Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck"	+1 +/–
Сообщение от opennews (??), 16-Июн-20, 23:00
В проприетарном TCP/IP стеке Treck, который применяется во многих промышленных, медицинских, коммуникационных, встраиваемых и потребительских  устройствах выявлено 19 уязвимостей, эксплуатируемых через отправку специально оформленных пакетов.  Уязвимостям присвоено кодовое имя Ripple20. Некоторые уязвимости также проявляются в TCP/IP-стеке KASAGO от компании Zuken Elmic (Elmic Systems), имеющем общие корни c Treck... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53170
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от d (??), 16-Июн-20, 23:00	+33 +/–
> В проприетарном TCP/IP стеке Аж передёрнуло. Это ж надо так упарываться, что бы такое продвигать и на этом зарабатывать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10, #66, #85

2. Сообщение от commiethebeastie (ok), 16-Июн-20, 23:03	+4 +/–
Даёшь ботнет на миллионы устройств.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

3. Сообщение от Аноним (3), 16-Июн-20, 23:08	+4 +/–
Вполне ожидаемо от проприетарного продукта.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от анонимно (?), 16-Июн-20, 23:08	+4 +/–
что мешает взять код из FreeBSD? Не понятно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #16, #44

5. Сообщение от Сейд (ok), 16-Июн-20, 23:10	+4 +/–
Это ужасно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

6. Сообщение от Аноним (6), 16-Июн-20, 23:18	–4 +/–
>В проприетарном Зачем проприетарастопроблемы на опеннете?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #114

7. Сообщение от Аноним (7), 16-Июн-20, 23:19	+2 +/–
Из NetBSD,как сделали в QNX.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17

8. Сообщение от Аноним (8), 16-Июн-20, 23:21	+25 +/–
А кое-кто бредит, что проприетарщина - это сверхнадёжно, её же профи пишут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12, #24, #27, #37, #71

9. Сообщение от Аноним (8), 16-Июн-20, 23:22	+1 +/–
Это корпорации. И такое везде в проприетарных продуктах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #86

10. Сообщение от Cradle (?), 16-Июн-20, 23:24	+3 +/–
самое забавное что интел его похоже в своем AMT в minix встроил, это вот что такое курить нужно было?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #30

11. Сообщение от Аноним (11), 16-Июн-20, 23:41	+2 +/–
Пропаганда всего свободного и открытого!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от ilyafedin (ok), 16-Июн-20, 23:52	–36 +/–
Ничто не надежно на сишке/крестах, пока код пишут человки. Учитывая, что до техсина еще далеко, то выход один - раст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #25, #36, #42, #72, #104

13. Сообщение от Аноним (13), 17-Июн-20, 00:48	+1 +/–
Я уже немного стремаюсь выбирать синих, как говориться "vul#erable by default"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #52

15. Сообщение от Аноним (15), 17-Июн-20, 00:54	+1 +/–
За фиг знает знает сколько лет нашли уязвимость в древней версии
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от qwe (??), 17-Июн-20, 01:04	+1 +/–
что мешает взять lwip или uip, вот в чем вопрос. бсдя то в суровый ембеддед обычно не влазит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

17. Сообщение от antonimus (?), 17-Июн-20, 01:05	–1 +/–
>Из NetBSD,как сделали в QNX. QNX - сейчас Blackberry, а ты не в курсе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #59, #79

18. Сообщение от YetAnotherOnanym (ok), 17-Июн-20, 01:18	+/–
Хы... Там, где "Power grid" должна быть, по идее, опора ЛЭП, а вместо этого там стоит значок антенной мачты.
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Аноним (15), 17-Июн-20, 02:26	+/–
Кстати подвержены только если собраны с некоторыми опциями и компиляторами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

20. Сообщение от anonimous (?), 17-Июн-20, 03:46	+1 +/–
Верно. Если собирать без поддержки IPv4, IPv6, UDP, DNS, DHCP, TCP, ICMPv4 и ARP, то уязвимостей нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (21), 17-Июн-20, 03:48	+/–
>  причиной недавних удалённых уязвимостей в подсистемах Intel AMT и ISM, Ну вот. Это же и обсуждали пару лет назад. Вот, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

22. Сообщение от Аноним (21), 17-Июн-20, 03:49	+/–
Я к тому, случайно ли эти уязвимости там? И не даром гугл на своих хромбуках делает кастомную загрузку без всех этих аналов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от Тот_Самый_Анонимус (?), 17-Июн-20, 05:19	+/–
Есть и обратное: вера в жипеель, мол в открытом коде сразу все баги видны, не то что в этом вашем коммерческом софте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #29, #106

25. Сообщение от Аноним (25), 17-Июн-20, 06:02	+4 +/–
На котором не напишешь ни один TCP/IP-стек без unsafe?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

26. Сообщение от Аноним (26), 17-Июн-20, 06:39	+/–
> двойном освобождении памяти Кто в курсе? Расскажите подробнее. Ядро, нормальной, ОС при каждом освобождении памяти должно затирать освобождаемую область памяти, чтобы при её выделении другому процессу к нему не попали никакие данные.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #43

27. Сообщение от Аноним (-), 17-Июн-20, 07:44	+/–
> это сверхнадёжно, её же профи пишут. Ну, вот, пишут, надеясь что никто не потыкает палочкой. "Не проктило, вычеркиваем".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

29. Сообщение от Аноним (-), 17-Июн-20, 07:48	+3 +/–
Открытый код в последнее время сильно активнее тестируют, однако. Можно вон какому-нибудь каверити на автомате вгрузить. А с проприетарным блобом чего делать? На слово поверить жадному корпорасу что тот старался, тестил, фиксил баги и все такое? Да щас, корпорасы жадные и довольно быстро на всю эту фигню забивают в пользу даты начала продаж.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #32

30. Сообщение от Аноним (-), 17-Июн-20, 07:50	+1 +/–
Для начала что надо было курить чтобы вообще ME встроить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #49, #83

32. Сообщение от Тот_Самый_Анонимус (?), 17-Июн-20, 07:51	–3 +/–
А что, верить производителю с открытым кодом, что он тестировал? Или верить кому-то, кто тестировал? Вот для вас, фанатиков, именно вера нужна, без неё никуда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #41, #46, #47, #75, #78

33. Сообщение от Аноним (33), 17-Июн-20, 08:25	+1 +/–
By design скорее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

34. Сообщение от Аноним (34), 17-Июн-20, 08:33	+1 +/–
>В проприетарном TCP/IP стеке Treck выявлено 19 уязвимостей Это именно то, то что должен знать каждый! Дальше не читал...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

36. Сообщение от bOOster (ok), 17-Июн-20, 08:59	+4 +/–
Я никак не пойму, толи те кто за РАСТ агитирует, они че реально верят что сам RUST боги программирования без ошибок чтоли пишут??? Или это просто от недостатка ума?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #39

37. Сообщение от Pahanivo (ok), 17-Июн-20, 09:12	+/–
А кто сказал что проприетарщина не надежна? В нее надежно запихали кучу жучков. ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #48

39. Сообщение от ilyafedin (ok), 17-Июн-20, 09:16	–4 +/–
> Я никак не пойму, толи те кто за РАСТ агитирует, они че > реально верят что сам RUST боги программирования без ошибок чтоли пишут??? > Или это просто от недостатка ума? Просто есть большая разница, когда у тебя весь язык дырявый и надо не забывать писать определнным способом, чтобы не получить уязвимость И когда unsafe-код - лишь сабсет кода Все уязвимости вряд ли получится убрать, но сутощественное их уменьшение - уже хороший результат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #51, #73

40. Сообщение от Ordu (ok), 17-Июн-20, 09:40	+/–
> Кто в курсе? Расскажите подробнее. В курсе чего? Тебя интересует, что такое double free? Повреждение кучи, и последующий UB.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

41. Сообщение от Аноним (41), 17-Июн-20, 10:34	+/–
Ну, когда аргументов нет, тогда и начинаются вера-фанатики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

42. Сообщение от Онаним (?), 17-Июн-20, 10:37	+2 +/–
Запихаете TCP-стек на п**расте в эмбедовку - приходите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

43. Сообщение от Cradle (?), 17-Июн-20, 10:48	+4 +/–
двойное освобождение бывает когда память освободили, а потом по тому же указателю еще раз. Для экономии ресурсов аллокатор не проверяет был ли этот участок уже освобожден или нет и ломает структуру кучи (heap). Выстреливает обычно в совсем другом месте программы и намного позже, и очень сложно поймать из какого места ее поломали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #56

44. Сообщение от pofigist (?), 17-Июн-20, 10:48	+4 +/–
На мой взгляд - очевидно что. Качество кода и его монструозность заточенность под полноценный ПК, с неограниченными ресурсами (ну в разумных пределах). А это - долбанный эмбедед, где каждый бит (не байт!!!) на счету и остальных ресурсов - с воробьиную опу...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #45, #50

45. Сообщение от Cradle (?), 17-Июн-20, 11:26	+1 +/–
ну, про биты это уже зря, там где биты считают всетаки сабж не ставят, в основном с современными техпроцессами embedded сейчас начинается с памятей порядка нескольких килобайт, уже лет 10-15 как. Всякая старая мелочь конечно для поддержки выпускается и в количестве, но стоит снова дорого и разрабатывать под нее экономически не выгодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #57, #60

46. Сообщение от Cradle (?), 17-Июн-20, 11:39	+/–
"не нужно звать, не нужно ждать, а можно взять и почитать"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

47. Сообщение от Аноним (47), 17-Июн-20, 11:48	+2 +/–
Не веришь - протестируй сам, найми аудитора. Код в наличии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

48. Сообщение от Аноним (47), 17-Июн-20, 11:51	+/–
Эт, стопиццот.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

49. Сообщение от Аноним (47), 17-Июн-20, 11:53	+/–
Просто из уважения к ББ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

50. Сообщение от Аноним (47), 17-Июн-20, 11:57	+/–
>А это - долбанный эмбедед, где каждый бит (не байт!!!) на счету и остальных ресурсов - с воробьиную опу... Чуть выше написали уже: lwIP, uIP
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #58

51. Сообщение от Cradle (?), 17-Июн-20, 12:01	+1 +/–
проблема раста к сожалению в том что вы конечно можете на нем написать библиотеку для embedded хорошо и чисто, но 99% пользователей вашей библиотеки тупо не смогут ее интегрировать. Там к сожалению в основном уровень такой дремучий, у них уже от разницы между keil и gcc шок случается, а вы им в проект еще компайлер добавить хотите?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #76

52. Сообщение от YetAnotherOnanym (ok), 17-Июн-20, 12:01	–1 +/–
Кагбэ, синими принято называть МежДелМаш, ващще-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #54, #84

54. Сообщение от Аноним (47), 17-Июн-20, 12:05	+1 +/–
МежДелМаш сине-бело-полосатые
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от Аноним (47), 17-Июн-20, 12:10	+/–
Other BoT devices
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

56. Сообщение от КО (?), 17-Июн-20, 12:11	+/–
> Для экономии ресурсов аллокатор не проверяет был ли этот участок уже освобожден или нет и ломает структуру кучи (heap). Ну это надо быть эпичным преждевременным оптимизатором, чтоб повторное освобождение свободного участка все порушило. Вопрос в том, что при повторном высвобождении можно освободить уже кем-то (а может даже и тобой, но под другие цели) занятый кусок памяти, а тот кто ее занял будет не в курсе и преспокойнеько будет продолжать ей пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #65, #94

57. Сообщение от Аноним (57), 17-Июн-20, 12:15	+1 +/–
И в эти несколько килобайт надо впихнуть много чего, так что байт считать таки надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

58. Сообщение от pofigist (?), 17-Июн-20, 12:23	+/–
Ну я скорей всего думаю что стандартная проблема опенсорца - самому поддерживать очень дорого, платить разрабам - просто дорого, да и обычно они воспринимают заплаченные деньги как донат, за который они никому и ничем не обязаны. Получается что дешевле и надежней взять коммерческий проект...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #61

59. Сообщение от Совершенно другой аноним (?), 17-Июн-20, 12:26	+/–
Так и фирма была QSSL, а не QNX. Как я понимаю, под QNX имелась в виду ОС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

60. Сообщение от pofigist (?), 17-Июн-20, 12:33	+1 +/–
10-15к это уже не эмбедед, а порнография какая-то :) Давно я этим делом не занимался - и тут разжирели до безобразия как я погляжу...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #63

61. Сообщение от Cradle (?), 17-Июн-20, 12:36	+2 +/–
проблема скорее в субьективных оценках, когда менеджеры (да и разработчики порой) не в состоянии сравнить все плюсы и минусы, включается мышление по типу "непонятное меня пугает, а кому я плочу с того могу требовать".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #67

62. Сообщение от Аноним (62), 17-Июн-20, 12:37	+/–
Спасибо, поржал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

63. Сообщение от Cradle (?), 17-Июн-20, 12:38	+1 +/–
да, меньше 8kb сейчас уже не делает чип дешевле
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

64. Сообщение от Anton (??), 17-Июн-20, 12:42	+/–
> администраторам рекомендуется ... запретить IPv6 multicast Дизайнерам IPv6 нравится multicast и они приложили усилия чтобы multicast было нельзя запретить совсем: multicast используется в RA, NDP и других жизненно важных частях протокола.
Ответить | Правка | Наверх | Cообщить модератору

65. Сообщение от Cradle (?), 17-Июн-20, 12:50	+3 +/–
куча это обычно связаный лист, если при повторном освобождении заголовок блока сохранился то там будет указатель на следующий блок, и слишком тупой аллокатор попытается по нему пройти дефрагментировать. Ломается именно структура кучи, и все последующие malloc/free портят ее все больше, пока где-то не выстрелит в той форме как вы описываете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

66. Сообщение от little Bobby tables (?), 17-Июн-20, 12:51	+/–
сделай на дипидикей потом  дергайся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

67. Сообщение от pofigist (?), 17-Июн-20, 14:05	+/–
> проблема скорее в субьективных оценках, когда менеджеры (да и разработчики порой) не > в состоянии сравнить все плюсы и минусы, включается мышление по типу > "непонятное меня пугает, а кому я плочу с того могу требовать". Да нет - просто везде вопрос денег. Риски - тоже деньги. В результате в 4х случаях из 5-ти опенсорц оказывается слишком дорогим. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #92, #111

68. Сообщение от Ананоним (?), 17-Июн-20, 14:22	+/–
"Даёшь больше дырок весёлых и нужных!"
Ответить | Правка | Наверх | Cообщить модератору

69. Сообщение от Аноним (69), 17-Июн-20, 14:40	+1 +/–
> Из заметных целей для атак, в которых используется TCP/IP-стек Treck, можно отметить сетевые принтеры HP и чипы Intel. И тут Intel отметился
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #90

70. Сообщение от Gogi (??), 17-Июн-20, 15:02	+/–
> и вызваны некорректной обработкой параметров с размером данных (использование поля с размером без проверки фактического размера данных), ошибками проверки входной информации, двойном освобождении памяти, чтением из области вне буфера, целочисленными переполнениями, некорректным контролем доступа и проблемами при обработке строк с нулевым разделителем Господи!! Этот стек что, школьники писали что ли?! Неужели столько позорных ошибок может быть в коммерческом софте? Или как всегда - "заказали в Индии"?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #89

71. Сообщение от Gogi (??), 17-Июн-20, 15:09	–1 +/–
> А кое-кто бредит, что проприетарщина - это сверхнадёжно, её же профи пишут Не будь ты такой тупой, как фонатег линуnсов, ты б знал: Проприерастия не всегда пишется профи. Основной продукт пилят профи, побочные либы покупают на стороне. Вплоть до заказа в какой-нть индусячей шарашке. Шарашка пишет либу, С ВИДУ всё работает, а в реальной эксплуатации вылезают все баги и уязвимые места. Если бы профи писали ВСЕ компоненты, софт стоил бы как чугунный мост - поэтому увы, часто мелочи отдают на откуп макакам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #107

72. Сообщение от Gogi (??), 17-Июн-20, 15:13	+2 +/–
Как это ни смешно, но ни Го, ни Раст так и не снискали популярности, хотя за ними стоят "гиганты" ИТ. Потому что языки проектировала студота-танцоры. Они неуклюжие и откровенно, им просто нет места в интыпрайзе. Java, C#, C/C++ - эти мастодонты заняли всё. Маргинальные язычки - с ними есть очень большие риски, да и недостатки самих языков отталкивают даже "пионеров". Странно, что вообще эти го-расты ещё на слуху - такие позорные поделия должны помирать через месяц после вливания в пеар.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #77, #96, #97

73. Сообщение от bOOster (ok), 17-Июн-20, 16:14	–1 +/–
>> Я никак не пойму, толи те кто за РАСТ агитирует, они че >> реально верят что сам RUST боги программирования без ошибок чтоли пишут??? >> Или это просто от недостатка ума? > Просто есть большая разница, когда у тебя весь язык дырявый и надо > не забывать писать определнным способом, чтобы не получить уязвимость > И когда unsafe-код - лишь сабсет кода > Все уязвимости вряд ли получится убрать, но сутощественное их уменьшение - уже > хороший результат. Дырявого языка программирования не бывает. Бывает дыра в мозгах. Если у тебя в практике программирования, как в собственной гигиене, все в порядке и четко расписано, и проверки переполнения стека ты проверяешь/моделируешь как умываешься и чистишь зубы/уши утром то проблем у тебя не будет. А если ты положил болт на все, понятия не имеешь как работает твой алгоритм и к чему может привести - то и раст не поможет. И к сожалению последних, сейчас большинство, выросших их бывших 1С ников и т.п. А в 1С они попали вообще черт знает каким образом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #80

75. Сообщение от виндотролль (ok), 17-Июн-20, 16:49	+1 +/–
тебе же сказали, в "каверити вгрузить". Читать глазами код даже не надо. Понятно, что не каждая уязвимость пахнет, и не каждый пахнущий код — уязвимость. Но чутье подсказывает, что в этом Trecke код весьма сильно воняет. 19 уязвимостей! С выполнением произвольного кода. Такое количество таких эпических CVE возможно только в открытом коде, которым никто вообще не пользуется, даже автор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

76. Сообщение от Аноним (76), 17-Июн-20, 16:49	+/–
> проблема раста к сожалению в том что вы конечно можете на нем > написать библиотеку для embedded хорошо и чисто, но 99% пользователей вашей > библиотеки тупо не смогут ее интегрировать. Там к сожалению в основном > уровень такой дремучий, у них уже от разницы между keil и > gcc шок случается, а вы им в проект еще компайлер добавить хотите? А вы вообще видели чего растовики творили чтобы всего-то stack overflow на cortex M поймать этой шляпой? А то MMU там видите ли нет, а если в обычном лэйауте RAM стэк отрастет и протрет переменные - "тойота" случается. И вот эту тойоту на расте законопатить... охренеть, кастомный линкер? Спецом для? Серьезно?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

77. Сообщение от Аноним (77), 17-Июн-20, 16:54	+/–
> Как это ни смешно, но ни Го, ни Раст так и не > снискали популярности, хотя за ними стоят "гиганты" ИТ. Так разработчики fuchsia постили свои приключения в стране фуфлян^W хайпляндии. И там они походу основательно покушали счастья. Одно дело вопить как %s офигенен и совсем другое попробовать на этом драйвер железки накорябать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

78. Сообщение от Аноним (77), 17-Июн-20, 16:56	+/–
> А что, верить производителю с открытым кодом, что он тестировал? Ну, если кто например вешает себе бэджик каверити с статусом проверки - почему бы ему и не поверить что он и правда им тестировал? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

79. Сообщение от Аноним (77), 17-Июн-20, 16:57	+/–
> сейчас Blackberry, А оно вообще еще живое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #103

80. Сообщение от ilyafedin (ok), 17-Июн-20, 17:00	+1 +/–
> Если у тебя в практике программирования, как в собственной гигиене, все в порядке и четко расписано, и проверки переполнения стека ты проверяешь/моделируешь как умываешься и чистишь зубы/уши утром то проблем у тебя не будет. Об этом уже с десяток лет говорят. Пора бы уже понять, что это не работает, CVE все также появляются и в таком же количестве. Люди допускают ошибки, на то они и люди. Единственный способ от них избавиться - убрать возможность их допускать. Что, собственно, раст и делает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #82, #98, #105, #109

82. Сообщение от Michael Shigorin (ok), 17-Июн-20, 17:36	–2 +/–
Раст убивает людей?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #99, #102

83. Сообщение от Michael Shigorin (ok), 17-Июн-20, 17:39	–2 +/–
Насяльника велел!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

84. Сообщение от Michael Shigorin (ok), 17-Июн-20, 17:40	+/–
То крепко синие (big blue)...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

85. Сообщение от Аноним (85), 17-Июн-20, 18:42	+/–
Завидуйте молча.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

86. Сообщение от Аноним (85), 17-Июн-20, 18:44	+/–
Скажете в линуксах багов меньше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #88, #93

87. Сообщение от Повидло19 (?), 17-Июн-20, 18:48	–1 +/–
Что вы хотите от вещи с названием "Треск"?
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от Сейд (ok), 17-Июн-20, 19:06	+/–
В lwIP меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

89. Сообщение от Аноним (90), 17-Июн-20, 19:24	+/–
Господи!! Gogi не знал, что коммерческий софт всегда некачественен!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

90. Сообщение от Аноним (90), 17-Июн-20, 19:26	+1 +/–
>И тут Intel отметился Вы хотите сказать, что Intel специально в разных частях своей "деятельности" оставляет бэкдоры???
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

91. Сообщение от Корец (?), 17-Июн-20, 19:34	+/–
>5 производителей, среди которых AMD, заявили о неподверженности своих продуктов проблемам.
Ответить | Правка | Наверх | Cообщить модератору

92. Сообщение от Аноним (92), 17-Июн-20, 19:36	+/–
> Да нет - просто везде вопрос денег. Риски - тоже деньги. В > результате в 4х случаях из 5-ти опенсорц оказывается слишком дорогим. :) По факту проприетарщина как видим ничем таким не лучше, писана как курица лапой и всплыло через фиг знает сколько времени.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #100

93. Сообщение от Аноним (92), 17-Июн-20, 19:39	+/–
> Скажете в линуксах багов меньше? В tcp/ip? Да вроде в последнее время ничего подобного в сетевом стэке не попадается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

94. Сообщение от Ordu (ok), 17-Июн-20, 22:03	+/–
> Вопрос в том, что при повторном высвобождении можно освободить уже кем-то (а может даже и тобой, но под другие цели) занятый кусок памяти, а тот кто ее занял будет не в курсе и преспокойнеько будет продолжать ей пользоваться. Такой вариант имеет специальное название "use-after-free". Это разные баги, с точки зрения избегания и профилактики. Они похожи, могут идти совместно, но могут и порознь. Double-free случается, если хочется удалить объект, но неясно откуда это сделать. use-after-free в случаях, когда удаление проведено не полностью: free вызван, но не все указатели почищены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #95

95. Сообщение от Cradle (?), 17-Июн-20, 23:07	+/–
там видимо имелось в виду что где-то в одном потоке делаем free, потом в другом malloc и получаем указатель на тот же адрес, потом в первом потоке еще раз free, а во втором продолжаем использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

96. Сообщение от Аноним84701 (ok), 18-Июн-20, 00:29	+/–
> Как это ни смешно, но ни Го, ни Раст так и не снискали популярности, хотя за ними стоят "гиганты" ИТ. Потому что языки проектировала студота-танцоры. Обозвать Роба Пайка, Кена Томпсона и Брендан Эйха студентотой -- хороший, годный наброс :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

97. Сообщение от flkghdfgklh (?), 18-Июн-20, 01:03	+/–
> Потому что языки проектировала студота-танцоры Создатели Go: Кен То́мпсон (англ. Kenneth Thompson; род. 4 февраля 1943) — пионер компьютерной науки, известен своим вкладом в создание языка программирования C и операционной системы UNIX Роб Пайк (англ. Rob Pike, род. 1956) — разработчик операционных систем и языков программирования, работавший c 1980 года в Bell Labs, где в соавторстве с другим программистом написал графический терминал Blit для Unix, и также позднее участвовал в создании операционных систем Plan 9 и Inferno. Один из создателей кодировки UTF-8 Что ты там еще про студоту будешь кукарекать, русачок?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

98. Сообщение от bOOster (ok), 18-Июн-20, 05:53	+/–
>> Если у тебя в практике программирования, как в собственной гигиене, все в порядке и четко расписано, и проверки переполнения стека ты проверяешь/моделируешь как умываешься и чистишь зубы/уши утром то проблем у тебя не будет. > Об этом уже с десяток лет говорят. Пора бы уже понять, что > это не работает, CVE все также появляются и в таком же > количестве. Люди допускают ошибки, на то они и люди. Единственный способ > от них избавиться - убрать возможность их допускать. Что, собственно, раст > и делает. Так мы РАСТ по выходным и инспектируем ))))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

99. Сообщение от bOOster (ok), 18-Июн-20, 05:57	+/–
> Раст убивает людей?! CELL BROADBAND ENGINE программировать можешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

100. Сообщение от pofigist (?), 18-Июн-20, 12:20	+/–
Эти риски покрыла страховка. А вот сумасшедших, чтоб застраховать риски связанные с опенсорцем - еще не нашлось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

101. Сообщение от Аноним (101), 18-Июн-20, 19:21	+/–
Прочитал как - 19 лет эксплуатируемые
Ответить | Правка | Наверх | Cообщить модератору

102. Сообщение от bOOster (ok), 18-Июн-20, 22:19	+/–
> Раст убивает людей?! программистов...... которвх Сортировка и Поиск Кнута
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

103. Сообщение от antonimus (?), 19-Июн-20, 03:38	+/–
>> сейчас Blackberry, > А оно вообще еще живое? А тебя фиксики забанили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

104. Сообщение от antonimus (?), 19-Июн-20, 03:44	+/–
> Ничто не надежно на сишке/крестах, пока код пишут человки. > Учитывая, что до техсина еще далеко, то выход один - раст. У каждой проблемы есть имя и фамилия. Другого метода надежности не существует. Пока код пишут "человеки". Взрослей, ilyafedin, у того, кто выбирает инструмент, тоже есть имя и фамилия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

105. Сообщение от antonimus (?), 19-Июн-20, 03:48	+/–
> Об этом уже с десяток лет говорят. Пора бы уже понять, что > это не работает, CVE все также появляются и в таком же > количестве. Люди допускают ошибки, на то они и люди. Единственный способ > от них избавиться - убрать возможность их допускать. Что, собственно, раст > и делает. Ну невозможно быть настолько тупым. Или таки возможно? Ни в каком языке программирования невозможно убрать возможность логической ошибки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #108

106. Сообщение от antonimus (?), 19-Июн-20, 03:50	+/–
> Есть и обратное: вера в жипеель, мол в открытом коде сразу все > баги видны, не то что в этом вашем коммерческом софте. Тебе про веру напели или сам сочинил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

107. Сообщение от antonimus (?), 19-Июн-20, 03:53	+/–
> Если бы профи писали ВСЕ компоненты, софт стоил бы как чугунный мост > - поэтому увы, часто мелочи отдают на откуп макакам. Если бы ты был поумнее, не писал бы про чугунный мост.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

108. Сообщение от ilyafedin (ok), 19-Июн-20, 04:08	–1 +/–
>> Об этом уже с десяток лет говорят. Пора бы уже понять, что >> это не работает, CVE все также появляются и в таком же >> количестве. Люди допускают ошибки, на то они и люди. Единственный способ >> от них избавиться - убрать возможность их допускать. Что, собственно, раст >> и делает. > Ну невозможно быть настолько тупым. Или таки возможно? > Ни в каком языке программирования невозможно убрать возможность логической ошибки. Логической - нет А вот всякие переполнения буферов и прочие из-за небезопасности работы с памятью - вполне И пока одни это понимают, другие так и будут уираться в свои сишки/плюсы, делать CVE и убеждат ьсебя в том, что "это просто люди без опыта пишут"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

109. Сообщение от Аноним (109), 19-Июн-20, 13:39	–1 +/–
Ага. И как же это сделать не затрачивая ресурсы машины на проверку всего и вся, в том числе и ненужных? Как пример iptables и shorewall. Первый нужно изучать и легко выстрелить в ногу, "безопасный" и формирует правила для первого. Но видели бы вы эти правила - там если  разработчик ошибется то даже опытный юзер первого не факт, что найдет где именно. Плюс создается много правил на все так сказать случаи в жизни, которые конкретно в этом применении никогда не наступят, а это все ресурсы компьютера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #110

110. Сообщение от ilyafedin (ok), 19-Июн-20, 19:04	–1 +/–
> Ага. И как же это сделать не затрачивая ресурсы машины на проверку > всего и вся, в том числе и ненужных? Как пример iptables > и shorewall. Первый нужно изучать и легко выстрелить в ногу, "безопасный" > и формирует правила для первого. Но видели бы вы эти правила > - там если  разработчик ошибется то даже опытный юзер первого > не факт, что найдет где именно. Плюс создается много правил на > все так сказать случаи в жизни, которые конкретно в этом применении > никогда не наступят, а это все ресурсы компьютера. Странная аналогия, у раста все проверки в compile-time
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

111. Сообщение от Аноним (111), 21-Июн-20, 21:18	+/–
Наоборот, недостаточно дорогим для того, чтобы успешно прятать откаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #112

112. Сообщение от pofigist (?), 22-Июн-20, 16:04	+/–
Ха! Вот уж где откаты рулят, так это при внедрении опенсорца... Там все расходы - "консультации" в основном. Любимая статья откатчиков :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

114. Сообщение от Аноним (114), 22-Июн-20, 16:10	+/–
Чтобы знать чем не пользоваться (стараться избегать, не доверять важное и т.п.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема