forum.opennet.ru

"Уязвимости в библиотеке Expat, приводящие к выполнению кода при обработке XML-данных"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимости в библиотеке Expat, приводящие к выполнению кода ..."	+4 +/–
Сообщение от Аноним (2), 20-Фев-22, 11:15
Чем хороши такие уязвимости, что хрен проследишь где они могут проявиться. Кто-то обновит зависимость, но забудет перезапустить приложение, а кто то через много лет узнает, что его взломали через проприетарную программу, статически слинкованную со старой версией libexpat. Да что там проприетарные, куча открытого софта просто код библиотеки встраивает без связывания с библиотекой из дистрибутива (привет firefox).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимости в библиотеке Expat, приводящие к выполнению кода при обработке XML-данных, opennews, 20-Фев-22, 11:12 [смотреть все]

fontconfig тоже юзает, стоило упомянуть, ilyafedin, 20-Фев-22, 11:12 (1)
Чем хороши такие уязвимости, что хрен проследишь где они могут проявиться Кто-т , Аноним, 20-Фев-22, 11:15 (2) //
- Проблема вот в этом Что бы кто-то там не обновлял если риск потерять аднные и, Аноним, 20-Фев-22, 12:24 (9) //
  - Кхм, ну как сказать, всякие требования тб пишутся кровью, не думаю, что данное н, i, 21-Фев-22, 05:31 (71) //
    - Пишушие кровью дважды подумают совать ли свою бошку под пресс контролируемый огр, Аноним, 23-Фев-22, 18:48 (163)
- При статической компиляции, проблема будет только с той одной единственной той з, OpenEcho, 20-Фев-22, 14:47 (15) //
  - Если бы это было так, то уязвимости были бы так не страшны Страшно то, что чере, НяшМяш, 20-Фев-22, 16:09 (20) //
    - Ну так если там забили на эту проблему, то там уже и резвится не на чем ну кроме, OpenEcho, 20-Фев-22, 19:13 (30)
      - Расскажи, малолетний Д имао, как ты проводишь пудит обслуживаемости хотя бы 1к п, Аноним, 20-Фев-22, 21:11 (37)
        
        Ты б сперва научился себя вести как нормальный взрослый человек в общественном м, OpenEcho, 21-Фев-22, 02:25 (61)
        Коллега насчет малолетнего вышел полный пудит Ваш собеседник застал разборки пу, Аноним, 21-Фев-22, 04:02 (68)
  - Собранная с кучей зависимостей может перестать работать после любого изменения в, Аноним, 20-Фев-22, 16:56 (23) //
    - И в современных ostree-based дистрибутивах эта проблема решена Но эникеи на зар, Аноним, 20-Фев-22, 17:40 (26)
      - Nix современнее Ква , Аноним, 20-Фев-22, 18:19 (27)
        
        А по делу есть что сказать, лягуха , Аноним, 20-Фев-22, 18:20 (28)
        
        Так то он по делу и сказал Только современнее guix , Аноним, 20-Фев-22, 22:57 (42)
  - Осталось теперь понять кто из программ - это самое , Аноним, 23-Фев-22, 18:49 (164)
- По идее нужно всё равно посчитать программы которые используют библиотеки таки, kusb, 21-Фев-22, 08:13 (74)
Когда делал свою сборку Tor Browser примерно 5 лет назад, мне стало интересно, д, Zenitur, 20-Фев-22, 11:21 (3) //
- expat безопаснее libxml2, гораздо меньше выявленных проблем с безопасностью за в, Sylvia, 20-Фев-22, 11:25 (4) //
  - Вообще-то они емнип не взаимозаменяемые А так, asmxml безопаснее всего, это все, Аноним, 20-Фев-22, 11:30 (6)
  - Уважаемая Сильвия Я своё сообщение отредактировал уже после вашего ответа Я до, Аноним, 20-Фев-22, 15:55 (19) //
    - Шлифанули красиво, уважаемый аноним , Аноним, 20-Фев-22, 22:59 (43)
      - Ба, какой же это анонимус, зенитарыч собственной персоной Паразитарные зависимо, Аноним, 20-Фев-22, 23:05 (44)
        
        И таки да, зюзероутеры Вас больще не привлекают и перешли на собственные сборки , Аноним, 20-Фев-22, 23:16 (47)
    - я своё сообщение написала скорее в рассмотрении зависимостей для PHP,там есть ва, Sylvia, 21-Фев-22, 10:44 (81)
  - Всего лишь значить что её меньше проверяли и меньше использовали , Аноним, 20-Фев-22, 16:57 (24)
  - Один черт, жирному мегастандарту - куча CVE во всех реализациях Он просто слишк, Аноним, 23-Фев-22, 18:50 (165)
- Зависимости это зло Не надо ни каких зависимостей Пишите код как есть без зоопар, Проффесор кислых щей, 20-Фев-22, 11:39 (7)
- Я тогда спросил людей может, это паразитная зависимость Мне ответили, что я не, Проффесор кислых щей, 20-Фев-22, 11:54 (8) //
  - Виктор Федорыч, Вы Так-то все по делу Плюсую , Аноним, 20-Фев-22, 23:50 (49)
Юникод это вообще классная тема, я так венду сломал без особого труда И куча пр, Аноним, 20-Фев-22, 11:27 (5) //
- примеры пожалуйста , Аноним, 20-Фев-22, 14:32 (14) //
  - Я рад, что ты спросил Это не единственный пример, но других я не помню какие-т, Аноним, 20-Фев-22, 14:58 (16)
  - Элементарно -- инозаказчик, например, требует, чтобы код на си был откомментиров, adolfus, 22-Фев-22, 18:45 (141)
  - Хочешь немного других примеров, тезка Аноним, Aноним и Aнoним - ни разу не тезки, Аноним, 24-Фев-22, 16:21 (174)
- А что там такого сложного чтобы постоянно находить баги в символах Логика превр, kusb, 21-Фев-22, 08:15 (75) //
  - Венда не поддерживает utf8, adolfus, 22-Фев-22, 18:46 (142) //
    - Там кажется более простой и длинный юникод внутри , kusb, 22-Фев-22, 19:07 (143)
      - там utf16le, а это значит, что для записи исходных текстов программ на C и C н, adolfus, 24-Фев-22, 15:30 (170)
Никогда не было и вот, опять , пох., 20-Фев-22, 13:39 (10)
НУ что ж, ещё одна причина переходить на Раст Там ведь обработка UTF8 сразу в s, Rev, 20-Фев-22, 13:45 (11) //
- Раст не просто спасёт от отсутствия проверки, он еще знак правильный подставит г, Самокатофил, 20-Фев-22, 16:41 (21) //
  - И кофе заварит, и туалетную бумагу вовремя предложит , Аноним, 20-Фев-22, 19:08 (29) //
    - Коллега, туалетная бумага - это вчерашний день Нерентабельно и не экологично Пр, Аноним, 20-Фев-22, 23:48 (48)
      - после биде вы жопу феном сушите , gogo, 21-Фев-22, 00:46 (53)
        
        Полотенцем обычным не пробовали , Аноним, 21-Фев-22, 01:13 (54)
        
        Но полотенце, если речь про общественные и рабочие места, в целях гигиены, тоже , Имяреяк, 21-Фев-22, 02:03 (60)
        
        В общественных местах биде не используют Я не припомню лично, чтобы где-то виде, Аноним, 21-Фев-22, 03:53 (67)
        
        Мы с удовольствием доставим вам бумажные полотенца, пригодные для влажной уборки, хернямаркет, 21-Фев-22, 11:10 (82)
        
        Подскажите, а мпх и лицо Вы одним полотенцем вытираете , Аноним, 21-Фев-22, 02:01 (59)
        
        Да, Яндекс, 21-Фев-22, 03:20 (62)
        Да, Mail.ru, 21-Фев-22, 03:21 (63)
        
        Нет ну яндекс и майл понятно, вопрос то к гого был , Аноним, 21-Фев-22, 03:48 (66)
  - Что вы с этим знаком носитесь из новости в новость Покажите откуда взяли , Аноним, 20-Фев-22, 19:18 (31)
- Сейчас в расте всего 2 приличных библиотечки работы с XML, одна быстрая https , Аноним, 20-Фев-22, 19:31 (32) //
  - Дайте угадаю обе тянут зависимости, которые тянут зависимости, которые тянут за, Самокатофил, 20-Фев-22, 20:03 (33) //
    - гадать не надо, все зависимости прописаны на страничках по ссылкамвы неправильно, Аноним, 20-Фев-22, 20:45 (34)
      - unsafe в тыщу раз безопаснее всяких там safe, ведь программист снял с себя ответ, Аноним, 20-Фев-22, 22:40 (41)
        
        А если верить докам раста, с безопасностью все становится ну прмерно как в ся, Аноним, 23-Фев-22, 18:52 (166)
    - Ты не поверишь, там еще LIBC, потом ядро, затем процессор, а над ним человечески, Аноним, 20-Фев-22, 20:45 (35)
- С таким же успехом я мог бы написать Пора переходить на Go К тому же там в фе, Брат Анон, 21-Фев-22, 07:52 (73) //
  - А на в го есть свой аналог extern C Или хотя бы его обсуждение , Аноним, 21-Фев-22, 09:24 (78) //
    - Есть конечно cgo Но из-за преобразования типов между го и С эта балалайка работ, Аноним, 21-Фев-22, 10:39 (79)
    - cgo LDFLAGS -lX11 include C x11 c import C 8230 display C struct__X, PnD, 21-Фев-22, 11:29 (84)
здесь упустили важную деталь Expat написанной на дырявом Си , Аноним, 20-Фев-22, 14:25 (12) //
- С сам по себе - не дырявый, так же как ПХП Это просто инструменты, где поло, OpenEcho, 20-Фев-22, 14:59 (17) //
  - смотрю на плюсоминусы, и вижу мысль кто умеет писать программы -- пишет программ, Аноним, 20-Фев-22, 21:26 (39) //
    - В точку Любая нормальная компания на интервью даже не спрашивает, на каком язык, OpenEcho, 21-Фев-22, 01:55 (58)
      - Большие компании - это сириус бузинесс А расскажите пожалуйста малограмотному од, Аноним, 21-Фев-22, 03:32 (64)
        
        а зачем тебе Все равно ж не возьмут ну то есть малограмотный одиночка никогда в, пох., 21-Фев-22, 11:25 (83)
        
        Пох, разве вопрос был адресован Вам Вы собой для чего каждую дырку затыкаете Щн, Аноним, 21-Фев-22, 11:45 (85)
        
        дурачок, это форум Тут нет личной переписки очевидная Обслуживание железяк или, пох., 21-Фев-22, 12:08 (88)
        
        О гений нарциссизму, Вы совершенно правы Но как входят в диалог порядочные люди, Аноним, 21-Фев-22, 13:15 (93)
        
        дурачок, это - форум Здесь нет диалогов Ты здесь орешь в толпу корпорации не м, пох., 21-Фев-22, 16:30 (107)
        
        Умнящ Вы наш, это не форум, это борда Если Вы орете - это не значит, что ору я , Аноним, 21-Фев-22, 18:18 (110)
        
        б-ть дурачок, ты приперся туда где орут дурачок, диалог на красной площади с , пох., 23-Фев-22, 14:53 (151)
        Орут здесь только эмоционально неустойчивые личности А что по Вашему Базар Так, Аноним, 23-Фев-22, 16:14 (153)
        
        А разве нет А с чего вы взяли, что нормальная компания обязательно должна быть , OpenEcho, 21-Фев-22, 15:37 (104)
        
        Вот я и смотрю, что методы работы знакомые Давайте не будем оттачивать консциен, Аноним, 21-Фев-22, 16:06 (105)
        
        Контекст из чего Из вопроса Большие компании - это сириус бузинесс Да я отв, OpenEcho, 21-Фев-22, 17:32 (109)
        
        Из вопроса Большие компании - это сириус бузинесс Да я отвечаю, то что дума, Аноним, 21-Фев-22, 20:08 (117)
        
        Нет Серьезность бизнеса не коррелирует только лишь с размером Оно связано с об, Аноним, 21-Фев-22, 19:06 (116)
        
        Ну и я о том же, но большая то компания, - по любому укладывается в ваш дефинишн, OpenEcho, 21-Фев-22, 20:22 (118)
        
        Кроме слова дефинишн, никаких разногласий Я согласен со всем, что Вы написали , Аноним, 21-Фев-22, 20:58 (123)
        э вот цель того же яббла или помянутого сосьот-женералю она вообще есть кроме, пох., 23-Фев-22, 15:07 (152)
        
        А вот тут здравое видение Соглашусь , Аноним, 23-Фев-22, 16:41 (155)
      - Вы в молодости полит агитацией часом не занимались Я так понял, что нормальная к, Аноним, 21-Фев-22, 03:45 (65)
        
        у нас как-то в ответ на логическую задачку о взвешивании гаек кандидат заявил чт, пох., 21-Фев-22, 11:50 (86)
        
        Вот в этом вопросе рад приветствовать Вас Так как он адресован был всем Вот об , Аноним, 21-Фев-22, 12:10 (89)
        
        Это техническое собеседование Посчитали что разговор закончен - в конце-концов , пох., 21-Фев-22, 12:40 (90)
        
        Дорогой пох, это Ваши личные догадки или утверждения Я утверждаю, что воронка со, Аноним, 21-Фев-22, 13:27 (96)
        
        это личная история бегите от этих воронок Туда где на собеседовании будут спе, пох., 21-Фев-22, 15:22 (103)
        
        Понял Картина прояснилась Таковы ныне стандарты Это не я придумал и я это не п, Аноним, 21-Фев-22, 18:59 (115)
        
        ну мне пока не попадалось Два варианта - либо тебя сперва обнюхивает hr, просто, пох., 22-Фев-22, 20:30 (145)
        
        а тут зависит от политики неразглашения даже после увольнения Не надо спрашиват, Sw00p aka Jerom, 21-Фев-22, 12:52 (91)
        
        не работай в таких помойках ага, а потом - мы нашли лучшего кандидата И задач, пох., 21-Фев-22, 13:05 (92)
        
        Влезу в Ваш диспут, с вашего позволения Причем здесь это Человек ответил исходя, Аноним, 21-Фев-22, 13:45 (98)
        
        непомойная контора не запрещает специалисту пойти работать по специальности в др, пох., 21-Фев-22, 14:05 (101)
        
        Выше я уже предложил Вашему вниманию пример с сосите женераль и морган стенли К, Аноним, 21-Фев-22, 18:48 (114)
        
        я не уверен что ты просто не врунишка Или более вероятно не в теме - слышал звон, пох., 23-Фев-22, 17:34 (159)
        Пох, знаете в чем между нами разница Вы пытаетесь что-то кому-то доказать и из с, Аноним, 23-Фев-22, 17:40 (161)
        в том что у вас чсв выше щек и вы приписываете это же собеседнику Я ничего тут н, пох., 23-Фев-22, 20:40 (167)
        Офигеть, пох тут по сути дельный курс по отделению совсем-отстой-компаний от бол, Аноним, 24-Фев-22, 16:53 (175)
        Я в таких отродясь не работал Но с аутсорсерами-то приходится иногда контактиро, пох., 24-Фев-22, 17:40 (176)
        
        Совершенно верно Вот по Вам сразу видно, что представление о сириус бузинессе у , Аноним, 21-Фев-22, 13:31 (97)
        И много претендентов на такое место Попахать на халяву, - это вы здорово приду, OpenEcho, 21-Фев-22, 18:45 (112)
        
        Согласен с коллегой и свою точку зрения раскрыл в коментах выше Почемы Вы и пох , Аноним, 21-Фев-22, 20:36 (119)
        
        Пох я думаю сам за себя ответит, а для меня это не укладывается несколько в рамк, OpenEcho, 21-Фев-22, 21:16 (125)
        
        Стоп Я никогда на бордах регистрантом не был, поэтому не знаю как организован и, Аноним, 21-Фев-22, 21:57 (127)
        
        Ну, да, я тоже здесь как и все братья анонимы, не регистрирован по причине не со, OpenEcho, 21-Фев-22, 22:26 (130)
        
        на эту категорию и ваши кидки расчитаны, в место того, чтобы этим зеленым програ, Sw00p aka Jerom, 22-Фев-22, 07:05 (136)
        
        Индусских коллег обогатить решили Все начнут хеллоуворлды на паттернах пейсать , Аноним, 22-Фев-22, 12:03 (137)
        а зачем вам программист если индусы за них все написали , Sw00p aka Jerom, 22-Фев-22, 12:10 (138)
        Индусский код - есть нарицательное понятие Для понимания посмотрите здесьhttps , Аноним, 22-Фев-22, 20:25 (144)
        а че не работает в итоге То что один индус скопипастил у другого индуса, не отм, Sw00p aka Jerom, 22-Фев-22, 21:27 (147)
        А еще можно обмазываться несвежим и теребонькать себя Пасту не копипащу, уверен, Аноним, 23-Фев-22, 16:45 (156)
        В итоге - не работает В проекте размером побольше хеловрота И непонятно - поче, пох., 23-Фев-22, 20:44 (168)
        и так сойдет, работает - не в лучших традициях, как в Чурчтобегонебыл переп, Sw00p aka Jerom, 23-Фев-22, 21:43 (169)
        ты правда думаешь что я прикалываюсь Это реальность Если очень хочешь - могу т, пох., 24-Фев-22, 17:45 (177)
        Вы забыли добавить Расскрыть потенциальным кандидатам трэйд секрет и отпустить , OpenEcho, 22-Фев-22, 16:23 (139)
        Хотелось тут расписать подробно, но меня остановил один вопрос, который задам ва, Sw00p aka Jerom, 22-Фев-22, 21:38 (148)
        Да Деньги Есть бизнес, задача которого дать другим то, что им надо, а есть сво, OpenEcho, 23-Фев-22, 13:42 (150)
        В любом деле можно и нужно идти дальше и дальше Была у меня одна жена, секс с ко, Аноним, 23-Фев-22, 16:53 (157)
        Я не понял, вы с ней так и не кончили , OpenEcho, 24-Фев-22, 16:02 (173)
        Ожидаемо, ясно Художники разве из нарцистических побуждений рисуют Деньги как ме, Sw00p aka Jerom, 23-Фев-22, 17:36 (160)
        Не, не только, есть и фанатики, которые и за корочку хлеба будут ваять, лижбы за, OpenEcho, 24-Фев-22, 15:57 (172)
        я вам привел пример где я работодатель который предлагает вам писать строчку за , Sw00p aka Jerom, 24-Фев-22, 23:00 (178)
        Так как вам было со строчной буквы, подразумевается, что вопрос не лично к собес, Аноним, 23-Фев-22, 17:02 (158)
        вам платят за количество строк или за конечный продукт или вы сами оцениваете в, Sw00p aka Jerom, 23-Фев-22, 17:52 (162)
        
        К сожалению не всегда верно Есть ленивые умники берущие вопросы с литкода для, OpenEcho, 21-Фев-22, 20:59 (124)
        
        Нет Нет, вы поняли меня не так, как я представляю нормальную компанию, которая, OpenEcho, 21-Фев-22, 16:10 (106)
        
        так может вопросы и настоящие - просто нигде не сказано что другие не задавались, пох., 21-Фев-22, 16:35 (108)
        
        Не знаю, в яблоке не работал, но очень сомневаюсь, что у них сильно отличается о, OpenEcho, 21-Фев-22, 18:30 (111)
        
        написано про инженеров Особенно понравился вопрос тестировщику на тему нарисуй, пох., 21-Фев-22, 18:46 (113)
        Интересная логика Т е водитель должен тесты инопланетные проходить, а скажем c, Аноним, 21-Фев-22, 20:48 (122)
        
        За cio не знаю, но вполне разделяю ваше мнение, простые задачки на сообразилку и, OpenEcho, 21-Фев-22, 22:13 (129)
        
        Шаблонностью и отсутствием многих вводных Недостаток внешних факторов для ана, Аноним, 22-Фев-22, 00:11 (133)
        
        На самом деле ирл по-разному Могут закидать только этими тестами и по делу ниче, Аноним, 21-Фев-22, 20:42 (121)
        
        Выше уже обсудили и прояснили Таки зачем говорить обо всех Говорите то, с чем л, Аноним, 21-Фев-22, 20:39 (120)
        
        На вторую сорри, не смотрел Ну а что в тех вопросах, - задачки на сообразилку,, OpenEcho, 21-Фев-22, 21:53 (126)
        
        Мне ни разу не довелось в жизни проходить собеседования в качестве соискателя Н, Аноним, 21-Фев-22, 22:09 (128)
        
        Не надо понимать мои слова досконально, явно если вы будете давить тестера, то, OpenEcho, 21-Фев-22, 23:10 (131)
        
        Вот об этом я и говорю Мне здесь пример поха почему-то в голову пришел Если че, Аноним, 22-Фев-22, 00:02 (132)
        
        Согласен, дискомфорт, а с другой стороны, а как еще проверить Дипломы могут быт, OpenEcho, 22-Фев-22, 00:19 (134)
        Согласно утвержденного протокола Я только против этих задачек про инопланетян , Аноним, 22-Фев-22, 00:45 (135)
        Под инопланетянами может быть скрыта реальная задача, из практики, которую расск, OpenEcho, 22-Фев-22, 16:41 (140)
        Если мы говорим о корпорациях, они работают в рамках воронки, как методологии И, Аноним, 22-Фев-22, 20:37 (146)
        Не правда Есть корпорации, где не нагинают под стандард, а приветствуют новшест, OpenEcho, 23-Фев-22, 13:14 (149)
        Фистбучеки Ну для меня это не сурьезная компания Я всю жизнь серьезными вещами, Аноним, 23-Фев-22, 16:35 (154)
        Наверное на этом сообщении и закончим, а то мне как то даже не ловко стало, с та, OpenEcho, 24-Фев-22, 15:40 (171)
    - кто умеет писать программы -- пишет программы, и иногда делится опытом в коммен, FFARHITECTOR, 21-Фев-22, 04:09 (70)
- Ну, все Мир спасён - надо только переписать на rust Делать это конечно же я не , User, 20-Фев-22, 17:20 (25)
- Си не дыряв, дырявы программисты, в чьих ошибках виноваты компиляторы, интерпрет, Аноним, 20-Фев-22, 21:19 (38) //
  - Поправочка программисты на си обычно не дырявы И смуззи не пьют И даже коротк, Аноним, 20-Фев-22, 23:11 (46) //
    - Да-да, началась песенка про это все неправильные погромисты, а вот правильные , Анонн, 21-Фев-22, 00:26 (51)
      - Коллега, а я разве говорил, что среди олдов не было осечек Статистическая погре, Аноним, 21-Фев-22, 01:16 (55)
  - Так раст он специально для дырявых придуман , Аноним, 21-Фев-22, 13:20 (95) //
    - Поправочка дырявыми для дырявых , Аноним, 21-Фев-22, 13:53 (100)
Это в догонку с прошлого месяца, тоже было 2 дыры Даже в OpenBSD выпустилиэкстр, Аноним, 20-Фев-22, 14:31 (13) //
- Справедливости ради, современный уникод - то еще нагромождение https docs micr, Аноним, 20-Фев-22, 15:23 (18) //
  - Надо вернуться к истокам, когда юникод был простым Make UNICODE great again , Анонимно11111, 20-Фев-22, 21:01 (36)
- В январских дырах было заявлено denial of service , а сейчас два рабочих экспл, Аноним, 21-Фев-22, 09:00 (77)
Ой ой 8230 уязвимости тоже 8230 это же фича 8230 наша библиотека не только, Аноним, 20-Фев-22, 23:59 (50)
Скорей бы Си уже запретили, Аноним, 21-Фев-22, 00:39 (52) //
- Скорей бы ядро линукс полностью переписали на раст Главное чтобы успели и как с , Аноним, 21-Фев-22, 01:18 (56)
Выпущена libexpat 2 4 6, в которой исправлена регрессия, вызванная устранением C, Аноним, 21-Фев-22, 08:41 (76)
Зачем это в expat Таким специальные библиотеки должны заниматься Можно с бэкдо, Аноним, 21-Фев-22, 15:00 (102)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру