Компания Cisco опубликовала новые выпуски свободного антивирусного пакета ClamAV 1.4.2 и 1.0.8, в которых устранена уязвимость (CVE-2025-20128). Уязвимость вызвана переполнением буфера в коде разбора файлов с содержимым в формате OLE2 (Object Linking and Embedding 2), которое удалённый неаутентифицированный атакующий может использовать для отказа в обслуживании. Проблема проявляется начиная с выпуска ClamAV 1.0.0 и выявлена в процессе fuzzing-тестирования проектом OSS-Fuzz...Подробнее: https://www.opennet.me/opennews/art.shtml?num=62620
Ну вот, опять они исправлять начинают. Нет чтобы новых фич приделать, или пофиксить имеющиеся тикеты. Когда коту нечего делать, он начинает исправлять уязвимости. Да и какой смысл? Все равно уязвимостей меньше не станет.
> пофиксить имеющиеся тикеты.Исправление уязвимостей относится к этой же категории.
> Все равно уязвимостей меньше не станет.
Лечиться тоже не будете? Ведь всё равно в нас внутри сотни возбудителей всяких болезней.
И есть не надо: всё равно всё в туалет уйдёт.
С вашей логикой и жить не стоит: всё равно умирать.
Мде... Переполение буфера в антивирусе...
Как же так???Languages C 81.2%
А, ну т.е. ничего удивительного!Теперь посмотрим фикс: github.com/Cisco-Talos/clamav/commit/98882f5f019ded3b96bacc17a9d1d65fb96dd686#diff-71da814e8ad6aab63e06be64d291a9a2ea7edcf1cbb5994217cdf4de8e84c436L1839
Предположение оказалось верным))
libclamav/ole2_extract.cfor (; writeIdx <= (leftover + bytesToWrite) - 16; writeIdx += 16, decryptDstIdx += 16) {
for (; writeIdx + 16 <= leftover + bytesToWrite; writeIdx += 16, decryptDstIdx += 16) {Лучшие погромисты на лучшем язычке не смогли посчитать размер буфера правильно. Никогда такого не было и вот опять!
Причем тут язык?
> Причем тут язык?Ахаха! Да ладно?!
Ну разумеется не причем!
Это просто погромистЪ неправильный попался)))
А йезычог, в котором из коробки даже нормальных буферов нет, он вот абсолютно не причем))
Дурачки, верящие в безопасные языки, быстро закончатся, когда на этих языках начнут писать программы, которым будут пользоваться людей чуть больше, чем парочка опеннет-истеричек, и в этих программах, соответственно, станут регулярно находить уязвимости. Для языка Си, на котором написано 90% всех, десятки лет используемых человечеством, программ, времена, когда можно было хватать всё, что плохо лежит, не проводя аудита, закончились.
Короче, это не программисты неправильные, это бизнес процессы хреновые, и никакой волшебный язык это не исправит.
> программы, которым будут пользоваться людей чуть больше, чем парочка опеннет-истеричекинфраструктура cloudflare, бекэнд discord, bluetooth-стек android и ещё бог знает сколько "невидимых" проектов - это тоже программы для истеричек с опеннета?
Да вот не знаю, зачем кому-то инфра клаудвафли и бэк дискорда.
И тем более огороженный от термукса стек андроида, если бы был блюз - я бы уже давно синхронизировался с андроидом через блютуз-версию нетката.
> зачем кому-то инфра клаудвафлиЗатем что условные пол-инета через клаудфарю проксятся.
> И тем более огороженный от термукса стек андроида, если бы был блюз - я бы уже давно
> синхронизировался с андроидом через блютуз-версию нетката.Потому что он просто работает на сотнях тысяч девайсов.
А то что именно у тебя какие-то "особенные" потребности, ну так как раз на это всем по - таких прдликов полторы калеки.
> Для языка Си, на котором написано 90% всех, десятки лет используемых человечеством, программА не много ли ты берешь на себя, парниша? Я бы хотел увидеть пруфы про 90%.
Потому что как-то так получается, что на дыряшке сейчас осталось МК (хотя и их переводят на плюсы), всякое старье, написанное еще до плюсов, и "особенные" проекты вроде ядра с не признающим ошибок айм-финнишЪ.
А весь софт сейчас пишут на плюсах и других языках.> времена, когда можно было хватать всё, что плохо лежит, не проводя аудита, закончились.
Конечно закончились. Проблема, что язык убог и не рассчитан на ту сложность софта, которая есть сейчас. Ну а погромисты как писали на си 30 лет назад, так именно так сейчас и пишут.
А других у нас нет.> это бизнес процессы хреновые, и никакой волшебный язык это не исправит.
Вот бизнес все и решит. Стоит ли платить сишникам за очередное сверхурочное исправление CVE, тонны фаззитестинка и обмазывание санитайзерами, или перейти на более современные решения, хотя бы на плюсы.
Как плюсы вам помогут писать безопасный код, если это просто ООП-надстройка над C? Они же такие же опасные в плане выстрела себе в ногу, как и чистый C. Фантазёр вы, баненька, ох фантазёр!
> если это просто ООП-надстройка над C?Кекспертиза анонов опеннета просто поражает!
Это когда было? Во времена C++98? Попробуйте современный c++, хотя бы с++17.
И после него, от сишки у вас будут приступы тошноты, если еще нет))> Они же такие же опасные в плане выстрела себе в ногу, как и чистый C.
Не правда.
В плюсах есть RAII. В плюсах есть структуры данных из коробки.
Строки есть (насколько они удачные - уже другой вопрос).
Да, плюсы, к сожалению, слишком много взяли от си и пытаются тянуть совместимость с ней до сих пор, хотя уже местами она нарушена.
Но и разница между языками огромна.
> Короче, это не программисты неправильные, это бизнес процессы хреновые, и никакой волшебный
> язык это не исправит.Ну вот есть такой язык Erlang, на нам писаны действительно сложные системы, которые работают по 25 лет без единого сбоя и нагружены по полной, это вам не антивирус.
И ничего, живы как-то, обеспечивая надежность девять (!) девяток (естественно, не только благодаря языку, а имея дублирующие узлы; но никакие Цэ не позволяет вам так же), при этом имея hotload на борту, позволяющий спокойно обновлять систему. А так же язык позволяет строить настоящие масштабируемые распределённые приложения, а не вот эти поделки.
Так что очень даже зависит от языка, ничего подобного на всяких C/C++ вы добиться не сможете никогда.
Для примера приведу тот же WhatsApp:
* более миллиарда активных пользователей
* 42 миллиарда сообщений в день
* 1.6 миллиарда отправленных изображений в день
* 250 миллионов отправленных видео в день
Всё это обеспечивала команда из 50 инженеров. А теперь оглянитесь, пересчитайте своих инженеров и потом посмотрите на свою нагрузку. В Авито, например, работает 10000 человек и их нагрузка даже и близко не стоит к этой (с их же сайта: до 100млн [это рекорд, в среднем 82 млн] активных объявлений и до 2 млн новых объявлений в день; 366 млн визитов в месяц).Так что язык очень даже решает.
P.S. Ну и да, рекомендую глянуть на количество CVE (и их масштабность) для Erlang и сравнить.
> Ну вот есть такой язык Erlang,Но Erlang, к сожалению, так и остался нишевым. Как и другие языки, вроде Ада.
Потому что там думать нужно, а не фигак-фигак и в прод.> обеспечивая надежность девять (!) девяток
Не пугай их такими словами! Для типикал разраба "старой закалки" если запустилось - хорошо, если не падает сразу на старте - вообще шикарно)) Главное быстро, как какиры из 80х.
Это наезд на корпорастию?! Тогда правильно!
Это просто лишний повод нытикам поныть. Если все перейдут на Раст. Они найдут себе новый повод поныть.
Эээ... Объясните, пожалуйста, что тут "пофиксили"? Просто перенесли член уравнения с права на лево, с точки зрения математики ничего ведь не поменялось.
> Эээ... Объясните, пожалуйста, что тут "пофиксили"? Просто перенесли член уравнения с права
> на лево, с точки зрения математики ничего ведь не поменялось.Если бы оно было signed, то да (но у signed в си свои граблищи)
1 <= 7+8 - 16 (== 0xffffffff == 4294967295, потому как uint32)
vs
1 + 16 <= 7+8
Как же надоели подобные типы. Даже отвечать уже таким не хочется, но я все же отвечу: язык тут не причем, тот кто писал код, вот к нему и претензии. Думаешь на твоем расте такого быть в принципе не может? Да так же будут на от*бись писать программы, и запомни мои слова, эти самые боровы будут обходить и писать в ансейфах. Просто потому что менеджеру надо уже вчера чтоб было все готово, и времени на "безопасТный" код нету.
> Даже отвечать уже таким не хочется, но я все же отвечу: язык тут не причем,
> тот кто писал код, вот к нему и претензии.Да, да, конечно, царь хороший, бояре плохие.
Но вот почему-то практически все уязвимости дыряшки - из-за ошибок работы памятью.
Ты не пытался подумать "а почему так?". Ну или для начала просто подумать?> эти самые боровы будут обходить и писать в ансейфах.
Так там придется ансейф писать. Его видно будет за версту.
А тут просто не с той стороный число написал - и хоба, выход за пределы буфера.> Просто потому что менеджеру надо уже вчера чтоб было все готово
Оправдания, одни оправдания... Все это плохие менеджеры и неправильные погромисты.
Но правильных никто никогда в глаза не видел!
Как происходит спор с типичным растофаном:растофан: фи, переполнение буфера, могли бы использовать раст!
сишник: и что, сразу все логические ошибки пройдут?
растофан: раст не предназначен для защиты от логических ошибок!Как ДОЛЖЕН происходить спор с типичным растофаном:
растофан: фи, переполнение буфера, могли бы использовать раст!
сишник: си не предназначен для защиты от ошибок переполнения буфера!
Не-не-не.
> растофан: фи, переполнение буфера, могли бы использовать раст!
> сишник: и что, сразу все логические ошибки пройдут?
> растофан: ̶р̶а̶с̶т̶ ̶н̶е̶ ̶п̶р̶е̶д̶н̶а̶з̶н̶а̶ч̶е̶н̶ ̶д̶л̶я̶ ̶з̶а̶щ̶и̶т̶ы̶ ̶о̶т̶ ̶л̶о̶г̶и̶ч̶е̶с̶к̶и̶х̶ ̶о̶ш̶и̶б̶о̶к̶!̶ логические ошибки не приводят к порче памяти. На данный момент не существует способа борьбы с логическими ошибками, кроме верификации, но это слишком долго и дорого для массового продукта.Ну и дыряшка тоже не защищает от логических ошибок.
Она вообще ни от чего не защищает ¯\_(ツ)_/¯> сишник: си не предназначен для защиты от ошибок переполнения буфера!
Поэтому сишники продолжают бракоделить и портить память, а растофаны их тыкать в это носов.
Вот и поговорили))
Очень толсто. Регулярно вижу софт на расте, который крашится с сегфолтами, да ценольчеиыре.
Зачем нужен вообще ClamAV, если он делает только сигнатурное сканирование без перехвата вызовов функций в ядре?
проверять почтовые вложения и трафик прежде чем их выдавать виндyзятникaм
>>сигнатурное сканированиеВот для этого и нужен
А для
>>перехвата вызовов функций в ядреВ линуксе есть другие инструменты.
Ну то есть тебя не смущает, что сигнатуру можно очень легко обойти и от этого спасает только эмуляция, я уже не говорю про перехват функций. Нормальные авири каждый чих отслеживают, да обойти можно, но нужно гораздо больше усилий. Так что ClamAV - это бесполезный хлам, которому место в помойке, отсрочит уходот поможет эмуляция кода, но кому нужно этим заниматься, когда есть промышленные варианты)
картина маслом - виндyзятник и чужой монастырь
Это и есть _промышленный_ вариант, лол. Сделан для применения на серверах для сканирования транзитного трафика. На таких серверах не запускают что попало, там набор софта постоянен, иногда можно PID нужного процесса угадать, так что отслеживать системные вызовы смысла большого нет. А там где есть или требуется административно, используют другие механизмы.
Уязвимость была добавлена 3 года назад, в Oct 21, 2022.
Не плохо, не плохо. Тыщщи глаз смотрели не туда.
Но не повезло и дурацкий фаззинг все испортил.
Теперь ее придется заменить на свеженькую "ошибку".
Благо подходящих мест просто море.
> Тыщщи глаз смотрели не туда.Смотрели туда, просто все они шоколадные.
А зачем антивирус под Линукс? Под Линукс же нет вирусов? У меня сложилось впечатление что этот антивирус бесполезен.
Скачай что угодно в npm там вирус.
100 процентов виндовс машин сидят за линуксом, чем и обеспечивается их безопасность.
Сабж это еще один инструмент обеспечения безопасности виндовс-машин на предприятии...
Ну, например, для почтового релея. Вложения емэйлов сканировать.