Авг-23, 22:26 
"Но жизнь не звук, чтоб обрывать, она сказала мне"
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

42. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от Аноним (1), 30-Авг-23, 13:23 
Про доверие - это только с Лужковым работает, обычные люди обретают доверие или недоверие переходя с работы на работу легко.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

47. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (7), 30-Авг-23, 14:07 
Неточный вывод.

Переходя с работы на работу от потери доверия, доверие теряют у всё большего и большего числа людей. Потеря усиливается. Новое не обретается.

Столица-то большая, запас людей есть. А в городках поменьше доверяющие люди быстро заканчиваются.

Ответить | Правка | Наверх | Cообщить модератору

49. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (1), 30-Авг-23, 14:27 
Я как всегда забыл про подмосковье...
Ответить | Правка | Наверх | Cообщить модератору

51. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (51), 30-Авг-23, 15:32 
Но в Неризиновске людей и компаний для доверия ещё очень достаточно.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

44. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (44), 30-Авг-23, 13:30 
И друга :<
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

2. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +3 +/
Сообщение от пох. (?), 30-Авг-23, 10:14 
хахаха. Кто-то наконец заметил что грантоеды из MITRE давно уже ничего не умеют кроме торговли номерками да и та поставлена из рук вон плохо (продают диапазоны "впрок" уважаемым людям и без конца путают номерки)

Ответить | Правка | Наверх | Cообщить модератору

3. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +3 +/
Сообщение от InuYasha (??), 30-Авг-23, 10:16 
Бывают такие нелюди: своих проектов нет - так хоть до чужих докопаться.
Но в данном случае, как мне кажется, тут нечто большее чем психическое расстройство.
Ответить | Правка | Наверх | Cообщить модератору

4. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (4), 30-Авг-23, 10:18 
Думаешь это злой умысел?
Ответить | Правка | Наверх | Cообщить модератору

8. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +4 +/
Сообщение от Аноним (7), 30-Авг-23, 10:29 
Дурак всё делает только с лучшими намерениями. :)
Ответить | Правка | Наверх | Cообщить модератору

12. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +4 +/
Сообщение от InuYasha (??), 30-Авг-23, 10:40 
Ну, смотри: этот "кто-то" как минимум кропотливо собрал эти баги, причём, за несколько лет, оформил запросы, выбрав одному ему понятное время...
Может, это недовольный "пропусками", либо очередной хайповый "пенетатор". А может, кто-то и ИИ решил на это натравить.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

17. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +3 +/
Сообщение от Аноним (17), 30-Авг-23, 10:56 
Да проще все. Кому-то потребовалось референсы на уязвимости. Для грантов, отчетов, сиви, инвестора или подобного. Вкратце - для очковтирательства.
Ответить | Правка | Наверх | Cообщить модератору

22. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от InuYasha (??), 30-Авг-23, 11:15 
Вот, нечто-похожее под хайповым пенетратором я и имел в виду )
Ответить | Правка | Наверх | Cообщить модератору

41. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от Бывалый смузихлёб (?), 30-Авг-23, 12:52 
хайповый пенетратор - название столь таки кошерное что заслуживает отметки в анналах
Ответить | Правка | Наверх | Cообщить модератору

59. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от InuYasha (??), 30-Авг-23, 17:19 
только, ради всего святого, не скармливай это генератору картинок... (>_<)
Ответить | Правка | Наверх | Cообщить модератору

26. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –1 +/
Сообщение от FF (?), 30-Авг-23, 11:42 
Нужно же безопасные языки продвигать, показывать неуклонное падение багов в результате внедрения
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

28. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –5 +/
Сообщение от Анонимусс (?), 30-Авг-23, 11:55 
Хехе, пока что количество багов на дыряшке только растет)))
Ответить | Правка | Наверх | Cообщить модератору

43. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от FF (?), 30-Авг-23, 13:27 
Да, ловля багов совершенствуется, а проектов меньше не становится
Ответить | Правка | Наверх | Cообщить модератору

45. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +3 +/
Сообщение от Совершенно другой аноним (?), 30-Авг-23, 13:33 
Справедливости ради - на других языках, в том числе и Rust, тоже растёт (https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust - за 2023 уже 19 штук).

В частности есть и выход за пределы буфера CVE-2023-28448, CVE-2023-28445

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

50. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –3 +/
Сообщение от Аноним (50), 30-Авг-23, 15:30 
Вранье. Всё с точностью до наоборот. Чем шире внедряют раст, тем меньше ошибок работы с памятью (в расте вообще ни одной, а остальное - от си/плюсов):

https://security.googleblog.com/2022/12/memory-safe-language...

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

29. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –2 +/
Сообщение от Анонин (?), 30-Авг-23, 11:58 
Ну разумеется, найти ошибку в чужом проекте - это преступление.
Пусть лучше живет там, используется, главное не порочить славное имя программеров!
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

30. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +2 +/
Сообщение от InuYasha (??), 30-Авг-23, 12:10 
Не делай сове больно.
"докопаться" != "найти ошибку"
Ответить | Правка | Наверх | Cообщить модератору

64. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (63), 30-Авг-23, 22:29 
А если сова - эффективный менеджер?
Ответить | Правка | Наверх | Cообщить модератору

70. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от InuYasha (??), 31-Авг-23, 11:15 
> А если сова - эффективный менеджер?

Будем натягивать всем отделом.

Ответить | Правка | Наверх | Cообщить модератору

46. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от keydon (ok), 30-Авг-23, 13:43 
Можно даже взять уже найденную и отправить и даже не будет преступлением. А вот пропустить такую ошибку уже нехорошо. Ну разово тоже бывает. А вот массово, да еще и после явного сообщения об этом просто отписаться и ничего не сделать - это уже многое говорит о компетенциях.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

54. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –2 +/
Сообщение от Аноним (51), 30-Авг-23, 16:09 
>найти ошибку в чужом проекте - это преступление.

В Скрепной, если найти ошибку в коде (полу)госструктуры, то можно нарваться на "Неправомерный доступ к компьютерной информации".

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

5. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +2 +/
Сообщение от Аноним (4), 30-Авг-23, 10:20 
Ну всё, все уязвимости фейковые, а мы живём в идеальном мире.
Ответить | Правка | Наверх | Cообщить модератору

9. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +2 +/
Сообщение от Аноним (7), 30-Авг-23, 10:31 
Да просто ИИ подключили, он выдумал и отрапортавал. А на той стороне тоже ИИ подключили ответы писать, он тоже выдумал как ответить.
Ответить | Правка | Наверх | Cообщить модератору

15. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от ryoken (ok), 30-Авг-23, 10:46 
ChatGPT таки пролез в Ынет? :)
Ответить | Правка | Наверх | Cообщить модератору

16. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от Аноним (16), 30-Авг-23, 10:48 
Он вообще-то только в Ынете и бывает и без него не жизнеспособен.
Ответить | Правка | Наверх | Cообщить модератору

19. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +4 +/
Сообщение от Аноним (19), 30-Авг-23, 11:03 
Сотрудники колл-центров мстят за картонные леопарды.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

6. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (6), 30-Авг-23, 10:24 
Взбодрили ©
Ответить | Правка | Наверх | Cообщить модератору

20. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +3 +/
Сообщение от Массоны Рептилоиды (?), 30-Авг-23, 11:06 
Мальчик, который кричал "Волк!"
Ответить | Правка | Наверх | Cообщить модератору

31. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от InuYasha (??), 30-Авг-23, 12:11 
А волк спокойно спустился с холма и накрыл всё стадо. )
Ответить | Правка | Наверх | Cообщить модератору

33. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Массоны Рептилоиды (?), 30-Авг-23, 12:14 
Дай дураку волка стеклянного...
Ответить | Правка | Наверх | Cообщить модератору

35. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от фтщт (?), 30-Авг-23, 12:23 
он и лоб разобьет
(возможно волка, но это не точно)
Ответить | Правка | Наверх | Cообщить модератору

23. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –3 +/
Сообщение от Аноним (23), 30-Авг-23, 11:16 
> но были признаны разработчиками основных проектов, как не влияющие на безопасность

Т.е. те, кто уже налажал в коде, просто говорят "это безопасно" и им сразу нужно поверить?

Ответить | Правка | Наверх | Cообщить модератору

52. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (50), 30-Авг-23, 15:33 
прочти уже новость. Не через слово и не по диагонали. Там все разжевано даже для имбе.цилов.
Ответить | Правка | Наверх | Cообщить модератору

60. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –1 +/
Сообщение от Ananimus (?), 30-Авг-23, 17:26 
Это опеннет. Тут люди не умеют читать, только писать и подозревать везде заговор США.
Ответить | Правка | Наверх | Cообщить модератору

65. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от Аноним (63), 30-Авг-23, 22:32 
А некоторым ещё товарищ майор везде чудится
Ответить | Правка | Наверх | Cообщить модератору

66. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Аноним (66), 31-Авг-23, 00:54 
То, что у тебя паранойя, еще не значит, что за тобой не следят.
Ответить | Правка | Наверх | Cообщить модератору

71. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Рмшъ (?), 02-Сен-23, 11:16 
Но если у тебя нет паранойи, то это тоже не значит, что за тобой не следят.
Ответить | Правка | Наверх | Cообщить модератору

68. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от oficsu (ok), 31-Авг-23, 01:18 
Вам незачем верить. Я в вас не сомневаюсь, как квалифицированный а̶н̶о̶н̶и̶м разработчик, вы сможете самостоятельно проверить эти CVE, пройдя по ссылкам
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

32. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от onanim (?), 30-Авг-23, 12:12 
> Наиболее вероятно, что кто-то подготовил отчёты на основе изучения исправленных ошибок, которые потенциально были способны привести к уязвимостям, но были признаны разработчиками основных проектов, как не влияющие на безопасность (например, могло быть переполнение буфера, но оно проявлялось только при обработке внутренних данных, на которые не может влиять пользователь).

это.
просто индусы добрались и до нашего уютного инфосека, и флудят все CVE Numbering Authorities хламом типа open redirect и фейковыми репортами, в надежде получить кучу номеров CVE и написать эти CVE себе в резюме, типа они дофига секьюрити рисёрчеры.

Ответить | Правка | Наверх | Cообщить модератору

34. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от Атон (?), 30-Авг-23, 12:20 
ChatGPT вырос до уровня развития малолетнего /школьника/ и хулиганит.
Ответить | Правка | Наверх | Cообщить модератору

37. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –1 +/
Сообщение от Офицер ИБ (?), 30-Авг-23, 12:27 
Уже давно пора создать национальный реестр уязвимостей
Только государство может все это поставить на ноги
Ответить | Правка | Наверх | Cообщить модератору

40. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +2 +/
Сообщение от Аноним (40), 30-Авг-23, 12:51 
https://bdu.fstec.ru/vul
Ответить | Правка | Наверх | Cообщить модератору

56. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от Аноним (51), 30-Авг-23, 16:21 
И пора принять закон об уголовной отвественности за допущение уязвимостей в программах для ЭВМ. На первый раз наказывать штрафом: для физлиц - ..., для должностных лиц - ..., для юрлиц - .... При повторном нарушении в течение года лишение свободы на срок: для физлиц - ..., для должностных лиц - ..., для юрлиц - ....
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

58. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от IZh. (?), 30-Авг-23, 16:58 
К сожалениею, единственный способ Гарантироать отсутствие новых ошибок -- это не писать новый код.
Ответить | Правка | Наверх | Cообщить модератору

55. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от Аноним (-), 30-Авг-23, 16:11 
В MITRE сидит некомпетентный чиновник. Он отработал рабочий день, и ему плевать на мнение разработчиков.
Ответить | Правка | Наверх | Cообщить модератору

57. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +1 +/
Сообщение от IZh. (?), 30-Авг-23, 16:56 
Какой-нибудь студент решил получить себе резюме крутого исследователя безопасности. Считай, можно хвастаться, что нашёл столько дыр уровня critical, а если хоть что-то пофиксят, то, вообще, герой.
Ответить | Правка | Наверх | Cообщить модератору

67. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  –1 +/
Сообщение от Аноньимъ (ok), 31-Авг-23, 01:07 
> если хоть что-то пофиксят

Сишникам проще тратить часы дни и недели чтобы протестовать против статуса ошибки недели починить переполнение буфера.

Ответить | Правка | Наверх | Cообщить модератору

69. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от bOOster (ok), 31-Авг-23, 10:07 
Кто-то отправил.. Кто-то заинтересованный в популизации языков типа rust?
Ответить | Правка | Наверх | Cообщить модератору

73. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Растофобофоб (?), 07-Сен-23, 07:02 
Если бы ты умел немного думать, то додумался бы что в расте этот "баг" тоже случился бы в релизном режиме. Но это надо уметь думать.
Ответить | Правка | Наверх | Cообщить модератору

72. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Neon (??), 05-Сен-23, 04:25 
Короче, на ошибку просто забили)))
Ответить | Правка | Наверх | Cообщить модератору

74. "В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."  +/
Сообщение от Анонннннн (?), 07-Сен-23, 07:07 
Если под "забили" ты имеешь в виду "исправили в 2019", то да.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру