forum.opennet.ru - "Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы" (17)

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"	+/–
Сообщение от opennews (??), 10-Мрт-26, 20:52
Компания Cloudflare объявила об устранении трёх уязвимостей во фреймворке Pingora, двум из которых присвоен критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust и предназначен для разработки защищённых высокопроизводительных сетевых сервисов. Построенный при помощи Pingora прокси используется в сети доставки контента Cloudflare и обрабатывает более 40 млн запросов в секунду. Уязвимости устранены в выпуске Pingora 0.8.0... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64957
Ответить \| Правка \| Cообщить модератору

Оглавление

Ну ожидаемо На brainfuck весьма сложно отслеживать логику приложения , Диды (ok), 20:53 , 10-Мрт-26, (2) +7

Если так, почему её использовали , Аноним (19), 21:39 , 10-Мрт-26, (19) –1
А на каком легко На Go , Аноним (28), 22:21 , 10-Мрт-26, (28)

РЕШЕТO 1А если серьезно спецификации содержат настолько большое количество нюа, Аноним (3), 20:53 , 10-Мрт-26, (3) +2

https www opennet ru opennews art shtml num 64574, Аноним (16), 21:23 , 10-Мрт-26, (16) –2
никакой спеки там нет, костыль на костыле, Аноним (34), 22:52 , 10-Мрт-26, (34)

Реагируют, уже хорошо Хотя сейчас везде так, ПО становится всё сложнее и сложнее, Аноним (16), 21:08 , 10-Мрт-26, (8)

А это прям хорошо , Аноним (16), 21:10 , 10-Мрт-26, (9)
Так и есть Диды не зря завещали Keep it simple, stupid Но теперь же надо вс, Аноним (12), 21:17 , 10-Мрт-26, (12) +2

И без переписывания за всем не уследишь 1 https opennet ru 62635-kernel 2 ht, Аноним (16), 21:22 , 10-Мрт-26, (15) –1
А делали Keep it simple-stupid В первом же новом юниксе выcpaли дырень в 50 стро, Аноним (33), 22:41 , 10-Мрт-26, (33)

haha, classic ц Оказывается, если использовать язык программирования, с котор, Аноним (24), 22:02 , 10-Мрт-26, (24) +1

Обдумавания вроде как не вылезти за пределы буфера , как не сделать дабл-фри , Аноним (28), 22:20 , 10-Мрт-26, (27) +1

Мне кажется ты не разобрался , Аноним (37), 23:06 , 10-Мрт-26, (37)

Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потр, Аноним (29), 22:25 , 10-Мрт-26, (29)

так, а зачем на этот небезопасный язык переписывают ядро и коре утилс , ятупойтролль (ok), 23:00 , 10-Мрт-26, (35)
Противники божественного Rust а сейчас побегут писать Ага, вот видите, Раст не, Аноним10084 и 1008465039 (?), 23:03 , 10-Мрт-26, (36)

Сообщения [Сортировка по времени | RSS]

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +7 +/–

Сообщение от Диды (ok), 10-Мрт-26, 20:53

Ну ожидаемо.
На brainfuck весьма сложно отслеживать логику приложения.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (19), 10-Мрт-26, 21:39

> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений.
Если так, почему её использовали?

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (28), 10-Мрт-26, 22:21

> На brainfuck весьма сложно отслеживать логику приложения.
А на каком легко? На Go?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (3), 10-Мрт-26, 20:53

РЕШЕТO!!1
А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:23

https://www.opennet.dev/opennews/art.shtml?num=64574

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (34), 10-Мрт-26, 22:52

никакой спеки там нет, костыль на костыле

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:08

>Уязвимости устранены в выпуске Pingora 0.8.0
Реагируют, уже хорошо.
Хотя сейчас везде так, ПО становится всё сложнее и сложнее.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:10

>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей.
А это прям хорошо.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (12), 10-Мрт-26, 21:17

> Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:22

И без переписывания за всем не уследишь:
1) https://opennet.ru/62635-kernel
2) https://opennet.ru/64574-bug

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (33), 10-Мрт-26, 22:41

> Диды не зря завещали: "Keep it simple, stupid".
А делали Keep it simple-stupid.
В первом же новом юниксе выcpaли дырень в 50 строках.
Как говорится "не мешки ворочать".

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

24. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (24), 10-Мрт-26, 22:02

"haha, classic" (ц)
Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (28), 10-Мрт-26, 22:20

> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости.
Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (37), 10-Мрт-26, 23:06

Мне кажется ты не разобрался.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (29), 10-Мрт-26, 22:25

Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов:
A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы)
B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью
Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

35. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от ятупойтролль (ok), 10-Мрт-26, 23:00

так, а зачем на этот небезопасный язык переписывают ядро и коре утилс?

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним10084 и 1008465039 (?), 10-Мрт-26, 23:03

Противники божественного Rust'а сейчас побегут писать: "Ага, вот видите, Раст не спасает!1" Но на деле эта новость именно что подтверждает, что божественный Раст спасает! Уязвимость не переполнение буффера, а реальная логическая ошибка. Она и на Си завсегда могла быть, только прежде чем ее обнаружить, было бы куча ошибок памяти. А тут сразу логика - успех.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+7 +/–
Сообщение от Диды (ok), 10-Мрт-26, 20:53
Ну ожидаемо. На brainfuck весьма сложно отслеживать логику приложения.
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (19), 10-Мрт-26, 21:39
	> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений. Если так, почему её использовали?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:21
	> На brainfuck весьма сложно отслеживать логику приложения. А на каком легко? На Go?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
Сообщение от Аноним (3), 10-Мрт-26, 20:53
РЕШЕТO!!1 А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:23
	https://www.opennet.dev/opennews/art.shtml?num=64574
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (34), 10-Мрт-26, 22:52
	никакой спеки там нет, костыль на костыле
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
Сообщение от Аноним (16), 10-Мрт-26, 21:08
>Уязвимости устранены в выпуске Pingora 0.8.0 Реагируют, уже хорошо. Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:10
	>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей. А это прям хорошо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от Аноним (12), 10-Мрт-26, 21:17
	> Хотя сейчас везде так, ПО становится всё сложнее и сложнее. Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:22
	И без переписывания за всем не уследишь: 1) https://opennet.ru/62635-kernel 2) https://opennet.ru/64574-bug
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (33), 10-Мрт-26, 22:41
	> Диды не зря завещали: "Keep it simple, stupid". А делали Keep it simple-stupid. В первом же новом юниксе выcpaли дырень в 50 строках. Как говорится "не мешки ворочать".
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору

24. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
Сообщение от Аноним (24), 10-Мрт-26, 22:02
"haha, classic" (ц) Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:20
	> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить. Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости. Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (37), 10-Мрт-26, 23:06
	Мне кажется ты не разобрался.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (29), 10-Мрт-26, 22:25
	Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов: A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы) B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору

35. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
Сообщение от ятупойтролль (ok), 10-Мрт-26, 23:00
так, а зачем на этот небезопасный язык переписывают ядро и коре утилс?
Ответить \| Правка \| Наверх \| Cообщить модератору

36. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
Сообщение от Аноним10084 и 1008465039 (?), 10-Мрт-26, 23:03
Противники божественного Rust'а сейчас побегут писать: "Ага, вот видите, Раст не спасает!1" Но на деле эта новость именно что подтверждает, что божественный Раст спасает! Уязвимость не переполнение буффера, а реальная логическая ошибка. Она и на Си завсегда могла быть, только прежде чем ее обнаружить, было бы куча ошибок памяти. А тут сразу логика - успех.
Ответить \| Правка \| Наверх \| Cообщить модератору