forum.opennet.ru - "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапись произвольных файлов" (67)

"В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапись произвольных файлов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапись произвольных файлов"	+/–
Сообщение от opennews (??), 05-Янв-26, 12:19
Доступен выпуск проекта GNU Wget2 2.2.1, развивающего переписанный с нуля и полностью переработанный вариант программы для автоматизации рекурсивной загрузки контента GNU Wget. Wget2 предоставляет набор дополнительных опций, поддерживает загрузку в несколько потоков, позволяет использовать доступную функциональность через библиотеку libwget, поддерживает протоколы HTTP/2 и TLS 1.3, даёт возможность загружать только изменившиеся данные, может сохранять данные с серверов потокового вещания, корректно обрабатывает интернационализированные доменные имена и может перекодировать загружаемое содержимое. Утилита wget2 поставляется под лицензией GPLv3+, а библиотека под LGPLv3+... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64561
Ответить \| Правка \| Cообщить модератору

Оглавление

Никогда такого не было и вот опять, Аноним (1), 12:19 , 05-Янв-26, (1)

Получается, в исходном непереписанном вгете этого не было, а после переписывания, Аноним (14), 12:56 , 05-Янв-26, (14) +8
Ребят, когда качаешь через Wget Wget2 с обычного https-сайта , провайдер не вид, Аноним (48), 17:24 , 05-Янв-26, (48) –1

URL видит, содержимое не видит От скачивания броузером особо не отличается , bergentroll (ok), 11:32 , 06-Янв-26, (75)

а чем url внутни http, отличается от содержимого парочкой символов перевода стр, Аноним (77), 13:20 , 06-Янв-26, (77)

Вы правы, URL тоже зашифрован Снаружи только сокет, на который идёт запрос , bergentroll (ok), 15:15 , 06-Янв-26, (78)

Нестареющая классика жанра , Аноним (-), 02:49 , 06-Янв-26, (72)

Этих вгетов развелось еще Подскажите, какой самый трушный и в чем разница , Аноним (2), 12:20 , 05-Янв-26, (2) –1

Ни тот, ни другой на паскале не написан В паскале есть ключ компиляции array ra, Аноним (14), 13:02 , 05-Янв-26, (17) –1

Пф ну у тебя и требования Типикал Сишник даже стандарт не читал Ты еще спроси, Аноним (-), 13:20 , 05-Янв-26, (22) +1

вся суть маркетинга растосекты сходил бы ты в гугл что литебя ещё в проекте не , 12yoexpert (ok), 14:26 , 05-Янв-26, (29) +3

Если ты про stdbool h то типиКАЛ костыли для недоязычка define true 1 define fal, Аноним (30), 14:39 , 05-Янв-26, (30)

Помнится, они долго не могли сообразить, что такое nil, меняя определение нескол, Аноним (14), 16:49 , 05-Янв-26, (43)

P S макрос NULL имеется ввиду , Аноним (14), 16:51 , 05-Янв-26, (44) –1
А определение нуля они определили The macros areNULLwhich expands to an implem, Аноним (46), 17:04 , 05-Янв-26, (46)

Продолжаем хохму Dereferencing a null pointer is undefined behavior in C - вро, Аноним (14), 18:22 , 05-Янв-26, (53)

С одной стороны типа да, но с другой у вас с 99 стандарта оно было implement, Аноним (-), 19:17 , 05-Янв-26, (55)
А если у нас ARM У нас же СИшечка портабельная Чего адепты постоянно жужжат что, Аноним (-), 19:36 , 05-Янв-26, (57)

На каким именно На младших M0-ках по этим адресам может быть отображено ОЗУ Та, Аноним (14), 21:41 , 05-Янв-26, (67)

Скрыто модератором, Аноним (32), 14:55 , 05-Янв-26, (32) +1

тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99 , Совершенно другой аноним (?), 16:33 , 05-Янв-26, (39)

Да, я ж написал про stdbool hОсобенно класно в стандарте прописан размер типа , Аноним (-), 16:48 , 05-Янв-26, (42) –1

Особенно классно, когда делают параметр Bool в многопараметрической функции из к, Аноним (14), 16:55 , 05-Янв-26, (45)

Зато не на паскале с Вооще читая что стандарт, что код удивляешься как оно воо, Аноним (-), 17:17 , 05-Янв-26, (47)

Ну, тогда при чём тут С23 В нём только, если правильно помню, решили, что путь , Совершенно другой аноним (?), 17:50 , 05-Янв-26, (51)

В том что в C23 они смогли наконец то формализовать это самый бул Но он отличает, Аноним (52), 17:57 , 05-Янв-26, (52) –1

C99 6 2 5 Types 2 An object declared as type _Bool is large enough to store th, Совершенно другой аноним (?), 18:32 , 05-Янв-26, (54) +2

А ты, бедненький, не знал, что сишка прекрасно обходилась и обходится 0 и 1 И , Аноним (69), 22:34 , 05-Янв-26, (69) +1

Меня вообще не это интересовало Есть два каких-то wget Зачем Какой из них луч, Аноним (2), 13:41 , 05-Янв-26, (25) –1

Оба хуже https curl se wcurl manual html, Аноним (26), 14:01 , 05-Янв-26, (26) +1

Такой же дырявый хламcurl se docs CVE-2023-38545 html, Аноним (-), 14:49 , 05-Янв-26, (31)

Лучше всех aria2https github com aria2 aria2https aria2 github io , Аноним (41), 16:44 , 05-Янв-26, (41) +4

Без поддержки socks даже через tsocks оно не нужно, в эпоху повсеместных квнвпнв, хата (?), 00:24 , 06-Янв-26, (70)

Потому что в си нет массивов, в нем есть указатели a i это просто синтаксически, Аноним (60), 20:32 , 05-Янв-26, (60)

Не совсем правда Тип массива есть, но он существует только когда ты определяешь, Аноним (62), 20:41 , 05-Янв-26, (62) –1

А потом чтобы узнать а сколько у нас элементов приходится бегать каждый раз до, Аноним (68), 21:43 , 05-Янв-26, (68)

То есть, с Си ты знаком очень поверхностно , Аноним (69), 01:25 , 06-Янв-26, (71) +1

Ну скажи мне сколько символов в unicode строке И как их быстро посчитать Строки , Аноним (-), 16:40 , 06-Янв-26, (79)

вообще, как-бы, unicode бывают разные Если смотреть UTF-8, то там надо пройти вс, Совершенно другой аноним (?), 18:43 , 06-Янв-26, (80)

это просто такой helper для выделения фиксированного непрерывного объема памяти , Аноним (60), 09:31 , 06-Янв-26, (73)

1-й GNU Wget и busybox wget лучше , Аноним (74), 11:09 , 06-Янв-26, (74)
Aria2, aname (ok), 12:26 , 06-Янв-26, (76)

Скрыто модератором, Аноним (3), 12:29 , 05-Янв-26, (3) +3

Скрыто модератором, Аноним (-), 12:39 , 05-Янв-26, (6) +1

Скрыто модератором, Аноним (-), 12:48 , 05-Янв-26, (11)

GNU всегда было знаком какчества Буквально вчера была новость про GnuPG, которая, Аноним (-), 12:29 , 05-Янв-26, (4) +3

Это GNU Wget2 Он хостится в каком-то болоте, не имеющем отношения к GNU , Аноним (33), 14:58 , 05-Янв-26, (33) +3

Звучит круто Фикс просто обалденный char fname_esc sizeof tmp buf lengt, Фнон (-), 12:44 , 05-Янв-26, (9) –4

это ж опен сурседля тестирования , да и исправления,есть юзерытысячи глаз тм , онанист (?), 12:53 , 05-Янв-26, (12) +2

Зато можно с гордостью за свой код писать Around 2014, I began contributing to o, Аноним (-), 12:58 , 05-Янв-26, (16)

Тут явно же видно, что не в перестановке дело а в условии Наиболее вероятно при , Аноним (18), 13:05 , 05-Янв-26, (18)

Никто ничего не менял, код зашел одним коммитом gitlab com gnuwget wget2 - commi, Аноним (-), 13:11 , 05-Янв-26, (21)

Ты явно с Нибиру Как то что ты говорил опровергает то, что писал я У тебя нибиру, Аноним (18), 19:40 , 05-Янв-26, (59)

Немцы те еще бекдорщики , Аноним (37), 16:02 , 05-Янв-26, (37) +1

Никогда такого не было и вот опять А можно дропать юзверю хомяка Офгенное решени, Аноним (-), 12:54 , 05-Янв-26, (13)

а в bashrc пишем известную команду по зачиствке хомяка , Аноним (14), 13:08 , 05-Янв-26, (19)

А мне кажется, сишники специально делают CVE в своих опусах, ради чёрного пиара , Аноним (20), 13:09 , 05-Янв-26, (20) –1
Зачем было переписывать Юзаю 1 25 и никаких проблем , Аноним (23), 13:29 , 05-Янв-26, (23) +1

Ты реально думаешь, что wget 1 был менее дыряв У меня для тебя плохие новости , Аноним (-), 13:39 , 05-Янв-26, (24) +3

Эээ, а чё ему такие высокие очки накидали Это юзерспейнсая программа, не требую, Аноним (62), 20:52 , 05-Янв-26, (63) +1

Прямо-таки парад найденных в СПО уязвимостей Косвенно это говорит о том, что ве, Аноним (35), 15:42 , 05-Янв-26, (35) –1

Системы автоматического поиска проблем просто стали намного круче Стали доступн, Fyji (-), 17:39 , 05-Янв-26, (50) –1

Системы эффективно применить тоже нужны спецы В конечном счете все сводится к н, Аноним (35), 19:27 , 05-Янв-26, (56)
Или наоборот - умели Как история с пейджерами , Аноним (14), 21:29 , 05-Янв-26, (66)

Скрыто модератором, Аноним (49), 17:33 , 05-Янв-26, (49) +3
Блин, эти уязвимости удивительно похожи, такое ощущение, что с ними можно справи, kusb (?), 21:00 , 05-Янв-26, (64) +1

Можно Но почему-то не нужно , Аноним (14), 21:28 , 05-Янв-26, (65)

Сообщения [Сортировка по времени | RSS]

1. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (1), 05-Янв-26, 12:19

> отсутствие должной проверки файловых путей
Никогда такого не было и вот опять

Ответить | Правка | Наверх | Cообщить модератору

14. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +8 +/–

Сообщение от Аноним (14), 05-Янв-26, 12:56

> Wget2 ... переписанный с нуля и полностью переработанный вариант ... уязвимость, допускающая перезапись произвольных файлов.
Получается, в исходном непереписанном вгете этого не было, а после переписывания - появилось?!

Ответить | Правка | Наверх | Cообщить модератору

48. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (48), 05-Янв-26, 17:24

Ребят, когда качаешь через Wget/Wget2 (с обычного https-сайта), провайдер не видит что скачиваешь?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

75. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от bergentroll (ok), 06-Янв-26, 11:32

URL видит, содержимое не видит. От скачивания броузером особо не отличается.

Ответить | Правка | Наверх | Cообщить модератору

77. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (77), 06-Янв-26, 13:20

а чем url внутни http, отличается от содержимого? парочкой символов перевода строки..а, если https?
> От скачивания броузером особо не отличается.
в любом браузере есть опция экспорта запроса в curl/wget и тд, такой запрос вообще с точность до байта эквивалентен

Ответить | Правка | Наверх | Cообщить модератору

78. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от bergentroll (ok), 06-Янв-26, 15:15

> а чем url внутни http, отличается от содержимого?
Вы правы, URL тоже зашифрован. Снаружи только сокет, на который идёт запрос.

Ответить | Правка | Наверх | Cообщить модератору

72. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 06-Янв-26, 02:49

> Никогда такого не было и вот опять
Нестареющая классика жанра :)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (2), 05-Янв-26, 12:20

Этих вгетов развелось еще... Подскажите, какой самый трушный и в чем разница?

Ответить | Правка | Наверх | Cообщить модератору

17. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (14), 05-Янв-26, 13:02

Ни тот, ни другой на паскале не написан.
> без проверки фактического размера записываемых данных
В паскале есть ключ компиляции array range check: в зависимости от ситуации делает проверку во время компиляции или при выполнении программы. В си - есть что-то подобное? Если есть, почему программисты об этом не знают? Если нету (а паскаль так-то постарше си будет) - почему никто из программистов не догадался добавить опцию в компилятор?

Ответить | Правка | Наверх | Cообщить модератору

22. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +1 +/–

Сообщение от Аноним (-), 05-Янв-26, 13:20

> В си - есть что-то подобное?
Пф... ну у тебя и требования!
> Если есть, почему программисты об этом не знают?
Типикал Сишник даже стандарт не читал)
>  Если нету (а паскаль так-то постарше си будет) - почему никто из программистов не догадался добавить опцию в компилятор?
Ты еще спроси когда СИшники осилили добавить boolean в язык))
Подсказка в С23.
Всего 50 лет ушло на то, что уже было в ALGOL 60.
Думаю еще через лет 20 они добавят data type String чтобы перестать каждый раз бегать в поискать null-terminator, терять его и получать очередную CVE.

Ответить | Правка | Наверх | Cообщить модератору

29. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +3 +/–

Сообщение от 12yoexpert (ok), 05-Янв-26, 14:26

> Ты еще спроси когда СИшники осилили добавить boolean в язык))
> Подсказка в С23.
вся суть маркетинга растосекты. сходил бы ты в гугл что ли
тебя ещё в проекте не было, когда в си добавили бул. просто на твоих сельских курсах вайтишников ни один инфоцыган об этом не знает

Ответить | Правка | Наверх | Cообщить модератору

30. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (30), 05-Янв-26, 14:39

> тебя ещё в проекте не было, когда в си добавили бул.
Если ты про stdbool.h то типиКАЛ костыли для недоязычка
#define true    1
#define false    0
dii.uchile.cl/~daespino/files/Iso_C_1999_definition.pdf
7.16 Boolean type and values <stdbool.h>
Особенно пocoсным выглядит пункт 4
Notwithstanding the provisions of 7.1.3, a program may undefine and perhaps then
redefine the macros bool, true, and false.
Но для недоязыков это нормально.
А вот тебе стандарт С23, надеюсь ты умеешь читать на английском.
open-std.org/jtc1/sc22/wg14/www/docs/n3220.pdf
6.4.4.6 Predefined constants
predefined-constant:
false
true

Ответить | Правка | Наверх | Cообщить модератору

43. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (14), 05-Янв-26, 16:49

> костыли для недоязычка
Помнится, они долго не могли сообразить, что такое nil, меняя определение несколько раз. Потом приняли, что это "тождественно равно числовому нулю".

Ответить | Правка | Наверх | Cообщить модератору

44. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (14), 05-Янв-26, 16:51

P.S. макрос NULL имеется ввиду.

Ответить | Правка | Наверх | Cообщить модератору

46. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (46), 05-Янв-26, 17:04

> Помнится, они долго не могли сообразить, что такое nil, меняя определение несколько раз. Потом приняли, что это "тождественно равно числовому нулю".
А определение нуля они определили))?
The macros are
NULL
which expands to an implementation-defined null pointer constant
Вообще кажется что комитет это просто сборище поехавших и наркош.
Мало того что они ввели безумное количество UB хотя можно было бы implementation-defined.
Но этого было мало, и они решили ломать уже то что работало.
До C23 было
if new_size is zero, the behavior is implementation defined (null pointer may be returned (in which case the old memory block may or may not be freed), or some non-null pointer may be returned that may not be used to access storage).
А теперь
zero-sized reallocations with realloc are undefined behavior;
̶с̶е̶л̶ ̶н̶а̶ ̶п̶е̶н̶е̶к̶ написал realloc(ptr, 0); получил UB и твоя програма превратилось в  ̶к̶у̶с̶о̶к̶ ̶к̶а̶л̶а̶ какой-то код с нарушением Conformance

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

53. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (14), 05-Янв-26, 18:22

Продолжаем хохму:
"Dereferencing a null pointer is undefined behavior in C" - вроде нормально, рядовое UB.
...
Ноесть нюанс:
"in x86 real mode, the address 0000:0000 is readable and also usually writable, and dereferencing a pointer to that address is a perfectly valid"
На Си нельзя писать без UB.

Ответить | Правка | Наверх | Cообщить модератору

55. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 05-Янв-26, 19:17

> Продолжаем хохму:
> "Dereferencing a null pointer is undefined behavior in C" - вроде нормально,
> рядовое UB.
С одной стороны типа да, но с другой... у вас с 99 стандарта оно было "implementation defined".
Т.е выбор из ограниченного списка который должен быть ЗАДОКУМЕНТИРОВАН.
И тут возжа попадает под хвост и комитет yмcтвeнно oтcтaлых ayтистoв решает сделать undefined behavior.
> Ноесть нюанс:
> "in x86 real mode, the address 0000:0000 is readable and also usually
> writable, and dereferencing a pointer to that address is a perfectly valid"
Хороший нюанс) Хватит чтобы отстрелить ногу по самую опу
> На Си нельзя писать без UB.
Поэтому C in CVE is for C language (c)

Ответить | Правка | Наверх | Cообщить модератору

57. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 05-Янв-26, 19:36

> "in x86 real mode, the address 0000:0000 is readable and also usually writable, and dereferencing a pointer to that address is a perfectly valid"
А если у нас ARM?
У нас же СИшечка портабельная?
Чего адепты постоянно жужжат что "на вашем #### не поддерживается motorola 68k!!111, а вооот на СИ!"
На ARM Cortex-M за подобное MPU просто сделает Hard Fault.
Ибо нефиг.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

67. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (14), 05-Янв-26, 21:41

> На ARM Cortex-M за подобное MPU просто сделает Hard Fault.
На каким именно? На младших M0-ках по этим адресам может быть отображено ОЗУ. Там же таблица векторов - прекрасно читается, иногда пишется (если ОЗУ).

Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором +1 +/–

Сообщение от Аноним (32), 05-Янв-26, 14:55

> тебя ещё в проекте не было, когда в си добавили бул.
А вот, кстати, и первый п0циэнт, который "стандарт" не читал!
И обратите внимание как быстро он с агрился.
Наверное это сегодняшний дежурный из секты растохейтеров.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

39. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Совершенно другой аноним (?), 05-Янв-26, 16:33

тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

42. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (-), 05-Янв-26, 16:48

> тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99.
Да, я ж написал про stdbool.h
Особенно класно в "стандарте" прописан размер типа.
An object declared as type _Bool is large enough to store the values 0 and 1.
Вот прямым тестом "а фиг его знает, главное чтобы 0-1 влез".
Ну и сверху это щедро обмазывается  ̶г̶о̶в̶н̶ макросами и дефайнами.
Но! В стандарте сказано, что если, не дай бог-машина, у вас где-то undef, то ваша программа превращается в тыкву.
Notwithstanding the provisions of 7.1.3, a program may undefine and perhaps then
redefine the macros bool, true, and false.2

Ответить | Правка | Наверх | Cообщить модератору

45. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (14), 05-Янв-26, 16:55

> Bool is large enough to store the values 0 and 1
Особенно классно, когда делают параметр Bool в многопараметрической функции из какой-нибудь библиотеки, а ты сидишь и гадаешь, а каким размером скомпилирован тот параметр, чтобы не промахнуться при обращении в список параметров?

Ответить | Правка | Наверх | Cообщить модератору

47. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 05-Янв-26, 17:17

> сидишь и гадаешь
Зато не на паскале! (с)
Вооще читая что стандарт, что код удивляешься как оно вообще может работать.
И вспоминаешь байку про "программистов, дятла и конец цивилизации"))

Ответить | Правка | Наверх | Cообщить модератору

51. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Совершенно другой аноним (?), 05-Янв-26, 17:50

>> тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99.
> Да, я ж написал про stdbool.h
Ну, тогда при чём тут С23. В нём только, если правильно помню, решили, что путь уже будет bool штатным ключевым словом, а не переопределяться через #define на _Bool.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

52. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (52), 05-Янв-26, 17:57

В том что в C23 они смогли наконец то формализовать это самый бул.
Но он отличается от старого
The type bool shall have one value bit and (sizeof(bool)*CHAR_BIT)- 1
А теперь сравни это со старым
An object declared as type _Bool is large enough to store the values 0 and 1.

Ответить | Правка | Наверх | Cообщить модератору

54. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +2 +/–

Сообщение от Совершенно другой аноним (?), 05-Янв-26, 18:32

> В том что в C23 они смогли наконец то формализовать это самый
> бул.
> Но он отличается от старого
> The type bool shall have one value bit and (sizeof(bool)*CHAR_BIT)- 1
> А теперь сравни это со старым
> An object declared as type _Bool is large enough to store the
> values 0 and 1.
C99 6.2.5 Types
...
2 An object declared as type _Bool is large enough to store the values 0 and 1.
...
C23 6.2.5 Types
...
2 An object declared as type bool is large enough to store the values false and true.
...
И да, в С23, кроме bool в качестве ключевых слов добавили true и false, которые теперь имеют тип bool. Так-что, наверное, Вы хотели сказать, что в С с версии стандарта С23 наконец-то появились значения true и false, а не сам тип, который, как раннее было сказано, появился ещё в С99.

Ответить | Правка | Наверх | Cообщить модератору

69. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +1 +/–

Сообщение от Аноним (69), 05-Янв-26, 22:34

> Ты еще спроси когда СИшники осилили добавить boolean в язык))
> Подсказка в С23.
А ты, бедненький, не знал, что сишка прекрасно обходилась (и обходится) 0 и 1?
> Всего 50 лет ушло на то, что уже было в ALGOL 60.
И? Ты уверен, что под капотом там будет не те же самые 0 и 1?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

25. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (2), 05-Янв-26, 13:41

>на паскале не написан
Меня вообще не это интересовало. Есть два каких-то wget. Зачем? Какой из них лучше и где глянуть сравнение?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

26. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +1 +/–

Сообщение от Аноним (26), 05-Янв-26, 14:01

Оба хуже.
https://curl.se/wcurl/manual.html

Ответить | Правка | Наверх | Cообщить модератору

31. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 05-Янв-26, 14:49

Такой же дырявый хлам
curl.se/docs/CVE-2023-38545.html

Ответить | Правка | Наверх | Cообщить модератору

41. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +4 +/–

Сообщение от Аноним (41), 05-Янв-26, 16:44

Лучше всех aria2
https://github.com/aria2/aria2
https://aria2.github.io/

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

70. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от хата (?), 06-Янв-26, 00:24

Без поддержки socks даже через tsocks оно не нужно, в эпоху повсеместных квнвпнвлес у каждой второй бабушки.

Ответить | Правка | Наверх | Cообщить модератору

60. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (60), 05-Янв-26, 20:32

Потому что в си нет массивов, в нем есть указатели.
a[i] это просто синтаксический сахар для *(a + i)

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

62. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (62), 05-Янв-26, 20:41

Не совсем правда. Тип массива есть, но он существует только когда ты определяешь тип автоматической или статической переменной.А вот адресация внутри этого массива - да, синтаксический сахар, потому что массив всегда деградирует в указатель на первый элемент.

Ответить | Правка | Наверх | Cообщить модератору

68. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (68), 05-Янв-26, 21:43

> потому что массив всегда деградирует в указатель на первый элемент.
А потом чтобы узнать "а сколько у нас элементов" приходится бегать каждый раз до конца массива.
Или лепить сбоку и хранить отдельно.

Ответить | Правка | Наверх | Cообщить модератору

71. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +1 +/–

Сообщение от Аноним (69), 06-Янв-26, 01:25

> чтобы узнать "а сколько у нас элементов" приходится бегать каждый раз до конца массива.
То есть,  с Си ты знаком очень поверхностно.

Ответить | Правка | Наверх | Cообщить модератору

79. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 06-Янв-26, 16:40

>> чтобы узнать "а сколько у нас элементов" приходится бегать каждый раз до конца массива.
> То есть,  с Си ты знаком очень поверхностно.
Ну скажи мне сколько символов в unicode строке.
И как их быстро посчитать.
Строки в СИ это же массивы, да?))

Ответить | Правка | Наверх | Cообщить модератору

80. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Совершенно другой аноним (?), 06-Янв-26, 18:43

>>> чтобы узнать "а сколько у нас элементов" приходится бегать каждый раз до конца массива.
>> То есть,  с Си ты знаком очень поверхностно.
> Ну скажи мне сколько символов в unicode строке.
вообще, как-бы, unicode бывают разные.
Если смотреть UTF-8, то там надо пройти все байты, чтобы понять сколько символов. Так-что, считай, всё-равно надо бежать до конца массива и по пути считать символы, которые могут быть и один байт, и два, и три и даже, если сильно повезёт с эмодзи и прочими редкими иероглифами, даже четыре.
Если смотреть UTF-16, то сначала там было всё здорово, число 16-ти битных слов совпадало с числом символов (если правильно помню в бытность UCS-2), но потом, пришли умные люди и придумали суррогатные пары, и теперь и их надо, по нормальному, тоже считать, пробегая до условного конца массива.
И остался UTF-32, в котором число 32-х битных слов совпадает с числом символов.

Ответить | Правка | Наверх | Cообщить модератору

73. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (60), 06-Янв-26, 09:31

это просто такой helper для выделения фиксированного непрерывного объема памяти на стеке (или глобальной преаллокации при старте программы). в итоге все равно имеем указатель

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

74. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (74), 06-Янв-26, 11:09

1-й GNU Wget и busybox wget лучше.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

76. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от aname (ok), 06-Янв-26, 12:26

Aria2

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. Скрыто модератором +3 +/–

Сообщение от Аноним (3), 05-Янв-26, 12:29

Wget2 работает с HTTPS только через GnuTLS. Фтопку такое поделие!

Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором +1 +/–

Сообщение от Аноним (-), 05-Янв-26, 12:39

>Wget2 работает с HTTPS только через GnuTLS. Фтопку такое поделие!
А чо так толсто-то? Правильные люди используют код исключительно написанный для GNU.

Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором +/–

Сообщение от Аноним (-), 05-Янв-26, 12:48

В итоге или сидят в консольке или на Хурде?))
Потому что х11 это не ГНУ.
И браузеры тоже.

Ответить | Правка | Наверх | Cообщить модератору

4. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +3 +/–

Сообщение от Аноним (-), 05-Янв-26, 12:29

GNU всегда было знаком какчества!
Буквально вчера была новость про GnuPG, которая позволяет обойти верификацию и выполнить свой код.
И вот теперь про GNU Wget...

Ответить | Правка | Наверх | Cообщить модератору

33. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +3 +/–

Сообщение от Аноним (33), 05-Янв-26, 14:58

Это GNU Wget2. Он хостится в каком-то болоте, не имеющем отношения к GNU.

Ответить | Правка | Наверх | Cообщить модератору

9. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –4 +/–

Сообщение от Фнон (-), 05-Янв-26, 12:44

> переполнение буфера в коде чистки имён файлов в функции get_local_filename_real(), потенциально способное привести к исполнению кода при обработке специально оформленных URL
Звучит круто!
Фикс просто обалденный
        char *fname_esc = (sizeof(tmp) < buf.length * 3 + 1)
-            ? tmp
-            : wget_malloc(buf.length * 3 + 1);
+             ? wget_malloc(buf.length * 3 + 1)
+            : tmp;
Просто перепутали местами значения в тирнарном операторе.
Код был с Jul 29, 2023
Автор и первого б̶е̶к̶д̶о̶р̶а̶ бага и его исправления Tim Rühsen.
Настоящий сидой дыд с "over 30 years of experience"
zymtrace.com/article/welcoming-tim-ruhsen/
Maintainer of GNU libidn, GNU libidn2 and GNU Wget. Contributor to GnuTLS and libmicrohttp.
Интересно за 30 лет он код научился тестировать?
Или "и так сойдет")

Ответить | Правка | Наверх | Cообщить модератору

12. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +2 +/–

Сообщение от онанист (?), 05-Янв-26, 12:53

это ж опен сурсе
для тестирования , да и исправления,есть юзеры
тысячи глаз (тм)

Ответить | Правка | Наверх | Cообщить модератору

16. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 05-Янв-26, 12:58

Зато можно с гордостью за свой код писать:
Around 2014, I began contributing to open-source projects and became (co-)maintainer of GNU Wget, GnuTLS, and GNU libidn. Two of my own projects, Wget2 and libpsl, are now packaged in almost every Linux distribution.

Ответить | Правка | Наверх | Cообщить модератору

18. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (18), 05-Янв-26, 13:05

Тут явно же видно, что не в перестановке дело а в условии.
Наиболее вероятно при просмотре условие инвертировал для читабельности, а выражения местами забыл поменять. Как вариант - отвлекли.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

21. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 05-Янв-26, 13:11

> Наиболее вероятно при просмотре условие инвертировал для читабельности,
> а выражения местами забыл поменять.
Никто ничего не менял, код зашел одним коммитом.
gitlab.com/gnuwget/wget2/-/commit/3dc30f5f0c6f8feae97f866c537324f821ea05d6
Просто кто-то не умеет в память :)
> Как вариант - отвлекли.
Рептилоиды с Нибиру?)

Ответить | Правка | Наверх | Cообщить модератору

59. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (18), 05-Янв-26, 19:40

> Никто ничего не менял, код зашел одним коммитом.
Ты явно с Нибиру.
Как то что ты говорил опровергает то, что писал я?
У тебя нибирушная логика.

Ответить | Правка | Наверх | Cообщить модератору

37. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +1 +/–

Сообщение от Аноним (37), 05-Янв-26, 16:02

> Автор и первого б̶е̶к̶д̶о̶р̶а̶ бага и его исправления Tim Rühsen.
Немцы те еще бекдорщики :)

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (-), 05-Янв-26, 12:54

> переполнение буфера потенциально способное привести к
> исполнению кода
Никогда такого не было и вот опять!
> при обработке специально оформленных URL на загружаемых страницах
А можно дропать юзверю хомяка?
Офгенное решение чтобы всякие хитрецы не выкачивали сайт wget'ом.

Ответить | Правка | Наверх | Cообщить модератору

19. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (14), 05-Янв-26, 13:08

> Например, атакующий может перезаписать содержимое ... ~/.bashrc и добиться выполнения своего кода в системе
а в bashrc пишем известную команду по зачиствке хомяка...

Ответить | Правка | Наверх | Cообщить модератору

20. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (20), 05-Янв-26, 13:09

А мне кажется, сишники специально делают CVE в своих опусах, ради чёрного пиара своих продуктов. Это же тоже пиар. Больше CVE - больше людей узнают о твоём GNU творении из новостей! Вот так вот!

Ответить | Правка | Наверх | Cообщить модератору

23. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +1 +/–

Сообщение от Аноним (23), 05-Янв-26, 13:29

Зачем было переписывать? Юзаю 1.25 и никаких проблем.

Ответить | Правка | Наверх | Cообщить модератору

24. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +3 +/–

Сообщение от Аноним (-), 05-Янв-26, 13:39

> Зачем было переписывать? Юзаю 1.25 и никаких проблем.
Ты реально думаешь, что wget 1 был менее дыряв?
У меня для тебя плохие новости))
CVE-2019-5953 9.8 CRITICAL
GNU Wget 1.20.1 and Earlier Buffer Overflow Vulnerability Leading to DoS or Remote Code Execution
CVE-2014-4877 9.3 HIGH - Public exploit exists!
GNU Wget Absolute Path Traversal via FTP LIST Response Allows Remote Code Execution Before 1.16
CVE-2017-13089 9.3 HIGH - Potential exploit
GNU Wget: stack overflow in HTTP protocol handling
CVE-2017-13090 9.3 HIGH
GNU Wget: heap overflow in HTTP protocol handling
CVE-2024-38428 9.1 CRITICAL
GNU Wget url.c Userinfo Semicolon Handling Vulnerability Leading to URI Parsing Errors

Это только со score 9 и больше.
И опять Buffer Overflow, stack overflow, heap overflow

Ответить | Правка | Наверх | Cообщить модератору

63. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +1 +/–

Сообщение от Аноним (62), 05-Янв-26, 20:52

Эээ, а чё ему такие высокие очки накидали? Это юзерспейнсая программа, не требующая особых привилегий, а скор такой, будто баг в ядре нашли или в openssl.

Ответить | Правка | Наверх | Cообщить модератору

35. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Аноним (35), 05-Янв-26, 15:42

Прямо-таки парад найденных в СПО уязвимостей. Косвенно это говорит о том, что ведется серьезная работа по уменьшению его дырявости, под будущую кибервойну. Можно на уровне сервисов внедрить _более безопасный_ раст, но  остаться с дыркой в какой-нибудь крон джобе, использующей вгет.

Ответить | Правка | Наверх | Cообщить модератору

50. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." –1 +/–

Сообщение от Fyji (-), 05-Янв-26, 17:39

> Прямо-таки парад найденных в СПО уязвимостей.
Системы автоматического поиска проблем просто стали намного круче.
Стали доступны не только спецам.
И внезапно оказалось что диды код писать не умели.

Ответить | Правка | Наверх | Cообщить модератору

56. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (35), 05-Янв-26, 19:27

Системы эффективно применить тоже нужны спецы. В конечном счете все сводится к наличию ресурсов на все это.
> внезапно оказалось что диды код писать не умели
Спойлерну: отцы, дети и внуки тоже не умеют. Точнее умеют, но не будут. То есть будут, но при финансировании которого не будет, поэтому не будут ))

Ответить | Правка | Наверх | Cообщить модератору

66. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (14), 05-Янв-26, 21:29

> диды код писать не умели
Или наоборот - умели? Как история с пейджерами.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

49. Скрыто модератором +3 +/–

Сообщение от Аноним (49), 05-Янв-26, 17:33

wget2 - это то ещё говно. В нём даже базовые фичи вроде SOCKS5 не поддерживаются, зато куча ненужных свистоперделок добавлена.

Ответить | Правка | Наверх | Cообщить модератору

64. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +1 +/–

Сообщение от kusb (?), 05-Янв-26, 21:00

Блин, эти уязвимости удивительно похожи, такое ощущение, что с ними можно справиться централизованно.

Ответить | Правка | Наверх | Cообщить модератору

65. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..." +/–

Сообщение от Аноним (14), 05-Янв-26, 21:28

> с ними можно справиться централизованно
Можно. Но почему-то не нужно.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
Сообщение от Аноним (1), 05-Янв-26, 12:19
> отсутствие должной проверки файловых путей Никогда такого не было и вот опять
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+8 +/–
	Сообщение от Аноним (14), 05-Янв-26, 12:56
	> Wget2 ... переписанный с нуля и полностью переработанный вариант ... уязвимость, допускающая перезапись произвольных файлов. Получается, в исходном непереписанном вгете этого не было, а после переписывания - появилось?!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	–1 +/–
	Сообщение от Аноним (48), 05-Янв-26, 17:24
	Ребят, когда качаешь через Wget/Wget2 (с обычного https-сайта), провайдер не видит что скачиваешь?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	75. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от bergentroll (ok), 06-Янв-26, 11:32
	URL видит, содержимое не видит. От скачивания броузером особо не отличается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	77. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (77), 06-Янв-26, 13:20
	а чем url внутни http, отличается от содержимого? парочкой символов перевода строки..а, если https? > От скачивания броузером особо не отличается. в любом браузере есть опция экспорта запроса в curl/wget и тд, такой запрос вообще с точность до байта эквивалентен
	Ответить \| Правка \| Наверх \| Cообщить модератору


	78. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от bergentroll (ok), 06-Янв-26, 15:15
	> а чем url внутни http, отличается от содержимого? Вы правы, URL тоже зашифрован. Снаружи только сокет, на который идёт запрос.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (-), 06-Янв-26, 02:49
	> Никогда такого не было и вот опять Нестареющая классика жанра :)
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	–1 +/–
Сообщение от Аноним (2), 05-Янв-26, 12:20
Этих вгетов развелось еще... Подскажите, какой самый трушный и в чем разница?
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	–1 +/–
	Сообщение от Аноним (14), 05-Янв-26, 13:02
	Ни тот, ни другой на паскале не написан. > без проверки фактического размера записываемых данных В паскале есть ключ компиляции array range check: в зависимости от ситуации делает проверку во время компиляции или при выполнении программы. В си - есть что-то подобное? Если есть, почему программисты об этом не знают? Если нету (а паскаль так-то постарше си будет) - почему никто из программистов не догадался добавить опцию в компилятор?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+1 +/–
	Сообщение от Аноним (-), 05-Янв-26, 13:20
	> В си - есть что-то подобное? Пф... ну у тебя и требования! > Если есть, почему программисты об этом не знают? Типикал Сишник даже стандарт не читал) > Если нету (а паскаль так-то постарше си будет) - почему никто из программистов не догадался добавить опцию в компилятор? Ты еще спроси когда СИшники осилили добавить boolean в язык)) Подсказка в С23. Всего 50 лет ушло на то, что уже было в ALGOL 60. Думаю еще через лет 20 они добавят data type String чтобы перестать каждый раз бегать в поискать null-terminator, терять его и получать очередную CVE.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+3 +/–
	Сообщение от 12yoexpert (ok), 05-Янв-26, 14:26
	> Ты еще спроси когда СИшники осилили добавить boolean в язык)) > Подсказка в С23. вся суть маркетинга растосекты. сходил бы ты в гугл что ли тебя ещё в проекте не было, когда в си добавили бул. просто на твоих сельских курсах вайтишников ни один инфоцыган об этом не знает
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (30), 05-Янв-26, 14:39
	> тебя ещё в проекте не было, когда в си добавили бул. Если ты про stdbool.h то типиКАЛ костыли для недоязычка #define true 1 #define false 0 dii.uchile.cl/~daespino/files/Iso_C_1999_definition.pdf 7.16 Boolean type and values <stdbool.h> Особенно пocoсным выглядит пункт 4 Notwithstanding the provisions of 7.1.3, a program may undefine and perhaps then redefine the macros bool, true, and false. Но для недоязыков это нормально. А вот тебе стандарт С23, надеюсь ты умеешь читать на английском. open-std.org/jtc1/sc22/wg14/www/docs/n3220.pdf 6.4.4.6 Predefined constants predefined-constant: false true
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (14), 05-Янв-26, 16:49
	> костыли для недоязычка Помнится, они долго не могли сообразить, что такое nil, меняя определение несколько раз. Потом приняли, что это "тождественно равно числовому нулю".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	–1 +/–
	Сообщение от Аноним (14), 05-Янв-26, 16:51
	P.S. макрос NULL имеется ввиду.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (46), 05-Янв-26, 17:04
	> Помнится, они долго не могли сообразить, что такое nil, меняя определение несколько раз. Потом приняли, что это "тождественно равно числовому нулю". А определение нуля они определили))? The macros are NULL which expands to an implementation-defined null pointer constant Вообще кажется что комитет это просто сборище поехавших и наркош. Мало того что они ввели безумное количество UB хотя можно было бы implementation-defined. Но этого было мало, и они решили ломать уже то что работало. До C23 было if new_size is zero, the behavior is implementation defined (null pointer may be returned (in which case the old memory block may or may not be freed), or some non-null pointer may be returned that may not be used to access storage). А теперь zero-sized reallocations with realloc are undefined behavior; ̶с̶е̶л̶ ̶н̶а̶ ̶п̶е̶н̶е̶к̶ написал realloc(ptr, 0); получил UB и твоя програма превратилось в ̶к̶у̶с̶о̶к̶ ̶к̶а̶л̶а̶ какой-то код с нарушением Conformance
	Ответить \| Правка \| К родителю #43 \| Наверх \| Cообщить модератору


	53. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (14), 05-Янв-26, 18:22
	Продолжаем хохму: "Dereferencing a null pointer is undefined behavior in C" - вроде нормально, рядовое UB. ... Ноесть нюанс: "in x86 real mode, the address 0000:0000 is readable and also usually writable, and dereferencing a pointer to that address is a perfectly valid" На Си нельзя писать без UB.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (-), 05-Янв-26, 19:17
	> Продолжаем хохму: > "Dereferencing a null pointer is undefined behavior in C" - вроде нормально, > рядовое UB. С одной стороны типа да, но с другой... у вас с 99 стандарта оно было "implementation defined". Т.е выбор из ограниченного списка который должен быть ЗАДОКУМЕНТИРОВАН. И тут возжа попадает под хвост и комитет yмcтвeнно oтcтaлых ayтистoв решает сделать undefined behavior. > Ноесть нюанс: > "in x86 real mode, the address 0000:0000 is readable and also usually > writable, and dereferencing a pointer to that address is a perfectly valid" Хороший нюанс) Хватит чтобы отстрелить ногу по самую опу > На Си нельзя писать без UB. Поэтому C in CVE is for C language (c)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (-), 05-Янв-26, 19:36
	> "in x86 real mode, the address 0000:0000 is readable and also usually writable, and dereferencing a pointer to that address is a perfectly valid" А если у нас ARM? У нас же СИшечка портабельная? Чего адепты постоянно жужжат что "на вашем #### не поддерживается motorola 68k!!111, а вооот на СИ!" На ARM Cortex-M за подобное MPU просто сделает Hard Fault. Ибо нефиг.
	Ответить \| Правка \| К родителю #53 \| Наверх \| Cообщить модератору


	67. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (14), 05-Янв-26, 21:41
	> На ARM Cortex-M за подобное MPU просто сделает Hard Fault. На каким именно? На младших M0-ках по этим адресам может быть отображено ОЗУ. Там же таблица векторов - прекрасно читается, иногда пишется (если ОЗУ).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. Скрыто модератором	+1 +/–
	Сообщение от Аноним (32), 05-Янв-26, 14:55
	> тебя ещё в проекте не было, когда в си добавили бул. А вот, кстати, и первый п0циэнт, который "стандарт" не читал! И обратите внимание как быстро он с агрился. Наверное это сегодняшний дежурный из секты растохейтеров.
	Ответить \| Правка \| К родителю #29 \| Наверх \| Cообщить модератору


	39. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Совершенно другой аноним (?), 05-Янв-26, 16:33
	тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	42. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	–1 +/–
	Сообщение от Аноним (-), 05-Янв-26, 16:48
	> тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99. Да, я ж написал про stdbool.h Особенно класно в "стандарте" прописан размер типа. An object declared as type _Bool is large enough to store the values 0 and 1. Вот прямым тестом "а фиг его знает, главное чтобы 0-1 влез". Ну и сверху это щедро обмазывается ̶г̶о̶в̶н̶ макросами и дефайнами. Но! В стандарте сказано, что если, не дай бог-машина, у вас где-то undef, то ваша программа превращается в тыкву. Notwithstanding the provisions of 7.1.3, a program may undefine and perhaps then redefine the macros bool, true, and false.2
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (14), 05-Янв-26, 16:55
	> Bool is large enough to store the values 0 and 1 Особенно классно, когда делают параметр Bool в многопараметрической функции из какой-нибудь библиотеки, а ты сидишь и гадаешь, а каким размером скомпилирован тот параметр, чтобы не промахнуться при обращении в список параметров?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Аноним (-), 05-Янв-26, 17:17
	> сидишь и гадаешь Зато не на паскале! (с) Вооще читая что стандарт, что код удивляешься как оно вообще может работать. И вспоминаешь байку про "программистов, дятла и конец цивилизации"))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+/–
	Сообщение от Совершенно другой аноним (?), 05-Янв-26, 17:50
	>> тип boolean, конечно, не осилили добавить, а тип _Bool вообще-то с C99. > Да, я ж написал про stdbool.h Ну, тогда при чём тут С23. В нём только, если правильно помню, решили, что путь уже будет bool штатным ключевым словом, а не переопределяться через #define на _Bool.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору


	52. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	–1 +/–
	Сообщение от Аноним (52), 05-Янв-26, 17:57
	В том что в C23 они смогли наконец то формализовать это самый бул. Но он отличается от старого The type bool shall have one value bit and (sizeof(bool)*CHAR_BIT)- 1 А теперь сравни это со старым An object declared as type _Bool is large enough to store the values 0 and 1.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+2 +/–
	Сообщение от Совершенно другой аноним (?), 05-Янв-26, 18:32
	> В том что в C23 они смогли наконец то формализовать это самый > бул. > Но он отличается от старого > The type bool shall have one value bit and (sizeof(bool)*CHAR_BIT)- 1 > А теперь сравни это со старым > An object declared as type _Bool is large enough to store the > values 0 and 1. C99 6.2.5 Types ... 2 An object declared as type _Bool is large enough to store the values 0 and 1. ... C23 6.2.5 Types ... 2 An object declared as type bool is large enough to store the values false and true. ... И да, в С23, кроме bool в качестве ключевых слов добавили true и false, которые теперь имеют тип bool. Так-что, наверное, Вы хотели сказать, что в С с версии стандарта С23 наконец-то появились значения true и false, а не сам тип, который, как раннее было сказано, появился ещё в С99.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+1 +/–
	Сообщение от Аноним (69), 05-Янв-26, 22:34
	> Ты еще спроси когда СИшники осилили добавить boolean в язык)) > Подсказка в С23. А ты, бедненький, не знал, что сишка прекрасно обходилась (и обходится) 0 и 1? > Всего 50 лет ушло на то, что уже было в ALGOL 60. И? Ты уверен, что под капотом там будет не те же самые 0 и 1?
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	25. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	–1 +/–
	Сообщение от Аноним (2), 05-Янв-26, 13:41
	>на паскале не написан Меня вообще не это интересовало. Есть два каких-то wget. Зачем? Какой из них лучше и где глянуть сравнение?
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	26. "В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапи..."	+1 +/–
	Сообщение от Аноним (26), 05-Янв-26, 14:01
	Оба хуже. https://curl.se/wcurl/manual.html
	Ответить \| Правка \| Наверх \| Cообщить модератору