The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в oFono, эксплуатируемая через SMS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от opennews (ok), 21-Дек-23, 11:18 
В развиваемом компанией Intel открытом телефонном стеке oFono, используемом для организации осуществления звонков, передачи данных через сотового оператора и отправки SMS в таких платформах, как  Tizen, Ubuntu Touch, Mobian, Maemo, postmarketOS и Sailfish/Aurora, выявлены две уязвимости, позволяющие организовать выполнение кода при обработке специально оформленных SMS-сообщений.  Уязвимости устранены в выпуске oFono 2.1...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60326

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в oFono, эксплуатируемая через SMS"  +4 +/
Сообщение от Анонимно (ok), 21-Дек-23, 11:18 
>> Уязвимость в oFono, эксплуатируемая через SMS
>> Aurora

Удобненько

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в oFono, эксплуатируемая через SMS"  +2 +/
Сообщение от Аноним (11), 21-Дек-23, 12:16 
А аврорку то обновлять никто не будут она как вышла сертифицированная так и стоит.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (17), 21-Дек-23, 13:17 
Аврорка под пристальным оком товарища майора. Враги туда не пройдут!
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в oFono, эксплуатируемая через SMS"  +5 +/
Сообщение от Аноним (11), 21-Дек-23, 13:39 
Смска стой раз, два. Уязвимость исправься на счёт три.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от ИмяХ (ok), 21-Дек-23, 14:08 
Так это и не уязвимость вовсе, а намерено оставленный бэкдор как раз для товарищ мaйopa
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в oFono, эксплуатируемая через SMS"  +3 +/
Сообщение от Аноним (32), 21-Дек-23, 14:56 
А как ты это определил? Работаешь майором?
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (78), 22-Дек-23, 12:23 
Он шпион НАТО.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (-), 21-Дек-23, 19:50 
> Аврорка под пристальным оком товарища майора.

Ну это смотря какого майора. Теперь то майоры туда зачастят. Кому разведчик, а кому и шпион, от точки зрения зависит.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

69. "Уязвимость в oFono, эксплуатируемая через SMS"  +1 +/
Сообщение от vitalif (ok), 21-Дек-23, 23:16 
На авроре рут есть? Если нет то это не взлом, а освобождение
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в oFono, эксплуатируемая через SMS"  +1 +/
Сообщение от Аноним (4), 21-Дек-23, 11:49 
Что интересно, обе уязвимости выявлены с помощью AddressSanitizer, а нам кто-то напевал, что такие инструменты неэффективны и прям срочно нужно из-за этого перейти на новый язык.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Анонимус3000 (?), 21-Дек-23, 11:59 
> а нам кто-то напевал, что такие инструменты неэффективны и прям срочно нужно из-за этого перейти на новый язык

Тот факт, что уязвимости этими инструментами могут быть выявлены никто не оспаривал, мне кажется, иначе зачем их используют? Но сколько времени уязвимость присутствовала в коде? Сколько ещё осталось?

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (15), 21-Дек-23, 12:56 
> Но сколько времени уязвимость присутствовала в коде? Сколько ещё осталось?

сколько говорят что надо на раст переписывать - и удобно и быстро и безопасно - вжух-вжух и готово! Но когда доходит до дела магия лапши растворяется.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Анонимусс (?), 21-Дек-23, 13:07 
Хм... какое интересно и, главное, безосновательное утверждение.
У гугл получается перевести разработчиков на Раст, с других языков, за 1-2 месяца, а у тебя магия растворяется...
Предположу, что ты просто неосилятор.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (15), 21-Дек-23, 13:17 
> У гугл получается перевести разработчиков на Раст, с других языков, за 1-2 месяца

так у них магия денег - плати мне и я тоже начну переписывать на раст

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Анонимусс (?), 21-Дек-23, 13:39 
Т.е дело не в том, что язык плохой, а только в деньгах?
А примерно так и подумал)
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (15), 22-Дек-23, 14:00 
> Т.е дело не в том, что язык плохой, а только в деньгах?

дело всегда только в деньгах - мне баги безопасности не мешают абсолютно, платить должны те кому мешают, собственно так и происходит

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (-), 22-Дек-23, 17:08 
> мне баги безопасности не мешают абсолютно

Отличная фраза!
Я добавлю ее в свою табличку "самые глупые отмазки по поводу багов, которые я слышал".

> платить должны те кому мешают, собственно так и происходит

Странно, добавление Хруста в ядро оплачивают корпы, а аноны воют так, как будто у них из кармана кошелек украли.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (15), 22-Дек-23, 18:05 
> Я добавлю ее в свою табличку "самые глупые отмазки по поводу багов, которые я слышал".

сколько драйверов ты переписал на раст ? сколько же тут дурачков бегает с табличками..

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (-), 22-Дек-23, 18:14 
> сколько драйверов ты переписал на раст ? сколько же тут дурачков бегает с табличками..

Целый один и две утилиты! Это немного, но это честный труд. (с)
Но смотря как ты оправдываешь бракоделов - я понимаю почему ИТ в такой заднице.


Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (15), 22-Дек-23, 18:19 
> Целый один

покажешь ?

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в oFono, эксплуатируемая через SMS"  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 13:39 
Кого куда он перевёл? Пруфы будут?даже в ядре фучсии без плюсов не обошлось.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

29. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Анонимусс (?), 21-Дек-23, 14:10 
> Пруфы будут?

Без проблем, вот их блог opensource googleblog com/2023/06/rust-fact-vs-fiction-5-insights-from-googles-rust-journey-2022.html

Смотрим раздел "Rumor 1: Rust takes more than 6 months to learn – Debunked !"
Они взяли программистов с опытом C/C++, Python, Java, Go, or Dart и дали им писать на новом языке.
Причем с Растом раньше имели дело только 13%.

И посмотрели сколько из них освоились без потери продуктивноси.
more than 2/3 of respondents are confident in contributing to a Rust codebase within two months or less when learning Rust.
Т.е 27% увернно писали за 2-3 недели, и еще почти 40% - за два месяца.

Потерь продуктивности при этом замечено не было.
we’ve seen no data to indicate that there is any productivity penalty for Rust relative to any other language these developers previously used at Google

> даже в ядре фучсии без плюсов не обошлось.

Может у них сидит менеджер растохейтер, как анноны тут.
Почему-то для последнего проекта Open Se Cura (который программно-аппаратный) она взяла ядро  seL4 (думаю из-за верификации), а поверх все системное окружение пишется на Раст.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 15:22 
>[оверквотинг удален]
> Причем с Растом раньше имели дело только 13%.
> И посмотрели сколько из них освоились без потери продуктивноси.
> more than 2/3 of respondents are confident in contributing to a Rust
> codebase within two months or less when learning Rust.
> Т.е 27% увернно писали за 2-3 недели, и еще почти 40% -
> за два месяца.
> Потерь продуктивности при этом замечено не было.
> we’ve seen no data to indicate that there is any productivity penalty
> for Rust relative to any other language these developers previously used
> at Google

Я тебе подобную пасту могу накатать. Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал. Для примера возьми qt.

>> даже в ядре фучсии без плюсов не обошлось.
> Может у них сидит менеджер растохейтер, как анноны тут.
> Почему-то для последнего проекта Open Se Cura (который программно-аппаратный) она взяла
> ядро  seL4 (думаю из-за верификации), а поверх все системное окружение
> пишется на Раст.

Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в oFono, эксплуатируемая через SMS"  –3 +/
Сообщение от Аноним (-), 21-Дек-23, 15:43 
> даже гугл с их возможностями не смог на расте написать ос

Может ты просто не понимаешь, сколько стоит денег и занимает времени верификация ядра типа seL4.
Поэтому гугл просто взял готовенькое. А учитывая, что это микроядро на целых "8,700 lines of C and 600 lines of assembler", то по факту всю ось они пишут на расте.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в oFono, эксплуатируемая через SMS"  +2 +/
Сообщение от Аноним (55), 21-Дек-23, 19:38 
Ты бред написал и подменил понятия.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в oFono, эксплуатируемая через SMS"  +1 +/
Сообщение от анонимусс (?), 21-Дек-23, 15:47 
> Я тебе подобную пасту могу накатать.

Ну накатай, кто ж тебе запретит.
Напиши как ты взял людей с питончика или го, и за 2 месяца они начали выдавать С/С++ достойного качества.
Но что-то мне таких историй успеха читать не доводилось, бгг.

> Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал.

Хм... как будто это что-то плохое)
Хотя про готовые либы ничего написано не было, это ты сам додумал.

> Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос.

Не смогла или не захотела?
Думаю у сони хватило бы денег на свою операционку, но они 3ю плойку делали на БСД.
И у эпл денег тоже не мало, но она тоже позаимстовала часть кода.
А что если можно взять готовое, проверненное (если говорить о seL4, то еще и формально верифицированное) и еще и забесплатно?
Та тут любой корп просто заплачет от радости.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

56. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 19:44 
>> Я тебе подобную пасту могу накатать.
> Ну накатай, кто ж тебе запретит.
> Напиши как ты взял людей с питончика или го, и за 2
> месяца они начали выдавать С/С++ достойного качества.
> Но что-то мне таких историй успеха читать не доводилось, бгг.

Может проблему стоит в себе поискать раз не доводилось?

>> Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал.
> Хм... как будто это что-то плохое)
> Хотя про готовые либы ничего написано не было, это ты сам додумал.

Давай покажи мне код на расте гугла, который не использует стандартную либу или карго. Жду.

>> Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос.
> Не смогла или не захотела?
> Думаю у сони хватило бы денег на свою операционку, но они 3ю
> плойку делали на БСД.
> И у эпл денег тоже не мало, но она тоже позаимстовала часть
> кода.
> А что если можно взять готовое, проверненное (если говорить о seL4, то
> еще и формально верифицированное) и еще и забесплатно?
> Та тут любой корп просто заплачет от радости.

Ну то есть какие-то левые отмазы, а по факту сказать не можешь? Ну я так и думал. Ну переписали бы на расте "безопасном" за вечер, там на С 9000 строк кода. Все равно код будет эволюционировать. Возможно дело в чем-то другом, подумай об этом.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (-), 21-Дек-23, 19:59 
> Ну переписали бы на расте "безопасном" за вечер, там на С 9000 строк кода.
> Все равно код будет эволюционировать.

Ты совсем не понимаешь о чем речь? Это ядро верифицировали 11 человеко-лет.
"The total effort for the seL4-specific proof was 11 py."
Плюс еще 9 человеко-лет для разработки методологии, фреймворков и тд.

Чтобы это повторить - нужно будет потратить 6-8 человеко-лет.
"We expect that re-doing a similar verification for a new kernel, using the same overall methodology, would reduce this figure to 6 py, for a total (kernel plus proof) of 8 py."
Если ты хоть что-то в нем поменяешь, то придется переделывать, как минимум частично.

Это не твой ####код быстренько на проде править.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 21:15 
>[оверквотинг удален]
> Ты совсем не понимаешь о чем речь? Это ядро верифицировали 11 человеко-лет.
> "The total effort for the seL4-specific proof was 11 py."
> Плюс еще 9 человеко-лет для разработки методологии, фреймворков и тд.
> Чтобы это повторить - нужно будет потратить 6-8 человеко-лет.
> "We expect that re-doing a similar verification for a new kernel, using
> the same overall methodology, would reduce this figure to 6 py,
> for a total (kernel plus proof) of 8 py."
> Если ты хоть что-то в нем поменяешь, то придется переделывать, как минимум
> частично.
> Это не твой ####код быстренько на проде править.

Загляни в репозиторий фучсии и увидь код ядра zircon и части userspace на С++, который отношение к тому, что ты говоришь не имеет. Есть что сказать?

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (-), 21-Дек-23, 21:39 
Не-не-не, ты уже не сдашь назад.
Ты сам отвечал "Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос." на утверждение про Open Se Cura. А сейчас внезапно про фучсии писать начал.
Давай следи за диалогом и не сливайся.
Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 23:40 
> Не-не-не, ты уже не сдашь назад.

С самого начала об этом говорил. Перечитай тред.

> Ты сам отвечал "Может ты просто не понимаешь, что даже гугл с
> их возможностями не смог на расте написать ос." на утверждение про
> Open Se Cura. А сейчас внезапно про фучсии писать начал.
> Давай следи за диалогом и не сливайся.

Мне лень форкать репу  https://opensecura.googlesource.com/  и смотреть статистику, но там куча с++, как например https://opensecura.googlesource.com/3p/google/pigweed/ https://opensecura.googlesource.com/sw/vec/

Пояснишь за этот код?

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (-), 21-Дек-23, 21:52 
Конечно есть. Фуксию - ее делать начали еще в 2016м.
Точнее еще раньше, в 2016 появилась репа, а сколько ее делали до этого одному гуглу известно. А 1.0 раста появилась только в середине 2015го. Поэтому ядро там на с++.

При этом расткода там сравнимо с с++ (меньше или больше в зависимости от того считать с third_party или нет)
https://www.reddit.com/r/rust/comments/k9r3s4/fuchsia_lines_.../
Данные за 2020, уверен что с того момента еще больше дыряшки выкинули на мороз.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

77. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от fuggy (ok), 22-Дек-23, 11:15 
А что на Carbon они уже забили?
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

85. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Анонимусс (?), 22-Дек-23, 14:37 
С карбоном ситуация интереснее)

Смотрим их README.md на github com/carbon-language/carbon-lang
Existing modern languages already provide an excellent developer experience: Go, Swift, Kotlin, Rust, and many more. Developers that can use one of these existing languages should.

Т.е создатели карбона сами советуют использовать другие языки где можно, а вот где совсем "не можна" - то там использовать его.
Думаю у них экспертизы больше и их словам я поверю)

И второй аргумент против - carbon-lang#project-status
Carbon Language is currently an experimental project. There is no working compiler or toolchain.
Это конечно исправимо (время + деньги), но в данный момент ситуация такова.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Вы забыли заполнить поле Name (?), 22-Дек-23, 20:26 
> А что на Carbon они уже забили?

Carbon пилится отдельно. На последних конфах по плюсам о нем есть выступления. Ищи на ютупе.

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

9. "Уязвимость в oFono, эксплуатируемая через SMS"  –4 +/
Сообщение от Аноним (9), 21-Дек-23, 12:12 
Между «выявлены» и «не допущены» есть существенная разница.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (11), 21-Дек-23, 12:15 
Подробно про неё расскажу гуру наш.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (4), 21-Дек-23, 12:16 
Добавь в makefile -fsanitize=address и эта "существенная" разница сводится к нулю.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

66. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (-), 21-Дек-23, 23:11 
> Добавь в makefile -fsanitize=address и эта "существенная" разница сводится к нулю.

К сожалению это добавит основательно кода и аппетитов к RAM и получится нечто среднее между явой и дотнетом. Так то работает - но не бесплатно по ресурсам, мягко говоря.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Анонимусс (?), 21-Дек-23, 12:41 
Мой опыт показывает "если что-то делать не обязательно - то это делаться не будет"

Это можно решить только 'насилием' со стороны например лида, корорый делает CI так, что без прохождения тестов вмерджить ПР будет невозможно.
Это отлично работает в проприетаре, где есть четкая иерархия 'кто главный' и мотивация денежкой.
Можно придумывать правила и заставлять всех им следовать.

А вот в опенсорсе с этим сложнее, если будешь вводить какие-то жесткие правила, то разработчики могут просто свалить.
Или просто будут массово забивать.

В общем инструмент отличный, а вот применение как получится.
Почти как с ремнями безопасности в автомобиле))

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

24. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Andrey (??), 21-Дек-23, 13:45 
В OpenSource и Free Software проектах ничто не мешает добавить санитайзеры в CI и сделать прохождение тестов необходимым условием принятия PR.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (26), 21-Дек-23, 13:53 
>Это можно решить только 'насилием'
>где есть четкая иерархия 'кто главный'
>Можно придумывать правила и заставлять всех им следовать.

А латексный костюмчик, ошейничек и плёточку покажете?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

30. "Уязвимость в oFono, эксплуатируемая через SMS"  +2 +/
Сообщение от Анонимусс (?), 21-Дек-23, 14:18 
Хм... те понятие иерархия у тебя ассоциируется только латексом, ошейником и плетками?
Не буду осуждать твои девиации, это твое личное дело.

Для меня еще есть "военная иерархия", "полиномиальная иерархия" и тд.
Если тебе не нравится это слово, давай заменим его на "субординация".

И да, даже в опенсорсе термин «Великодушный пожизненный диктатор» BDFL, появился не просто так.
Должен быть кто-то, кто возьмет на себя ответственность в принятии решений.
И кого потом будут ругать если "все пошло не так".

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Tron is Whistling (?), 21-Дек-23, 14:04 
Хуже фанатиков какой-либо фигни могут быть только коммерчески заинтересованные фанатики какой-либо фигни.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (11), 21-Дек-23, 12:07 
Телефонный стек настолько сложный что никто кроме большой компании не может его развивать в том числе и из-за патентов.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в oFono, эксплуатируемая через SMS"  –2 +/
Сообщение от Анонимусс (?), 21-Дек-23, 12:11 
Первая
extract_bcd_number(pdu + *offset, byte_len, out->address);                      // overflow within extract_bcd_number(), addr_len is from SMS PDU

Вторая
memcpy(out->submit_err_report.ud, pdu + offset, expected); // overflow here

А впрочем я совершенно не удивлен (с)

В этой истории радует то, что кто-то начал использовать санитайзеры.
Осталось только сделать их применение обязательным, например на СІ.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в oFono, эксплуатируемая через SMS"  +1 +/
Сообщение от Аноним (-), 21-Дек-23, 12:17 
Жалко только не написали сколько эта "незакладка" спокойненько жила в коде.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в oFono, эксплуатируемая через SMS"  +4 +/
Сообщение от фнон (?), 21-Дек-23, 14:45 
Список коммитов отлично показывает качество разработки
ЧИтать снизу вверх
2023-08-24    handsfree-audio: Quiet warning
2023-08-24    sms: Silence warning
2023-08-24    voicecall: Silence warning
2023-08-24    atmodem: Silence warnings
2023-08-24    isimodem: Silence warning
2023-08-24    mbimmodem: Quiet bogus warning
2023-08-24    build: Enable building with sanitizers
Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором  –4 +/
Сообщение от Аноним (33), 21-Дек-23, 15:03 
Ответить | Правка | Наверх | Cообщить модератору

35. Скрыто модератором  +3 +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 15:25 
Ответить | Правка | Наверх | Cообщить модератору

38. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 21-Дек-23, 15:47 
Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором  +/
Сообщение от nox. (?), 21-Дек-23, 17:34 
Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором  +/
Сообщение от фнон (?), 21-Дек-23, 17:52 
Ответить | Правка | Наверх | Cообщить модератору

49. Скрыто модератором  +/
Сообщение от Аноним (49), 21-Дек-23, 18:02 
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

51. Скрыто модератором  +/
Сообщение от Аноним (-), 21-Дек-23, 18:13 
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в oFono, эксплуатируемая через SMS"  +2 +/
Сообщение от nox. (?), 21-Дек-23, 17:37 
Если нет способностей освободить столько же памяти, сколько выделено, проконтролировать ввод и указатели на элементы массивов, может, вы выбрали не ту профессию?
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

50. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (49), 21-Дек-23, 18:03 
Срочно выписывай из программистов всех, вплоть до Ричи, не ошибешься.
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 19:46 
> А дыряшки, что в си, что с плюсах, вас не достали?
> Лучше бы не писал тупые комменты, а предложил бы как заставить ылитку
> погроммирования проверять входные данные и не выходить за пределы массивов.

Лол. Ты сейчас пишешь из под бразуера на с++, в котором каждый релиз закрывается N уязвимостей. Сначала откажись от всего этого софта, напиши аналоги, а потому уже открывай рот.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

60. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (-), 21-Дек-23, 20:08 
Ахаха, как же быстро ты опустился до "сперва добейся"))
Я пишу из браузера где уже 14.7% кода на расте (и 17.9% на плюсах).
И чем больше его будет, тем меньше будет дыр.

> напиши аналоги

Вот аналоги как раз пишутся прямо сейчас - можно в соседнюю тему заглянуть.
Только почему-то у фанатиков дыряшек от этого неиллюзорно подгорает.

> а потому уже открывай рот.

Прям не удивительно, что такое б#дло мне лезет рот закрывать))

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в oFono, эксплуатируемая через SMS"  +3 +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 21:04 
> Ахаха, как же быстро ты опустился до "сперва добейся"))
> Я пишу из браузера где уже 14.7% кода на расте (и 17.9%
> на плюсах).

Из огнелиса чтоль? Дык там большинство кода на безопаснейшем js.

> И чем больше его будет, тем меньше будет дыр.

Мечтать не вредно.

>> напиши аналоги
> Вот аналоги как раз пишутся прямо сейчас - можно в соседнюю тему
> заглянуть.
> Только почему-то у фанатиков дыряшек от этого неиллюзорно подгорает.

Ты ссылку дай про что речь, фанатик растишки, ты наш. Про очередной переписанный и так работающий дравйвер в 100 строк или код на спутнике рядом с ядром на С от студентов?  

>> а потому уже открывай рот.
> Прям не удивительно, что такое б#дло мне лезет рот закрывать))

Снежника обиделась? Можешь пожаловаться на нарушение СoC.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в oFono, эксплуатируемая через SMS"  –1 +/
Сообщение от Аноним (-), 21-Дек-23, 21:31 
> Про очередной переписанный и так работающий дравйвер в 100 строк или код на спутнике рядом с ядром на С от студентов?  

Да про что угодно. И про драйвер, и про спутник.
И про Arti (замена либы Tor) num=58231 и предыдущие
И про Rusticl (замена Clover) num=58114
И про замену компонент в андроиде.
И про бэкенд компилятор Mesa.
И про WebRende и другие компоненты лисы.
Ну и конечно все темы про принятие раста в ядро - тут уже ссылки давать не буду, их была куча начиная с ядра 6.1
Везде горение, нытье, иногда нытье с горением.

> Снежника обиделась? Можешь пожаловаться на нарушение СoC.

Обиделся? Да разве на убогих обижаются.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 23:58 
>[оверквотинг удален]
> Да про что угодно. И про драйвер, и про спутник.
> И про Arti (замена либы Tor) num=58231 и предыдущие
> И про Rusticl (замена Clover) num=58114
> И про замену компонент в андроиде.
> И про бэкенд компилятор Mesa.
> И про WebRende и другие компоненты лисы.
> Ну и конечно все темы про принятие раста в ядро - тут
> уже ссылки давать не буду, их была куча начиная с ядра
> 6.1
> Везде горение, нытье, иногда нытье с горением.

Это называется слашу звон, да не знаю где он. Ты можешь посмотреть по статистике, что ff написан на безопаснейшем js. А сам js на с++. А вот как там поживает бразуер чисто на расте (которым я надеюсь ты пользуешься как истинный фанат)? Как не работал нормально, так и не работает.

Про ядро я молчу. Ты видимо кроме новости дальше не читаешь и в код заглянуть не можешь.

>> Снежника обиделась? Можешь пожаловаться на нарушение СoC.
> Обиделся? Да разве на убогих обижаются.

Не плач снежинка. Попытка переложить ответственность на других не пройдет. Ты слабое звено.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от avsprv (ok), 21-Дек-23, 15:47 
Корпоративная. Защищённая. Своя.
Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором  +/
Сообщение от Аноним (-), 21-Дек-23, 23:13 
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (68), 21-Дек-23, 23:15 
> Корпоративная. Защищённая. Своя.

...choose any two!

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

52. "Уязвимость в oFono, эксплуатируемая через SMS"  +4 +/
Сообщение от Аноним (52), 21-Дек-23, 18:32 
Кстати, ОМП поправило. молодцы
https://lore.kernel.org/ofono/20231221141638.19774-1-d.grigo...
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от 123 (??), 21-Дек-23, 18:35 
хоть кто-то готов мешки ворочать
Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (74), 22-Дек-23, 06:05 
Круто. Молодцы.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

73. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (73), 22-Дек-23, 05:50 
Вместо того чтобы писать на c++ и не обмазываться указателями на каждый чих они выбрали Си и обмазывание указателями. Их выбор. Интересно кто-нибудь ради опыта не проверял код в PVS-Studio? Я так полагаю разработчики Aurora этого не делали, но они и понятно им же нужна коммерческая лицензия.
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (74), 22-Дек-23, 06:05 
А почему не Rus...
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (78), 22-Дек-23, 12:42 
Потому что Eng
Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Пряник (?), 22-Дек-23, 09:43 
Принимать недоверенные данные через С/С++ не в песочнице или переписать на расте? Муки выбора...
Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Аноним (78), 22-Дек-23, 12:37 
Проверять данные.
Ответить | Правка | Наверх | Cообщить модератору

83. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 22-Дек-23, 14:06 
Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в oFono, эксплуатируемая через SMS"  +2 +/
Сообщение от Анонимусс (?), 22-Дек-23, 14:22 
Есть еще вариант писать на С/С++, сипрользоваться всяие смартпойнтеры или их суррогаты (
libcsptr), обмазываться стат и динамическими анализаторами, прикруить их к CI и прогонять тесты после каждого коммита, отключить варнинги и кидать ошибки, запретить неиспользуемые переменные, включить линтер ...

Но кто будет этим всем заморачиваться?
Сишка взлетела тк была проста по сравнению с ассемблером и другими своими конкурнетами/предками, на ней можно научить программить даже бибизяну, "х-к, х-к и в продакшен" так коде еще и переносимый между платформами. Что-то типа пыхи или JS, но 50 летней давности.
А то что там будут баги?.. зато посмотри как быстро! а лет через 30 потомки найдут и исправят.

Так что мое мнение - проще использовать язык-который-нельзя-упоминать-вслух (а то набегут фанатики дыряшек)

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

92. "Уязвимость в oFono, эксплуатируемая через SMS"  +/
Сообщение от Пряник (?), 25-Дек-23, 12:04 
Многим погроммистам достаточно, что их код хотя бы запускается и что-то делает. Это показатель выполненной работы, значит можно идти за зряплатой.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру