Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проектом OpenPrinting "	+/–
Сообщение от opennews (??), 16-Июн-23, 11:33
В библиотеках из пакета cpdb-libs (Common Print Dialog Backends), предлагающего фронтэнды и бэкенды для организации работы диалогов вывода на печать и абстрагирования диалогов, используемых в графических тулкитах и приложениях (GTK, Qt, LibreOffice, Firefox, Chromium и т.п.) от различных технологий вывода на печать (CUPS/IPP, облачные сервисы и т.п.), выявлены уязвимости (CVE-2023-34095), приводящие к переполнению буфера при обработке внешних данных... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59304
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 16-Июн-23, 11:33	–4 +/–
Нашли очередную закладку. Одно дело когда заведомо уязвимые компоненты отключаются, и другое, когда их бандлят и насильно впихивают.
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от beck (??), 16-Июн-23, 11:33	+/–
Нормально,  чо. Впрочем,  99,999% программного обеспечения именно таковы...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от Аноним (3), 16-Июн-23, 11:56	+2 +/–
Серия уязвимостей, развиваемых проектом OpenPrinting.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 16-Июн-23, 12:54	+1 +/–
> Впрочем,  99,999% программного обеспечения именно таковы.. ... если оно написано на православной сишечке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12, #24, #33

5. Сообщение от Аноним (4), 16-Июн-23, 12:57	+2 +/–
> выявлены уязвимости ... приводящие к переполнению буфера при обработке внешних данных Угадай язык по тексту отрывку из новости :)
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 16-Июн-23, 13:03	+2 +/–
Как можно обос$аться в программе пишушей в порт принтера поток?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #23

7. Сообщение от Шарп (ok), 16-Июн-23, 13:12	+2 +/–
>scanf и fscanf без проверки или ограничения размера копируемых данных Типикал сишка.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

8. Сообщение от Шарп (ok), 16-Июн-23, 13:12	+3 +/–
Просто нужно взять соответствующий язык программирования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от 1 (??), 16-Июн-23, 14:11	+/–
угу детей бьют по рукам за такие ашипки. Там ещё strcpy И memcpy нет ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #22

10. Сообщение от Аноним (10), 16-Июн-23, 14:48	+1 +/–
Как бы над Сишкой не смеялись, а мне как обычному пользователю нет смысла топить за раст. Во-первых, раст не может некоторых вещей. Во-вторых, сишка спасает нас от кибергулага корпораций.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #28

11. Сообщение от Анонин (?), 16-Июн-23, 15:01	+/–
Обычно пользователю - в первую очередь - нужен софт без ТАКИХ багов. А всякие кибергулаги, лицензионные холиворы и тд. - это уже вторично. > Во-первых, раст не может некоторых вещей Каких?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #13

12. Сообщение от Аноним (12), 16-Июн-23, 15:06	+1 +/–
Как показывает практика java с растом не спасают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #27, #29

13. Сообщение от Аноним (12), 16-Июн-23, 15:11	–1 +/–
Это ты уже за обычных пользователей решил? Молодец, пойдёшь дорогой мозиллы, те тоже раз за разом убирали функционал 1% пользователей, пока не стали филиалом хрома. Внезапно обычный пользователь это не среднее по больнице и даже не медиана, а набор разных групп, в том числе тех кому не нужны кибергулаги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14

14. Сообщение от Анонин (?), 16-Июн-23, 15:28	+/–
Напомню - сишка это не язык полуторапроцентников. На ней пишут кучу коммерческого софта. В той же макос еще куча си где-то в недрах Foundation (всякие CFString и тд) и вычищать богомерзкую оттуда будут еще долго. Это еще куча rtos, мк и тд. И везде можно сделать такую тупую ошибку. > Молодец, пойдёшь дорогой мозиллы Мозилу убили иcтeрички-нищeбpoды, которые хотят бесплатный браузер, но при этом отвергают любую попытку монетизации (типа поиска по умолчанию, покета и тд) и начинают размазывать свое г по интернетам в при каждой попытки мозилы остаться в живых. Мозила вообще существует только на деньги гугла, которому это дешевле чем возиться с антимонопольщиками. Пока еще дешевле. > а набор разных групп, в том числе тех кому не нужны кибергулаги. В том числе 0.5% кому не нужны кибергулаги))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от Анонимусс (?), 16-Июн-23, 15:43	+/–
О, в лучшие погромисты на божественной опять допустили настолько глупую ошибку! Наверное это были ненастоящие погромисты))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #34

17. Сообщение от pashev.ru (?), 16-Июн-23, 18:38	+/–
Разработчики Фортрана не дураки были.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

19. Сообщение от Аноним (19), 16-Июн-23, 20:32	+/–
> использованием функций scanf а чем им snprintf не угодил?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

21. Сообщение от Ivan_83 (ok), 17-Июн-23, 00:53	+/–
Это обратная функция по сути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Ivan_83 (ok), 17-Июн-23, 00:55	+1 +/–
strcpy теперь типа и не нужен, есть более адекватные замены, а memcpy вне конкуренции, это база.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

23. Сообщение от Ivan_83 (ok), 17-Июн-23, 00:56	+/–
Вы путаете ещё с p9100 или как его там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

24. Сообщение от Ivan_83 (ok), 17-Июн-23, 00:57	+/–
Это враньё и вы знаете это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

26. Сообщение от Аноним (27), 17-Июн-23, 03:42	+/–
Судя по самой идеи Common Print Dialog Backends это не последняя уязвимость.
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Аноним (27), 17-Июн-23, 03:50	+/–
Rust принимает ввод в контейнер или срез.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

28. Сообщение от Аноним (27), 17-Июн-23, 04:01	+/–
Никто не мешает Вам написать на Си библиотеку, а потом импортировать из неё, например: let secret_number:u32; let seed = match SystemTime::now().duration_since(UNIX_EPOCH){     Ok(num) => num,     Err(_) => {eprintln!("void seed"); panic!("void seed");}, }; extern "C" { fn srand(_:u32); fn rand() -> u32; } unsafe{     srand(seed.as_secs() as u32);     for _i in 0..(rand()%40+1){rand();}     secret_number = rand()%50; }
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

29. Сообщение от Аноним (29), 17-Июн-23, 04:20	–1 +/–
врун. Еще как спасают. Именно практика и показывает Memory Safe Languages in Android 13 https://security.googleblog.com/2022/12/memory-safe-language...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

31. Сообщение от Аноним (-), 17-Июн-23, 15:27	+/–
В чём были не дураки? Разверни свою мысль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

32. Сообщение от Аноним (32), 17-Июн-23, 22:18	+/–
> Наверное это были ненастоящие погромисты)) Как не настоящие? Как раз настоящие. Погромисты это те кто программируют погром. ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

33. Сообщение от Аноним (33), 18-Июн-23, 10:12	+/–
>если оно написано на православной сишечке Разрешаю переписать все на "правильном" языке. Вперед!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

34. Сообщение от Аноним (33), 18-Июн-23, 10:15	+/–
Щас настоящие придут и все перепишут на правильном... а нет, не придут, это же не язык чесать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема