forum.opennet.ru - "Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода" (100)

"Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода"	+/–
Сообщение от opennews (??), 19-Июн-25, 13:34
В библиотеке Libxml2, разрабатываемой проектом GNOME и применяемой для разбора содержимого в формате XML, выявлено 5 уязвимостей, две из которых потенциально могут привести к выполнению кода при обработке специально оформленных внешних данных. Библиотека Libxml2 широко распространена в открытых проектах и, например, используется как зависимость в более чем 800 пакетах из состава Ubuntu... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63431
Ответить \| Правка \| Cообщить модератору

Оглавление

Пора переписать на Си, но чтоб без багов , Аноним (1), 13:34 , 19-Июн-25, (1) +1

Ну, вы поняли , Аноним (2), 13:36 , 19-Июн-25, (2) –1
Пора полностью отказаться от си И он XML тоже Нах он нужен Для хранения одног, Аноним (3), 13:38 , 19-Июн-25, (3) –14

Ну тогда уж откажитесь и от HTML , Аноним (6), 13:42 , 19-Июн-25, (6) +1

внезапно, изначально был PS и PDF, Аноним (78), 12:18 , 20-Июн-25, (78)

Где был Изначально 8212 это как Проснулись пещерные люди, смотрят а на пол, Аноним (102), 17:07 , 20-Июн-25, (102) +2

Так xml так себе, но чем ты заменишь xslt , Аноним (8), 13:45 , 19-Июн-25, (8) +3

Чем угодно Xslt неоправданно сложный Императивный код на любом яп, написанный , Аноним (12), 13:59 , 19-Июн-25, (12) +5
Скрыто модератором, Аноним (-), 15:54 , 19-Июн-25, (38) +4

Слова недалёкого человека XML нужнее всех остальных форматов, ибо остальные куд, Аноним (31), 15:05 , 19-Июн-25, (31) –2

JSON stringify parse , Аноним (42), 17:05 , 19-Июн-25, (42) –1

С потерей бигинтов и цифр в флоатах, ага , Аноним (67), 08:07 , 20-Июн-25, (67)

А может все же лучше переделать этот огород, чтобы не требовались очень сложные, Аноним (46), 19:01 , 19-Июн-25, (46)

И кто тогда будет платить деньги за поддержку очень сложные структуры данных В, Аноним (3), 20:22 , 19-Июн-25, (55)
Да, давай Все только за будут Всего-то нужно сложность решаемых задач понизить, Аноним (102), 17:12 , 20-Июн-25, (103) +1

На C с умными указателями , Аноним (6), 13:41 , 19-Июн-25, (4) +1

Дурной тон писать ядро, системные утилиты и библиотеки на Си плюс-плюс Истинная, Аноним (-), 13:58 , 19-Июн-25, (11) –1

Критерии истинности в студию Мне казалось что системщина - это надежный код, кот, Аноним (13), 14:05 , 19-Июн-25, (13) –1

Уязвимости в библиотеке libxml2, потенциально приводящие к в..., Аноним (29), 14:47 , 19-Июн-25, (29)
В ассемблере хотя бы нет UB Но, конечно, сейчас на ассемблере писать не вариант , Аноним (47), 19:16 , 19-Июн-25, (47) –1

Угу-угу Навскидку https c9x me x86 html file_module_x86_id_285 html, Аноним (56), 20:48 , 19-Июн-25, (56)

По-моему, здесь как раз поведение процессора вполне определённо описано , Аноним (47), 21:08 , 19-Июн-25, (57)

-- 128580 https c9x me x86 html file_module_x86_id_19 htmlА уж написать что-т, Аноним (56), 17:15 , 20-Июн-25, (104)
Это многое объясняет На си не пишешь случайно , Аноним (102), 17:18 , 20-Июн-25, (105)

Аноним увидел слово undefined, дальше всё как в тумане , Аноним (47), 23:28 , 20-Июн-25, (113)

Про ядро никто не упоминал, речь была про парсер XML А юзерспейс на ссовременны, Аноним (6), 19:52 , 19-Июн-25, (51) +1

Зато упоминали системные утилиты и библиотеки , Аноним (101), 16:11 , 20-Июн-25, (101)
Спасибо, не надо Такое впечатление, что крестовиков хаскелисты покусали https , Аноним (108), 18:09 , 20-Июн-25, (108)
Ну а в ядре тогда как xml парсить , Аноним (117), 01:53 , 21-Июн-25, (117)

SPARK , Аноним (-), 10:13 , 20-Июн-25, (71)

Но смогут ли СИшники осилить умные указатели Они же умные Указатели А СИшники , Аноним (13), 14:09 , 19-Июн-25, (18) –4

Хватит повторять эту ошибку Если объектом владеет только один указатель, то зан, Аноним (108), 12:56 , 20-Июн-25, (81)

Кресты даже в лучшем случае исправят только часть ошибок с памятью , Аноним (108), 13:28 , 20-Июн-25, (86)

Ахахахаха Вот она сила СИстемных языков программирования strcpy - вам не нужны, Аноним (-), 13:41 , 19-Июн-25, (5) –2
Сегодня жаркий денек Спецвыпуск Сишный овнокод и его фиксы code int lenn, Аноним (-), 13:55 , 19-Июн-25, (10) –3

Надо было использовать ИИ ассистента , Аноним (19), 14:09 , 19-Июн-25, (19)
Так дело всё же в языке или в гении, который код писал , Аноним (23), 14:23 , 19-Июн-25, (23) +1

, Аноним (23), 14:24 , 19-Июн-25, (24)
То что убогий жигулятор при аварии убивает и пешехода и часто водилу подушки н, Аноним (-), 14:38 , 19-Июн-25, (26) –1

Не знаю насколько удачный ваш пример Кто виноват и что виновато, нужно смотреть, Аноним (44), 18:00 , 19-Июн-25, (44)

Но что ведро с гайками повышает аварийность, спорить ведь не будете Или его про, Аноним (47), 19:18 , 19-Июн-25, (48) –1

любая машина ведро с гайками средство передвижения повышенной опасности или, нейм (?), 11:12 , 20-Июн-25, (74)

Разумеется Но безопасность вещь измеримая Причем по различным критериям для во, Аноним (-), 11:27 , 20-Июн-25, (76) +1
Горит сарай - гори и хата , Аноним (91), 13:37 , 20-Июн-25, (91)
Любая, рано или поздно, но дьявол в деталях Мне в жизни довелось дважды и успе, Аноним (102), 17:33 , 20-Июн-25, (106)

Ты неправильно вопрос ставишь, Дядя Фёдор Поиск виноватых -- это конечно хорошо,, Аноним (-), 21:09 , 19-Июн-25, (58)

Дак ведь даже тут в комментах к другой новости один фанат раста решил продемонст, Аноним (1), 15:43 , 19-Июн-25, (36) –2
Проблема не в языке, а в руках Например, в некотором языке значение res будет им, ptr (ok), 12:51 , 20-Июн-25, (80) –1

Но тут нет UB Проблема именно в языке xmlRealloc принимает size_t void xmlRe, Аноним (-), 13:19 , 20-Июн-25, (82)

А при чем тут UB, если проблема именно в руках Но не определено, будет ли промеж, ptr (ok), 13:23 , 20-Июн-25, (83)

Где Я расписал именно недостатки языка и его выразительности, которые привели к , Аноним (-), 13:40 , 20-Июн-25, (93)

Проблема в руках, которые берут этот язык Ибо одни языки сопротивляются г-коду,, Аноним (108), 13:26 , 20-Июн-25, (84)

И где Вы увидели ошибку компиляции Здесь классический UB, связанный с тем, было, ptr (ok), 13:37 , 20-Июн-25, (92)

godbolt org z GfcbTeY4Terror literal out of range for f32 -- source 12 18, Аноним (-), 13:43 , 20-Июн-25, (94)
Вы для начала язык назовите, а то телепаты в отпуске Проверял здесь https pla, Аноним (108), 13:43 , 20-Июн-25, (95)

Простите, по памяти писал Правильно так fn main let a f32 1E-23 le, ptr (ok), 14:04 , 20-Июн-25, (96)

Ну отлично, теперь это хотя бы компилируется Но заявленного вами поведения не н, Аноним (108), 14:55 , 20-Июн-25, (97)

в зависимости кодогенератора LLVM и опций его оптимизатора Скорее всего нужна к, Аноним (-), 15:04 , 20-Июн-25, (98)

Скорее всего это просто баг llvm-а Некоторые языки, тот же ocaml от llvm не зав, Аноним (108), 15:23 , 20-Июн-25, (99)

Когда копировал этот кусок патча, ничего странного не заметил, умник , qwe (??), 01:54 , 21-Июн-25, (118)

А вот писали бы они с помощью ИИ такой фигни бы не было , Аноним (19), 14:08 , 19-Июн-25, (14) –1

А ИИ на чем обучали На ЩитХабе и таких же кодах Ой, так он будет точно так же ов, Аноним (13), 14:13 , 19-Июн-25, (20)

Проверку длинны ИИ сделать в состоянии в отличии от коженных мешков , Аноним (19), 14:45 , 19-Июн-25, (27)

Потому что он хоть и Искусственный, но Интеллект А для писания на СИшке мозг воо, Аноним (-), 15:03 , 19-Июн-25, (30)

Дообучи ИИ как надо и он тебе исправит что угодно во всем проекте , Аноним (19), 10:59 , 20-Июн-25, (72)

конечно не было бы - когда код xml-парсера не компилится или не парсит xml - ник, нах. (?), 15:39 , 19-Июн-25, (33)

То что ты не умеешь пользоваться ИИ и не в состоянии написать нормальный промт в, Аноним (19), 11:00 , 20-Июн-25, (73)

ну ты-то умеешь, ии за тебя уже три хеловрота написал А мы так и будем жить с li, нах. (?), 11:40 , 20-Июн-25, (77)

Если твоя кодобаза состоит из 171 хеловротов 187 8212 напишет 171 хелов, Аноним (102), 17:59 , 20-Июн-25, (107)

Взаимоисключающие утверждения , Аноним (108), 18:11 , 20-Июн-25, (109) +1

не, все правильно - он такой конечно сделает, что сказали, а не будет галлюциони, нах. (?), 18:35 , 20-Июн-25, (110)

Да вообще libxml2 нужно отовюсюду выкинуть и заменить на что-то нормальное Напр , Аноним (-), 14:09 , 19-Июн-25, (17) –1

приступай Только - нормальное, а не подделку реализующую 1 100 от оригинала по, нах. (?), 15:42 , 19-Июн-25, (34)

Типа того что сейчас Если 95 юзеров этого достаточно, то можно и одну сотую А, Аноним (-), 16:56 , 19-Июн-25, (41)

эти 95 на винде сидят С теми еще 2 которым недостаточно но они тоже уже там , нах. (?), 19:42 , 19-Июн-25, (50)

последнее время много криков, переписать на rust, срочно переписать но при этом , Аноним (21), 14:16 , 19-Июн-25, (21)

АгаС чего ты взял Сколько было воплей и подгорания оп от таких новостей - В Ubun, Аноним (13), 14:24 , 19-Июн-25, (25)
Rust давно устарел сейчас все на ИИ , Аноним (19), 14:46 , 19-Июн-25, (28)
Ага, а я - тётка-бухгалтерша , Аноним (6), 20:00 , 19-Июн-25, (52) –1
Вы хоть представляете сколько тут работы А так, процесс идёт Что на go перепис, Аноним (108), 15:26 , 20-Июн-25, (100)

Libxml2 одна из главных либ Весь дистриб пересобирать нужно при её изменении В, Аноним (32), 15:19 , 19-Июн-25, (32)

Поздравляю Одна из главных либ - кусок дырявого крэпа Но менять это разумеется , Аноним (-), 15:49 , 19-Июн-25, (37)
При багфиксе API и ABI не поменяются Поэтому не придётся , Аноним (6), 20:09 , 19-Июн-25, (53)
Есть один человек в России может пересобрать так что ничего не надо будет менять, Dom (?), 20:14 , 19-Июн-25, (54)

Это и есть самая большая уязвимость , Аноним (35), 15:43 , 19-Июн-25, (35) +1
Поэтому программы на С и быстрые выкинули часть проверок здесь указатель точн, Карлос Сношайтилис (ok), 01:45 , 20-Июн-25, (64)
Господа сишники, вот к чему приводит отсутствие нормальной типизации Для исправ, Аноним (108), 12:22 , 20-Июн-25, (79)

Вы о чём Ах вот о чём Господа, ну что скажем этому оленю В простом языке он за, Аноним (-), 13:28 , 20-Июн-25, (85)

В си просты только спецификации, писать на си крайне трудно Ну как видим, у сишн, Аноним (108), 13:35 , 20-Июн-25, (89)
Сишка было создана для портирования юниксов А кодовая база тех юникосов была 50, Аноним (-), 13:36 , 20-Июн-25, (90)

40M строк кода решаются выделением драйвера АМД и другой фигни в отдельные модул, Аноним (111), 21:46 , 20-Июн-25, (111)

Не будет такого Это не невозможно, это противоречит модели разработки ядра линук, Аноним (-), 23:38 , 20-Июн-25, (114)
Народ, а что там у бсд, насколько драйвера стабильны , Аноним (108), 21:40 , 21-Июн-25, (124)

в 21-ом веке у сишников так и нету нормальных строк , Аноним (78), 22:26 , 20-Июн-25, (112)

Если в С добавить полноценные строки, это будет уже не С, Карлос Сношайтилис (ok), 13:35 , 21-Июн-25, (120)

просто используйте JSON , Golangdev (?), 00:28 , 21-Июн-25, (116)

Хрен редьки не слаще и его надо парсить А это слабое место С 8211 вылезут в, Карлос Сношайтилис (ok), 13:38 , 21-Июн-25, (121)

Ну тогда используйте нормальные языки, такие как Go Java RustНу или если сов, Golangdev (?), 17:41 , 21-Июн-25, (123)

expat надо использовать, Аноним (117), 02:25 , 21-Июн-25, (119)

Его можно использовать только для чтения Плюс, он не поддерживает современные с, Карлос Сношайтилис (ok), 13:50 , 21-Июн-25, (122)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (1), 19-Июн-25, 13:34

Пора переписать на Си, но чтоб без багов.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (2), 19-Июн-25, 13:36

>"на Си, но чтоб без багов. "
Ну, вы поняли.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –14 +/–

Сообщение от Аноним (3), 19-Июн-25, 13:38

Пора полностью отказаться от си. И он XML тоже. Нах он нужен. Для хранения одного байта информации пихаем килобайти лишней информации

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (6), 19-Июн-25, 13:42

Ну тогда уж откажитесь и от HTML.

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (78), 20-Июн-25, 12:18

внезапно, изначально был PS и PDF

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +2 +/–

Сообщение от Аноним (102), 20-Июн-25, 17:07

Где был? Изначально — это как? Проснулись пещерные люди, смотрят: а на полу PS и PDF лежат?

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +3 +/–

Сообщение от Аноним (8), 19-Июн-25, 13:45

Так xml так себе, но чем ты заменишь xslt?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +5 +/–

Сообщение от Аноним (12), 19-Июн-25, 13:59

Чем угодно. Xslt неоправданно сложный. Императивный код на любом яп, написанный в лоб, будет раз в 100 понятнее. Плюс, xslt абсолютно никакой для трансформации в режиме потока, потому что весь документ грузится в виде dom целиком. Это значит, что сто-метровый хмл будет занимать 500 метров оперативки, если не больше.

Ответить | Правка | Наверх | Cообщить модератору

38. Скрыто модератором +4 +/–

Сообщение от Аноним (-), 19-Июн-25, 15:54

> Так xml так себе, но чем ты заменишь xslt?
Эту жесть не надо было использовать с самого начала, чтоб вас.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

31. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –2 +/–

Сообщение от Аноним (31), 19-Июн-25, 15:05

Слова недалёкого человека. XML нужнее всех остальных форматов, ибо остальные куда уже специализированнее, а XML самый универсальный. Это не только формат для хранения и передачи данных, но ещё и команд с данными не только для выполнения команды, но ещё и для разбора что это за команда, так можно реализовать единую точку входа для всех команд, а не тонну эндпоинтов, как для REST. Хранить очень сложную структуру данных тот-же JSON не может, попробую всю страницу сайта передать в JSON (не только для заполнения формочек, а саму страницу) - не выйдет, теоретически конечно можешь, но об ручной разбор типов и экранирование - пальцы в кровь сотрёшь, и итоговый размер файла может даже и выйдет больше чем у XML.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

42. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (42), 19-Июн-25, 17:05

> об ручной разбор типов и экранирование - пальцы в кровь сотрёшь
JSON.stringify/parse()?

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (67), 20-Июн-25, 08:07

С потерей бигинтов и цифр в флоатах, ага.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (46), 19-Июн-25, 19:01

А может все же лучше переделать этот огород, чтобы не требовались "очень сложные структуры данных"?

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

55. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (3), 19-Июн-25, 20:22

И кто тогда будет платить деньги за поддержку "очень сложные структуры данных"?
Все упростить, еще и работать стабильно начнет. Точно уволят и возьмут кого-то на меньшую зарплату.
Делай спагетти-код и "очень сложные структуры данных"!!!!!

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (102), 20-Июн-25, 17:12

Да, давай. Все только за будут. Всего-то нужно сложность решаемых задач понизить, и дело в шляпе, обойдёмся одним массивом байтов на всё про всё. А если одни только hello world писать, то может быть и вовсе без структур данных обойдёмся. А там и от компьютера можно отказаться, вон в древнем Египте на глиняных табличках бухгалтерию вели, и ничего, великая страна была, могла показать!

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

4. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (6), 19-Июн-25, 13:41

На C++ с умными указателями.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (-), 19-Июн-25, 13:58

Дурной тон писать ядро, системные утилиты и библиотеки на Си плюс-плюс. Истинная системщина - только чистый Си.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (13), 19-Июн-25, 14:05

> Дурной тон писать ядро, системные утилиты и библиотеки на Си плюс-плюс. Истинная  системщина - только чистый Си.
Критерии истинности в студию.
Мне казалось что системщина - это надежный код, который без ошибок работает годами.
И его раньше писали на ассемблере.
А СИшка порождает дырявый овнокод, на пеньке последние 3 новости как раз про это убожество, которое придумали для тех, кто не осилил ассемблер.
Типа ПХП из 70х.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (29), 19-Июн-25, 14:47

>> Дурной тон писать ядро, системные утилиты и библиотеки на Си плюс-плюс. Истинная  системщина - только чистый Си.
> Критерии истинности в студию.
> Мне казалось что системщина - это надежный код, который без ошибок работает
> годами.
> И его раньше писали на ассемблере.
> А СИшка порождает дырявый овнокод, на пеньке последние 3 новости как раз
> про это убожество, которое придумали для тех, кто не осилил ассемблер.
> Типа ПХП из 70х.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (47), 19-Июн-25, 19:16

> И его раньше писали на ассемблере.
В ассемблере хотя бы нет UB.
Но, конечно, сейчас на ассемблере писать не вариант.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

56. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (56), 19-Июн-25, 20:48

>> И его раньше писали на ассемблере.
> В ассемблере хотя бы нет UB.
> Но, конечно, сейчас на ассемблере писать не вариант.
Угу-угу.
Навскидку:
https://c9x.me/x86/html/file_module_x86_id_285.html
> SAL/SAR/SHL/SHR
> The CF flag contains the value of the last bit shifted out of the destination operand; it is undefined for SHL and SHR instructions where the count is greater than or equal to the size (in bits) of the destination operand. The OF flag is affected only for 1-bit shifts (see "Description" above); otherwise, it is undefined. The SF, ZF, and PF flags are set according to the result. If the count is 0, the flags are not affected. For a non-zero count, the AF flag is undefined.
>

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (47), 19-Июн-25, 21:08

По-моему, здесь как раз поведение процессора вполне определённо описано.

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (56), 20-Июн-25, 17:15

>> SHL r/m8,CL    Multiply r/m8 by 2, CL times.
>> The OF flag is affected only for 1-bit shifts (see "Description" above); otherwise, it is undefined
>> The CF flag contains the value of the last bit shifted out of the destination operand; it is undefined for SHL and SHR instructions where the count is greater than or equal to the size (in bits) of the destination operand.
--
> По-моему, этодругоевынепонимаете!
🙄

https://c9x.me/x86/html/file_module_x86_id_19.html
> Searches the source operand (second operand) for the least significant set bit (1 bit).
> If the content of the source operand is 0, the content of the destination operand is undefined.
А уж написать что-то ассемблирующееся, но с "unpredictable behavior" - вполне можно только так
https://cr.yp.to/2005-590/x86-volume2a.pdf

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (102), 20-Июн-25, 17:18

>> it is undefined for SHL and SHR instructions…
>> undefined
> поведение процессора вполне определённо описано
Это многое объясняет! На си не пишешь случайно?

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

113. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (47), 20-Июн-25, 23:28

Аноним увидел слово undefined, дальше всё как в тумане.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (6), 19-Июн-25, 19:52

Про ядро никто не упоминал, речь была про парсер XML. А юзерспейс на ссовременных стандартах C++ - самое то.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

101. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (101), 20-Июн-25, 16:11

Зато упоминали системные утилиты и библиотеки.

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 18:09

>А юзерспейс на ссовременных стандартах C++ - самое то.
Спасибо, не надо. Такое впечатление, что крестовиков хаскелисты покусали.
https://habr.com/ru/companies/jugru/articles/438260/ - «Современный» C++: сеанс плача с причитаниями
Это не говоря уже про то, что для того, чтобы повторить безопасность условной жабы, нужно будет писать крайне много строк.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

117. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (117), 21-Июн-25, 01:53

Ну а в ядре тогда как xml парсить?

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

71. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 20-Июн-25, 10:13

SPARK?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –4 +/–

Сообщение от Аноним (13), 19-Июн-25, 14:09

> На C++ с умными указателями.
Но смогут ли СИшники осилить умные указатели?
Они же умные! (Указатели)
А СИшники до сих пор не могут делать зануление объекта, когда он уже не нужен((

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

81. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 12:56

>А СИшники до сих пор не могут делать зануление объекта, когда он уже не нужен((
Хватит повторять эту ошибку. Если объектом владеет только один указатель, то занулять ничего не надо, и у нас получается что-то типа раста. Если объектом владеет несколько указателей и есть gc, то рантайм сам разберётся. Если gc нет, и продвинутых типов тоже нет, а владеет несколько указателей, то нужен двойной указатель, чтобы все владения обнулились сразу же, но это ухдшит производительность. В противном случае, проблема останется. Так что в си решения по прежнему нет.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 13:28

Кресты даже в лучшем случае исправят только часть ошибок с памятью.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –2 +/–

Сообщение от Аноним (-), 19-Июн-25, 13:41

> 5 уязвимостей, две из которых потенциально могут привести к выполнению кода
> используется как зависимость в более чем 800 пакетах из состава Ubuntu.
Ахахахаха!
Вот она сила СИстемных языков программирования!
>  Переполнение возникает при обработке очень длинных аргументов команд из-за отсутствия корректной проверки размера входных данных перед копированием данных функцией strcpy().
strcpy - "вам не нужны нормальные строки"!
> записи данных за пределы буфера из-за целочисленного переполнения при вычислении размера буфера
Классика, одобряю!
> обращения к уже освобождённой области памяти ..., разыменования нулевого указателя... и неправильной обработки типов
А ведь эти проблемы можно было предотвратить, используя нормальные современные ЯП, а не устраревший кусок kalа из прошлого тысячелетия!

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –3 +/–

Сообщение от Аноним (-), 19-Июн-25, 13:55

Сегодня жаркий денек.
Спецвыпуск "Сишный овнокод и его фиксы"

+    int lenn, lenp;
+    size_t lenn, lenp;
...
+    if ((ncname == NULL) || (len < 0)) return(NULL);

Тут даже комментировать нечего.
parser.c

-  if (newSize) {
+  if (newSize < 0) {
     xmlFatalErr(ctxt, XML_ERR_NAME_TOO_LONG, "VersionNum");
}
tmp = xmlRealloc(buf, newSize);
Ну кто же мог подумать что size для реалока может быть отрицательным!
Хотя... это даже логично что не может...
А какой гений решил использовать signed переменную для newSize?
И в каком это убогом недоязычке идет неявный каст signed в unsigned size_t в realloc? Не сишечка ли это часом?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (19), 19-Июн-25, 14:09

Надо было использовать ИИ ассистента.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (23), 19-Июн-25, 14:23

Так дело всё же в языке или в гении, который код писал!

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

24. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (23), 19-Июн-25, 14:24

*?

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (-), 19-Июн-25, 14:38

> Так дело всё же в языке или в гении, который код писал!
То что убогий жигулятор при аварии убивает и пешехода и часто водилу (подушки? нет не слышал) это виноват водила?
Или то что эта древность проектировалась тяп ляп?
Так же и с дыряшкой.
Язык просто неявно кастит, быдлокодер не проверяет.
Если сам автор ЯП писал "комитет сделал язык на котором невозможно писать", то наверное он знал о чем говорил.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

44. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (44), 19-Июн-25, 18:00

Не знаю насколько удачный ваш пример. Кто виноват и что виновато, нужно смотреть по ситуации и не факт, что убогий жигулятор виноват, зависит от того, как им управляли и что творилось на дороге. Виноватыми могут быть и водила, и пешеход.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (47), 19-Июн-25, 19:18

Но что ведро с гайками повышает аварийность, спорить ведь не будете? Или его просто правильно водить надо?

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от нейм (?), 20-Июн-25, 11:12

любая машина = ведро с гайками = средство передвижения повышенной опасности (или как оно там в пдд)

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (-), 20-Июн-25, 11:27

> любая машина = ведро с гайками = средство передвижения повышенной опасности
Разумеется.
Но безопасность вещь измеримая. Причем по различным критериям (для водителя, для пассажира, для пешихода и тд). И достигается это целыми схемами пассивной и активной безопасности.
Понятно что можно разогнаться до такой скорости что даже они не помогут.
Но при обычной езде шансы участвников движения остаться целыми возрастают очень значимо.
Так и тут. Не существует абсолютного решения, но если есть то, которое может уменьшить кол-во проблем напр. на 30 (50, 70, whatever) процентов - то это уже решение.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (91), 20-Июн-25, 13:37

Горит сарай - гори и хата!

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

106. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (102), 20-Июн-25, 17:33

Любая, рано или поздно, но дьявол в деталях. Мне в жизни довелось дважды (и успешно!) совершить один и тот же опасный номер на двух разных автомобилях: уклониться от препятствия на трассе зимой в снегопад на скорости 80км/ч. Жигуль раскрутило, почти вылетел на встречку под фуру, но в последний момент смог найти достаточно сцепления с дорогой и вырулить. Второй раз делал то же самое на бмв с xdrive, пассажиры даже толком не заметили ничего. А так да, ведро с гайками что одна, что вторая. Когда продавал оба раза радовался.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

58. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 19-Июн-25, 21:09

> это виноват водила?
Ты неправильно вопрос ставишь, Дядя Фёдор.
Поиск виноватых -- это конечно хорошо, но это сужение общей проблемы поиска причин произошедшего. Если водила умер, но при наличии подушек безопасности он бы не умер, то подушки безопасности -- это причина его смерти, пускай их и сложно назначить виноватыми.
Причин может быть много, более того, _достаточных_ причин может быть много (т.е. таких причин, что каждой из них было бы достаточно, чтобы получить обсуждаемое следствие), а виноватым всегда будет стрелочник. Чтобы избегать неприятных следствий надо бороться с причинами, и совершенно бесполезно бороться со стрелочниками. Поэтому и вопрос надо ставить не о вине, а о причине. Или даже о причинах.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

36. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –2 +/–

Сообщение от Аноним (1), 19-Июн-25, 15:43

> А какой гений решил использовать signed переменную для newSize?
Дак ведь даже тут в комментах к другой новости один фанат раста решил продемонстрировать какой он крутой и... сделал точно так же. Так что сишники тут не причем, растаманы делают так же, когда берут в руки Си.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

80. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от ptr (ok), 20-Июн-25, 12:51

Проблема не в языке, а в руках.
Например, в некотором языке значение res будет иметь разные значения (0 или 0.01), в зависимости кодогенератора LLVM и опций его оптимизатора:
let a: f32 = 1E-64;
let b: f32 = 1E64;
let c: f32 = 1E126;
let res = a/b*c;
Видите классический UB с исчезновением порядка?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

82. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 20-Июн-25, 13:19

> Проблема не в языке, а в руках.
Но тут нет UB. Проблема именно в языке.
xmlRealloc принимает size_t.
void* (*xmlReallocFunc) (void *mem, size_t size);
Туда передается int newSize;
Если бы язык был к такому строг и требовал явной конвертации signed в unsigned - то с 99% вероятностью проблемы не произошло.
Почему так сделано? А потому что xmlGrowCapacity возвщает не только значение, а еще и ошибку -1.
github.com/GNOME/libxml2/blob/477f9c6b20ef4a0745aefe735e9ebc7573a4fdae/include/private/memory.h#L32
Почему? Потому нет нормального возврата ошибок на уровне языка
Если бы там возвращался условый Result<Value, Error> то сама такая ситуация была бы невозможна - result нужно было бы "развернуть", а ошибку или обработать, или СОЗНАТЕЛЬНО проигнорировать. Т.е. это опять ограниченность языка.
К программисту претензия только в том, что он не полез в xmlGrowCapacity и посмотрел на возвращаемые значения. Но это бы не спасло от ситуации, когда -1 добавлися бы после написания кода, который использует функцию - копилятор точно также неявно все закастил и отстрелил ногу.
> Например, в некотором языке значение res будет иметь разные значения (0 или 0.01),
> в зависимости кодогенератора LLVM и опций его оптимизатора
Проблема не в языке. Evaluation order языком определен однозначно.
А проблема в конкретной имплементации конкретного компилятора. Я ведь тоже могу накидать различий в выхлопе в другом языке при применении различных оптимизаций.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от ptr (ok), 20-Июн-25, 13:23

> Но тут нет UB.
А при чем тут UB, если проблема именно в руках?
> Evaluation order языком определен однозначно.
Но не определено, будет ли промежуточный результат из 80-х битных регистров FPU сохраняться в память или останется в регистре. Проблема то именно в этом.

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 20-Июн-25, 13:40

> если проблема именно в руках?
Где?
Я расписал именно недостатки языка и его выразительности, которые привели к ошибке.
А вы пишите "именно в руках". Ну так раскройте свою мысль почему все аргументы про неявный каст и отсутствие ошибок на уровне языка не валидны.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 13:26

>Проблема не в языке, а в руках.
Проблема в руках, которые берут этот язык. Ибо одни языки сопротивляются г-коду, а другие наоборот, этот самый г-код поощрают.
>Например, в некотором языке значение res будет иметь разные значения (0 или 0.01)
В каком? Rust, например сразу же выдаёт ошибку компиляции, у ocaml вообще другой синтаксис, и основной компилятор llvm не использует.
>Видите классический UB с исчезновением порядка?
Я вижу ошибку компиляции. Хороший компилятор сделал своё дело.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

92. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от ptr (ok), 20-Июн-25, 13:37

>>Видите классический UB с исчезновением порядка?
> Я вижу ошибку компиляции. Хороший компилятор сделал своё дело.
И где Вы увидели ошибку компиляции? Здесь классический UB, связанный с тем, было ли сохранение промежуточного результата из 80-битного регистра FPU в память с преобразованием его в f32 или нет.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 20-Июн-25, 13:43

> И где Вы увидели ошибку компиляции?
godbolt.org/z/GfcbTeY4T
error: literal out of range for `f32`
  --> <source>:12:18
   |
12 |     let b: f32 = 1E64;
   |                  ^^^^
   |
   = note: the literal `1E64` does not fit into the type `f32` and will be converted to `f32::INFINITY`
   = note: `#[deny(overflowing_literals)]` on by default

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 13:43

>И где Вы увидели ошибку компиляции?
Вы для начала язык назовите, а то телепаты в отпуске. Проверял здесь https://play.rust-lang.org/?version=stable&mode=debug&editio...
Compiling playground v0.0.1 (/playground)
error: literal out of range for `f32`
--> src/main.rs:3:18
  |
3 |     let b: f32 = 1E64;
  |                  ^^^^
  |
  = note: the literal `1E64` does not fit into the type `f32` and will be converted to `f32::INFINITY`
  = note: `#[deny(overflowing_literals)]` on by default
error: literal out of range for `f32`
--> src/main.rs:4:18
  |
4 |     let c: f32 = 1E126;
  |                  ^^^^^
  |
  = note: the literal `1E126` does not fit into the type `f32` and will be converted to `f32::INFINITY`
error: could not compile `playground` (bin "playground") due to 2 previous errors

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

96. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от ptr (ok), 20-Июн-25, 14:04

> https://play.rust-lang.org/?version=stable&mode=debug&editio...
Простите, по памяти писал.
Правильно так:
fn main() {
    let a: f32 = 1E-23;
    let b: f32 = 1E23;
    let c: f32 = 1E38;
    let res = a/b*c;
    println!("{}",res);
}

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 14:55

Ну отлично, теперь это хотя бы компилируется. Но заявленного вами поведения не наблюдаю, и в дебаге и в релизе выдаёт 0.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 20-Июн-25, 15:04

> Ну отлично, теперь это хотя бы компилируется. Но заявленного вами поведения не
> наблюдаю, и в дебаге и в релизе выдаёт 0.
"в зависимости кодогенератора LLVM и опций его оптимизатора"
Скорее всего нужна конкретная версия компилятора, уровень оптимизаций и возможно флаги.
Так что удачки это повторить.
При этом это все равно останется UB реализации, а не языка.

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 15:23

>Скорее всего нужна конкретная версия компилятора, уровень оптимизаций и возможно флаги.
Скорее всего это просто баг llvm-а. Некоторые языки, тот же ocaml от llvm не зависят вообще. А вот ub в си возникает стабильно. Хоть на gcc, хоть на llvm, хоть на msvc. Ну может на экзотике типа tcc не возникает, пока туда оптимизаций не завезли, как завезут, так там тоже возникнут.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от qwe (??), 21-Июн-25, 01:54

> +    int lenn, lenp;
> +    size_t lenn, lenp;
Когда копировал этот кусок патча, ничего странного не заметил, умник?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

14. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (19), 19-Июн-25, 14:08

А вот писали бы они с помощью ИИ такой фигни бы не было.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (13), 19-Июн-25, 14:13

> А вот писали бы они с помощью ИИ такой фигни бы не было.
А ИИ на чем обучали?
На ЩитХабе и таких же кодах?
Ой, так он будет точно так же овнокодить и делать такие же ошибки.
Потому что shit in -> shit out

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (19), 19-Июн-25, 14:45

Проверку длинны ИИ сделать в состоянии в отличии от коженных мешков.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 19-Июн-25, 15:03

> Проверку длинны ИИ сделать в состоянии в отличии от коженных мешков.
Потому что он хоть и Искусственный, но Интеллект!
А для писания на СИшке мозг вообще не нужен.
Не сходятся типы? Кастуй к void*
Целочисленная функция должна возвращать ошибку? Пусть просто станет signed возвращает -1. Result<Value, Error> это что-то на смузихлебском.
Enum_Crocodile пытаются сравнивать с Enum_Bombardilo? Пофиг, под капотом все равно int.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (19), 20-Июн-25, 10:59

Дообучи ИИ как надо и он тебе исправит что угодно во всем проекте.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от нах. (?), 19-Июн-25, 15:39

конечно не было бы - когда код xml-парсера не компилится или не парсит xml - никаких проблем он и не создаст.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

73. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (19), 20-Июн-25, 11:00

То что ты не умеешь пользоваться ИИ и не в состоянии написать нормальный промт виноват только ты.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от нах. (?), 20-Июн-25, 11:40

> То что ты не умеешь пользоваться ИИ и не в состоянии написать
> нормальный промт виноват только ты.
ну ты-то умеешь, ии за тебя уже три хеловрота написал?
А мы так и будем жить с libxml2 и еще более ужасным xslt, автор которого видимо либо от старости помер либо в монастырь ушел, тяжкий грех до конца своих дней замаливать.
Поскольку твои хеловроты его не заменят решительно никак.
Скорее уж хрустики подтянутся и перепишут-перепишут (еще лет за двадцать, их темпами быстрее от борова не убежишь). Может даже ии припрягут, от борова бегать ему самое то занятие.

Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (102), 20-Июн-25, 17:59

> ну ты-то умеешь, ии за тебя уже три хеловрота написал?
Если твоя кодобаза состоит из «хеловротов» — напишет «хеловрот». У нас кодобаза в основном сложный процессинг данных, и таки ии генерит по ней отличный код, если правильно попросить. Но чтобы правильно попросить надо хорошо знать что ты хочешь, поэтому эта чалма работает только со сковородой в штанах, в том смысле что надо хорошо знать предметную область чтобы, во-первых, написать запрос, и, во-вторых, понять не лажа ли ответ. Иными словами, это профессиональный инструмент для ускорения процесса разработки, а не штука, которая за тебя всё делать будет. Штука, которая за тебя всё делать будет называется джун или интерн, но там и промпты куда сложнее, и выхлоп надо куда внимательнее проверять.

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (108), 20-Июн-25, 18:11

>Штука, которая за тебя всё делать
>и выхлоп надо куда внимательнее проверять.
Взаимоисключающие утверждения.

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от нах. (?), 20-Июн-25, 18:35

не, все правильно - он такой конечно сделает, что сказали, а не будет галлюционировать, и даже наверное догадается задать дополнительные вопросы ДО того как бросаться кодить.
Но быстрее опять окажется самому все запилить.
Так что новой libxml без багов от ИИ по прежнему не дождемся, потому что ЭТОТ джун даже переспросить без пинка не догадается если что не понял. И даже поправить баги в старой хрен там, потому что "в контекстное окно не лезет".

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (-), 19-Июн-25, 14:09

> Для устранения данных уязвимостей рассматривается возможность
> удаления из libxml2 поддержки языка разметки Schematron.
Да вообще libxml2 нужно отовюсюду выкинуть и заменить на что-то нормальное.
Напр. на quick-xml или xml-rs.
Иначе ситуация "более чем 800 пакетов из состава Ubuntu" оказались дырявы будет повторяться раз за разом.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от нах. (?), 19-Июн-25, 15:42

> Да вообще libxml2 нужно отовюсюду выкинуть и заменить на что-то нормальное.
приступай.
Только - нормальное, а не подделку реализующую 1/100 от оригинала. (поддержку нахрен никому ненужного язычка шк070трон можешь выкинуть)
Как напишешь такую - приходи.
А пока это референсный парсер xml, и ничего на замену нет и не предвидится. Ну кроме попыток парсить xml грепом, обреченных на весьма специфичный успех.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 19-Июн-25, 16:56

> Только - нормальное,
Типа того что сейчас))?
> а не подделку реализующую 1/100 от оригинала.
Если 95% юзеров этого достаточно, то можно и одну сотую.
А потом слушать нытье и добавлять именно то что нужно, а не "у нас тут для i286 есть костыли, их обязательно нужно перенести!!11"

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от нах. (?), 19-Июн-25, 19:42

> Если 95% юзеров этого достаточно, то можно и одну сотую.
эти 95 на винде сидят. С теми еще 2% которым недостаточно но они тоже уже там.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (21), 19-Июн-25, 14:16

последнее время много криков, переписать на rust, срочно переписать!
но при этом все продолжают пережевывать это сишное #### булшит
когда от возмущения перейдете к делу?
зы. я девочка дизайнер, ко мне вопросов нет! но вот вы, вы же большинство программисты, так? чего ждете?

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (13), 19-Июн-25, 14:24

> последнее время много криков, переписать на rust, срочно переписать!
Ага
> но при этом все продолжают пережевывать это сишное #### булшит
С чего ты взял?
> когда от возмущения перейдете к делу?
Сколько было воплей и подгорания оп от таких новостей:
- В Ubuntu 25.10 решено задействовать аналог sudo, написанный на Rust
- Для FreeBSD развивают опциональную поддержку компонентов базовой системы на Rust
- Разработчики GRUB2 рассматривают возможность использования языка Rust
- Браузер Chrome переведён на шрифтовой движок Skrifa, написанный на Rust
- Для ядра Linux 6.15 предложен начальный код драйвера Nova, написанный на
на минуточку Хром это 2+ миллиарда пользоватлей, про ядро вообще молчу
> зы. я девочка дизайнер, ко мне вопросов нет!
а можно вопрос не по теме?
Сиськи не покажешь)?
> но вот вы, вы же большинство программисты, так? чего ждете?
Мы работаем в поте лица.
Но объективно: овнокода много, диды копротивляются.
Вон недавно вахтера выкинули из мейнтенеров за намерненное непринятие измененией на расте.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (19), 19-Июн-25, 14:46

Rust давно устарел сейчас все на ИИ.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

52. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." –1 +/–

Сообщение от Аноним (6), 19-Июн-25, 20:00

Ага, а я - тётка-бухгалтерша.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

100. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 15:26

>но вот вы, вы же большинство программисты, так? чего ждете?
Вы хоть представляете сколько тут работы? А так, процесс идёт. Что на go переписывают, что на rust, что изначально на ocaml или другом языке пишут.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

32. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (32), 19-Июн-25, 15:19

Libxml2 одна из главных либ. Весь дистриб пересобирать нужно при её изменении. Вдруг что отвалится.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 19-Июн-25, 15:49

> Libxml2 одна из главных либ.
Поздравляю!
Одна из главных либ - кусок дырявого крэпа))
Но менять это разумеется низя, вдруг что-то отвалится!

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (6), 19-Июн-25, 20:09

При багфиксе API и ABI не поменяются. Поэтому не придётся.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

54. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Dom (?), 19-Июн-25, 20:14

Есть один человек в России может пересобрать так что ничего не надо будет менять , но у него какое то кидало произошло через банк и он как мегаладон решил выжидать добычу как я понял , судя по статистике проекты годные , но как будто из будущего киберпанка и по этому немного не понятно откуда такие знания

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

35. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +1 +/–

Сообщение от Аноним (35), 19-Июн-25, 15:43

> разрабатываемой проектом GNOME
Это и есть самая большая уязвимость.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Карлос Сношайтилис (ok), 20-Июн-25, 01:45

Поэтому программы на С и быстрые:  выкинули часть проверок (здесь указатель точно валидный), сделали несколько допущений (такого размера для буфера хватит всегда), намеренно проигнорировали пару UB (тут переполнения не будет) и вуаля: быстро написанный быстрый код! Красота!
Бежать по минимуму полю всегда быстрее, чем его разминировать.

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 12:22

Господа сишники, вот к чему приводит отсутствие нормальной типизации. Для исправления данных уязвимостей нужно как минимум афинные типы использовать, но желательно ещё и зависимые добавить. Ну или просто быть внимательнее, чему сишники никак не научатся.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 20-Июн-25, 13:28

>Господа сишники, вот к чему приводит отсутствие нормальной типизации.
Вы о чём?
>Для исправления данных уязвимостей нужно как минимум афинные типы использовать
Ах вот о чём! Господа, ну что скажем этому оленю? В простом языке он захотел заиметь алгебраический тип данных.
>у или просто быть внимательнее, чему сишники никак не научатся.
Среди нас есть разные люди, и с разной концентрацией внимания. Если бы сишники не были внимательными, то до сегоднешнего дня, ни одна Unix-подобная операционная система не состоялась бы.

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 20-Июн-25, 13:35

>В простом языке он захотел заиметь алгебраический тип данных.
В си просты только спецификации, писать на си крайне трудно.
>Среди нас есть разные люди, и с разной концентрацией внимания.
Ну как видим, у сишников, писавших libxml2 концентрации явно не хватило. И сюда ненастоящие сишники прорвались.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 20-Июн-25, 13:36

> Среди нас есть разные люди, и с разной концентрацией внимания.
Сишка было создана для портирования юниксов. А кодовая база тех юникосов была 50-100 kLOC.
В ядре линя сейчас 40 MLOC кода. Было. Возможно уже больше.
В итоге кодовая база растет, а концентрация внимания людей нет.
Ну или тоже немного растет, но прям с разными порядками скоростей.
> Если бы сишники не были внимательными
Так сишники и так не внимательные. Вот тут не заметили что функция может вернуть ошибку.
> то до сегоднешнего дня, ни одна Unix-подобная
> операционная система не состоялась бы.
Состоялась бы. Просто какой ценой.
Ценой сотен тысяч багов, юязвимостей и потраченных в пустую человекочасов.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

111. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (111), 20-Июн-25, 21:46

40M строк кода решаются выделением драйвера АМД и другой фигни в отдельные модули.
Но это потребует хотя бы на какое-то время и хотя бы в одну сторону STABLE API...
Но Торвальдс заранее продекламировал, что это невозможно. ХЗ, может и так...

Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (-), 20-Июн-25, 23:38

> Но это потребует хотя бы на какое-то время и хотя бы в одну сторону STABLE API...
Не будет такого.
> Но Торвальдс заранее продекламировал, что это невозможно. ХЗ, может и так...
Это не невозможно, это противоречит модели разработки ядра линукса.
Ядро должно все время требовать подпиливания и подкручивания, чтобы всей толпе мейнтейнеров на зп было чем заняться. Иначе представь - взял ты дрова АМД и они работают на всей мажорной версии ядра! Ужас!
А так обновился с 6.12.27 до 6.12.30 и драйвер накрылся (linux.org.ru/forum/linux-hardware/18001697). Значит кто-то должен его пойти и заадоптить.
Все при деле, все довольны. А главное донатить LF перестать нельзя))

Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (108), 21-Июн-25, 21:40

>Но Торвальдс заранее продекламировал, что это невозможно. ХЗ, может и так...
Народ, а что там у бсд, насколько драйвера стабильны?

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

112. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (78), 20-Июн-25, 22:26

> перед копированием данных функцией strcpy
в 21-ом веке у сишников так и нету нормальных строк...

Ответить | Правка | Наверх | Cообщить модератору

120. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Карлос Сношайтилис (ok), 21-Июн-25, 13:35

Если в С добавить полноценные строки, это будет уже не С

Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Golangdev (?), 21-Июн-25, 00:28

> Уязвимости в библиотеке libxml2
просто используйте JSON =)

Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Карлос Сношайтилис (ok), 21-Июн-25, 13:38

Хрен редьки не слаще: и его надо парсить. А это слабое место С – вылезут все классические ошибки с буферами, переполнения и прочее.

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Golangdev (?), 21-Июн-25, 17:41

Ну тогда используйте нормальные языки, такие как Go / Java / Rust
Ну или если совсем "прикипели" к C / C++ - настройте сканеры / линтеры / санитайзеры, как это делает Google при сборке Chrome

Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Аноним (117), 21-Июн-25, 02:25

expat надо использовать

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..." +/–

Сообщение от Карлос Сношайтилис (ok), 21-Июн-25, 13:50

Его можно использовать только для чтения.
Плюс, он не поддерживает современные спеки XML

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+1 +/–
Сообщение от Аноним (1), 19-Июн-25, 13:34
Пора переписать на Си, но чтоб без багов.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	–1 +/–
	Сообщение от Аноним (2), 19-Июн-25, 13:36
	>"на Си, но чтоб без багов. " Ну, вы поняли.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	–14 +/–
	Сообщение от Аноним (3), 19-Июн-25, 13:38
	Пора полностью отказаться от си. И он XML тоже. Нах он нужен. Для хранения одного байта информации пихаем килобайти лишней информации
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	6. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+1 +/–
	Сообщение от Аноним (6), 19-Июн-25, 13:42
	Ну тогда уж откажитесь и от HTML.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	78. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (78), 20-Июн-25, 12:18
	внезапно, изначально был PS и PDF
	Ответить \| Правка \| Наверх \| Cообщить модератору


	102. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+2 +/–
	Сообщение от Аноним (102), 20-Июн-25, 17:07
	Где был? Изначально — это как? Проснулись пещерные люди, смотрят: а на полу PS и PDF лежат?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+3 +/–
	Сообщение от Аноним (8), 19-Июн-25, 13:45
	Так xml так себе, но чем ты заменишь xslt?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	12. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+5 +/–
	Сообщение от Аноним (12), 19-Июн-25, 13:59
	Чем угодно. Xslt неоправданно сложный. Императивный код на любом яп, написанный в лоб, будет раз в 100 понятнее. Плюс, xslt абсолютно никакой для трансформации в режиме потока, потому что весь документ грузится в виде dom целиком. Это значит, что сто-метровый хмл будет занимать 500 метров оперативки, если не больше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. Скрыто модератором	+4 +/–
	Сообщение от Аноним (-), 19-Июн-25, 15:54
	> Так xml так себе, но чем ты заменишь xslt? Эту жесть не надо было использовать с самого начала, чтоб вас.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	31. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	–2 +/–
	Сообщение от Аноним (31), 19-Июн-25, 15:05
	Слова недалёкого человека. XML нужнее всех остальных форматов, ибо остальные куда уже специализированнее, а XML самый универсальный. Это не только формат для хранения и передачи данных, но ещё и команд с данными не только для выполнения команды, но ещё и для разбора что это за команда, так можно реализовать единую точку входа для всех команд, а не тонну эндпоинтов, как для REST. Хранить очень сложную структуру данных тот-же JSON не может, попробую всю страницу сайта передать в JSON (не только для заполнения формочек, а саму страницу) - не выйдет, теоретически конечно можешь, но об ручной разбор типов и экранирование - пальцы в кровь сотрёшь, и итоговый размер файла может даже и выйдет больше чем у XML.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	42. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	–1 +/–
	Сообщение от Аноним (42), 19-Июн-25, 17:05
	> об ручной разбор типов и экранирование - пальцы в кровь сотрёшь JSON.stringify/parse()?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (67), 20-Июн-25, 08:07
	С потерей бигинтов и цифр в флоатах, ага.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (46), 19-Июн-25, 19:01
	А может все же лучше переделать этот огород, чтобы не требовались "очень сложные структуры данных"?
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	55. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (3), 19-Июн-25, 20:22
	И кто тогда будет платить деньги за поддержку "очень сложные структуры данных"? Все упростить, еще и работать стабильно начнет. Точно уволят и возьмут кого-то на меньшую зарплату. Делай спагетти-код и "очень сложные структуры данных"!!!!!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	103. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+1 +/–
	Сообщение от Аноним (102), 20-Июн-25, 17:12
	Да, давай. Все только за будут. Всего-то нужно сложность решаемых задач понизить, и дело в шляпе, обойдёмся одним массивом байтов на всё про всё. А если одни только hello world писать, то может быть и вовсе без структур данных обойдёмся. А там и от компьютера можно отказаться, вон в древнем Египте на глиняных табличках бухгалтерию вели, и ничего, великая страна была, могла показать!
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору


	4. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+1 +/–
	Сообщение от Аноним (6), 19-Июн-25, 13:41
	На C++ с умными указателями.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	11. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	–1 +/–
	Сообщение от Аноним (-), 19-Июн-25, 13:58
	Дурной тон писать ядро, системные утилиты и библиотеки на Си плюс-плюс. Истинная системщина - только чистый Си.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	–1 +/–
	Сообщение от Аноним (13), 19-Июн-25, 14:05
	> Дурной тон писать ядро, системные утилиты и библиотеки на Си плюс-плюс. Истинная системщина - только чистый Си. Критерии истинности в студию. Мне казалось что системщина - это надежный код, который без ошибок работает годами. И его раньше писали на ассемблере. А СИшка порождает дырявый овнокод, на пеньке последние 3 новости как раз про это убожество, которое придумали для тех, кто не осилил ассемблер. Типа ПХП из 70х.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (29), 19-Июн-25, 14:47
	>> Дурной тон писать ядро, системные утилиты и библиотеки на Си плюс-плюс. Истинная системщина - только чистый Си. > Критерии истинности в студию. > Мне казалось что системщина - это надежный код, который без ошибок работает > годами. > И его раньше писали на ассемблере. > А СИшка порождает дырявый овнокод, на пеньке последние 3 новости как раз > про это убожество, которое придумали для тех, кто не осилил ассемблер. > Типа ПХП из 70х.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	–1 +/–
	Сообщение от Аноним (47), 19-Июн-25, 19:16
	> И его раньше писали на ассемблере. В ассемблере хотя бы нет UB. Но, конечно, сейчас на ассемблере писать не вариант.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	56. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (56), 19-Июн-25, 20:48
	>> И его раньше писали на ассемблере. > В ассемблере хотя бы нет UB. > Но, конечно, сейчас на ассемблере писать не вариант. Угу-угу. Навскидку: https://c9x.me/x86/html/file_module_x86_id_285.html > SAL/SAR/SHL/SHR > The CF flag contains the value of the last bit shifted out of the destination operand; it is undefined for SHL and SHR instructions where the count is greater than or equal to the size (in bits) of the destination operand. The OF flag is affected only for 1-bit shifts (see "Description" above); otherwise, it is undefined. The SF, ZF, and PF flags are set according to the result. If the count is 0, the flags are not affected. For a non-zero count, the AF flag is undefined. >
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (47), 19-Июн-25, 21:08
	По-моему, здесь как раз поведение процессора вполне определённо описано.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	104. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (56), 20-Июн-25, 17:15
	>> SHL r/m8,CL Multiply r/m8 by 2, CL times. >> The OF flag is affected only for 1-bit shifts (see "Description" above); otherwise, it is undefined >> The CF flag contains the value of the last bit shifted out of the destination operand; it is undefined for SHL and SHR instructions where the count is greater than or equal to the size (in bits) of the destination operand. -- > По-моему, этодругоевынепонимаете! 🙄 https://c9x.me/x86/html/file_module_x86_id_19.html > Searches the source operand (second operand) for the least significant set bit (1 bit). > If the content of the source operand is 0, the content of the destination operand is undefined. А уж написать что-то ассемблирующееся, но с "unpredictable behavior" - вполне можно только так https://cr.yp.to/2005-590/x86-volume2a.pdf
	Ответить \| Правка \| Наверх \| Cообщить модератору


	105. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (102), 20-Июн-25, 17:18
	>> it is undefined for SHL and SHR instructions… >> undefined > поведение процессора вполне определённо описано Это многое объясняет! На си не пишешь случайно?
	Ответить \| Правка \| К родителю #57 \| Наверх \| Cообщить модератору


	113. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (47), 20-Июн-25, 23:28
	Аноним увидел слово undefined, дальше всё как в тумане.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+1 +/–
	Сообщение от Аноним (6), 19-Июн-25, 19:52
	Про ядро никто не упоминал, речь была про парсер XML. А юзерспейс на ссовременных стандартах C++ - самое то.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	101. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (101), 20-Июн-25, 16:11
	Зато упоминали системные утилиты и библиотеки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	108. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (108), 20-Июн-25, 18:09
	>А юзерспейс на ссовременных стандартах C++ - самое то. Спасибо, не надо. Такое впечатление, что крестовиков хаскелисты покусали. https://habr.com/ru/companies/jugru/articles/438260/ - «Современный» C++: сеанс плача с причитаниями Это не говоря уже про то, что для того, чтобы повторить безопасность условной жабы, нужно будет писать крайне много строк.
	Ответить \| Правка \| К родителю #51 \| Наверх \| Cообщить модератору


	117. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (117), 21-Июн-25, 01:53
	Ну а в ядре тогда как xml парсить?
	Ответить \| Правка \| К родителю #51 \| Наверх \| Cообщить модератору


	71. "Уязвимости в библиотеке libxml2, потенциально приводящие к в..."	+/–
	Сообщение от Аноним (-), 20-Июн-25, 10:13
	SPARK?
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору