https://opennet.me/openforum/vsluhforumID3/139805.html В поставляемых в составе CPython классах распаковки сжатых данных в форматах lzma, bz2 и gzip (lzma.LZMADecompressor, bz2.BZ2Decompressor и gzip.GzipFile) выявлена уязвимость (CVE-2026-6100), приводящая к обращению к памяти после её освобождения. Проблема присвоен критический уровень опасности (9.1 из 10) - в случае успешной эксплуатации уязвимость может привести к утечке информации из памяти процесса или выполнению кода атакующего при распаковке специально оформленных данных...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65202<br> https://opennet.me/openforum/vsluhforumID3/139805.html#61 Tue, 14 Apr 2026 17:36:40 GMT &gt;&gt; Учитывая, что lzma/bz2/gzip под капотом все равно декомпрессию делают чанками и на большинстве современных машин память выделяется с overcommitом, на самом деле даже просто словить MemoryError в данной ситуации - не очень просто (если просто сделать скажем bz2 файл, который декомпрессится в больше данных чем есть оперативки, то процесс просто будет убит OOM Killerом, а не MemoryError).<br>&gt; Можно контейнер отдельный для этого теста сделать.<br><br>Мои рассуждения на тему overcommit и OOM были относительно вопросов "есть ли готовый эксплоит" и "насколько реалистичная / значительная эта уязвимость на самом деле", а не "как сделать тест".<br><br>Тащить docker как зависимость CPython просто ради этого теста - так себе идея. Функционала `_testcapi.set_nomemory` вполне достаточно для того чтобы симулировать MemoryError в нужном месте.<br><br>Проблема с тем тестом, который убрали из PRа - не в том как вызвать MemoryError, а в том, как потом однозначно задетектировать, была ли "утечка" указателя или нет. Тот тест, который исходн https://opennet.me/openforum/vsluhforumID3/139805.html#60 Tue, 14 Apr 2026 17:21:05 GMT Поясните, что это значит, каким таким образом мне выгодны уязвимости в проекте ? Если я правильно вас понимаю, то разве такие вопросы решаются не политикой ? Я имею ввиду что если будет надо, то утекут и сорцы и ключи и политическое решение будет и всё что хочешь. Примеры с защищенными анклавами, тивоизацией мобильных устройств, даже хотя бы взять сорсы крупных закрытых проектов - всё утекает или взламывается.<br>С другой стороны, если посмотреть на то что вы предлагает, это выглядит как страх, заставляющий принимать странные решения. Ведь проблема-то лежит не в уязвимостях как таковых, они всегда зло. И только на этом ресурсе в секции комментов я видел как люди предлагают борьбу на политическом поле инструментами downgrade'а. Больше ни где такого нет.<br>Я не хочу видеть уязвимости ни в чем, чем я пользуюсь. И не понимаю людей, которые пытаются убедить меня что это хорошо, когда поверхность атаки (attack surface) того, чем я пользуюсь, шире для всех.<br> https://opennet.me/openforum/vsluhforumID3/139805.html#59 Tue, 14 Apr 2026 17:15:33 GMT &gt;&gt; Ошибка в библиотеке на языке.<br>&gt; На каком языке? Ты там код на питоне увидел?<br>&gt; Дырень в CPython. CPython это реализация (implementation) питона.<br>&gt; Кроме него есть и другие - IronPython, Jython и тд. В них <br>&gt; есть эта дыра?<br><br>Еще rustpython вспомни. Кстати, где в проде хотя бы один из приведенных используется?<br> https://opennet.me/openforum/vsluhforumID3/139805.html#58 Tue, 14 Apr 2026 17:13:19 GMT &gt; Учитывая, что lzma/bz2/gzip под капотом все равно декомпрессию делают чанками и на большинстве современных машин память выделяется с overcommitом, на самом деле даже просто словить MemoryError в данной ситуации - не очень просто (если просто сделать скажем bz2 файл, который декомпрессится в больше данных чем есть оперативки, то процесс просто будет убит OOM Killerом, а не MemoryError).<br><br>Можно контейнер отдельный для этого теста сделать. <br><br> https://opennet.me/openforum/vsluhforumID3/139805.html#57 Tue, 14 Apr 2026 16:43:14 GMT Ну малформед юникод кидал десятку в бсод (в линуксе он может даже не малформед, у майкрософта свой собственный юникод).<br> https://opennet.me/openforum/vsluhforumID3/139805.html#56 Tue, 14 Apr 2026 16:35:59 GMT &gt; Но что неясно в термине "лень"?))<br><br>Не хочешь делать, не делай вовсе. Лень - это моральный кнут. Раньше рабов кнутом заставляли работать, а теперь придумали слово "лень". Делайте выводы. Почему человеку не "лень" есть, пить, просыпаться по утрам и т.д.? Понятие "лени" возникает тогда когда есть выбор - делать или не делать. А там где природа не дает этого выбора - то и никакой "лени" нет. Отсюда, лень - всего лишь "отрицательный" (нежелательный) выбор и этот выбор - равнозначен и независим. Отсюда между "делать и не делать" никакой разницы нет и то и то можно считать "ленью", просто одна из них отрицательная. Аналогия с истиной, ложь ведь это отрицание истины.<br><br>&gt; Деньги)<br><br>а ну да, я забыл, что они съедобные :)<br><br>&gt; Не уверен что автор цитаты - чувак который разрабатывал юникс и вместе с создателями СИ переписывал его на СИшку - прям таки маникодер.<br><br>А кто он по вашему после таких утверждений? Мы будем, к примеру, воспринимать какого-либо математика, который бездоказательно что-либо утверждает или доказы https://opennet.me/openforum/vsluhforumID3/139805.html#55 Tue, 14 Apr 2026 16:22:35 GMT &gt; В голове у тебя дырень и уже давно.<br><br>Ого какое хамство и агрессия.<br>Вы наверное на СИ пишете?<br><br>А если по делу.<br>В файлах на каком языке нашли уязвимость?<br>Спойлер: это не питон)<br> https://opennet.me/openforum/vsluhforumID3/139805.html#54 Tue, 14 Apr 2026 16:18:50 GMT В голове у тебя дырень и уже давно.<br> https://opennet.me/openforum/vsluhforumID3/139805.html#53 Tue, 14 Apr 2026 15:58:58 GMT &gt;Всё это эдж кейсес, которые в реальных сценариях никак не_проявляют себя. Их устранение чаще всего не_обосновано из-за оверинжиниринга.<br><br>Надо же. Оказывается, нормальная обработка данных сишниками не практикуется, так как они это попросту не умеют.<br>