| 1.1, Аноним (1), 18:22, 26/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ну вот, опять они исправлять начинают. Нет чтобы новых фич приделать, или пофиксить имеющиеся тикеты. Когда коту нечего делать, он начинает исправлять уязвимости. Да и какой смысл? Все равно уязвимостей меньше не станет.
| | |
| |
| 2.36, Neandertalets (ok), 01:14, 27/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > пофиксить имеющиеся тикеты.
Исправление уязвимостей относится к этой же категории.
> Все равно уязвимостей меньше не станет.
Лечиться тоже не будете? Ведь всё равно в нас внутри сотни возбудителей всяких болезней.
И есть не надо: всё равно всё в туалет уйдёт.
С вашей логикой и жить не стоит: всё равно умирать.
| | |
|
| 1.4, Аноним (-), 18:45, 26/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Мде... Переполение буфера в антивирусе...
Как же так???
Languages C 81.2%
А, ну т.е. ничего удивительного!
Теперь посмотрим фикс: github.com/Cisco-Talos/clamav/commit/98882f5f019ded3b96bacc17a9d1d65fb96dd686#diff-71da814e8ad6aab63e06be64d291a9a2ea7edcf1cbb5994217cdf4de8e84c436L1839
Предположение оказалось верным))
libclamav/ole2_extract.c
for (; writeIdx <= (leftover + bytesToWrite) - 16; writeIdx += 16, decryptDstIdx += 16) {
for (; writeIdx + 16 <= leftover + bytesToWrite; writeIdx += 16, decryptDstIdx += 16) {
Лучшие погромисты на лучшем язычке не смогли посчитать размер буфера правильно. Никогда такого не было и вот опять!
| | |
| |
| |
| 3.8, Аноним (-), 19:14, 26/01/2025 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Причем тут язык?
Ахаха! Да ладно?!
Ну разумеется не причем!
Это просто погромистЪ неправильный попался)))
А йезычог, в котором из коробки даже нормальных буферов нет, он вот абсолютно не причем))
| | |
| |
| 4.11, Аноним (11), 20:09, 26/01/2025 [^] [^^] [^^^] [ответить]
| +9 +/– |
Дурачки, верящие в безопасные языки, быстро закончатся, когда на этих языках начнут писать программы, которым будут пользоваться людей чуть больше, чем парочка опеннет-истеричек, и в этих программах, соответственно, станут регулярно находить уязвимости. Для языка Си, на котором написано 90% всех, десятки лет используемых человечеством, программ, времена, когда можно было хватать всё, что плохо лежит, не проводя аудита, закончились.
Короче, это не программисты неправильные, это бизнес процессы хреновые, и никакой волшебный язык это не исправит.
| | |
| |
| 5.12, blkkid (?), 20:19, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> программы, которым будут пользоваться людей чуть больше, чем парочка опеннет-истеричек
инфраструктура cloudflare, бекэнд discord, bluetooth-стек android и ещё бог знает сколько "невидимых" проектов - это тоже программы для истеричек с опеннета?
| | |
| |
| 6.35, Аноним (-), 00:58, 27/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да вот не знаю, зачем кому-то инфра клаудвафли и бэк дискорда.
И тем более огороженный от термукса стек андроида, если бы был блюз - я бы уже давно синхронизировался с андроидом через блютуз-версию нетката.
| | |
| |
| 7.53, Аноним (53), 19:08, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Да вот не знаю, зачем кому-то инфра клаудвафли и бэк дискорда
Достойный уровень кекспертизы.
| | |
|
|
| 5.23, Аноним (23), 22:20, 26/01/2025 [^] [^^] [^^^] [ответить] | –2 +/– | А не много ли ты берешь на себя, парниша Я бы хотел увидеть пруфы про 90 Пото... большой текст свёрнут, показать | | |
| |
| 6.32, lucentcode (ok), 23:47, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Как плюсы вам помогут писать безопасный код, если это просто ООП-надстройка над C? Они же такие же опасные в плане выстрела себе в ногу, как и чистый C. Фантазёр вы, баненька, ох фантазёр!
| | |
| |
| 7.33, Аноним (-), 23:55, 26/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> если это просто ООП-надстройка над C?
Кекспертиза анонов опеннета просто поражает!
Это когда было? Во времена C++98? Попробуйте современный c++, хотя бы с++17.
И после него, от сишки у вас будут приступы тошноты, если еще нет))
> Они же такие же опасные в плане выстрела себе в ногу, как и чистый C.
Не правда.
В плюсах есть RAII. В плюсах есть структуры данных из коробки.
Строки есть (насколько они удачные - уже другой вопрос).
Да, плюсы, к сожалению, слишком много взяли от си и пытаются тянуть совместимость с ней до сих пор, хотя уже местами она нарушена.
Но и разница между языками огромна.
| | |
|
|
| 5.49, hiddenman (ok), 14:15, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
 > Короче, это не программисты неправильные, это бизнес процессы хреновые, и никакой волшебный
> язык это не исправит.
Ну вот есть такой язык Erlang, на нам писаны действительно сложные системы, которые работают по 25 лет без единого сбоя и нагружены по полной, это вам не антивирус.
И ничего, живы как-то, обеспечивая надежность девять (!) девяток (естественно, не только благодаря языку, а имея дублирующие узлы; но никакие Цэ не позволяет вам так же), при этом имея hotload на борту, позволяющий спокойно обновлять систему. А так же язык позволяет строить настоящие масштабируемые распределённые приложения, а не вот эти поделки.
Так что очень даже зависит от языка, ничего подобного на всяких C/C++ вы добиться не сможете никогда.
Для примера приведу тот же WhatsApp:
* более миллиарда активных пользователей
* 42 миллиарда сообщений в день
* 1.6 миллиарда отправленных изображений в день
* 250 миллионов отправленных видео в день
Всё это обеспечивала команда из 50 инженеров. А теперь оглянитесь, пересчитайте своих инженеров и потом посмотрите на свою нагрузку. В Авито, например, работает 10000 человек и их нагрузка даже и близко не стоит к этой (с их же сайта: до 100млн [это рекорд, в среднем 82 млн] активных объявлений и до 2 млн новых объявлений в день; 366 млн визитов в месяц).
Так что язык очень даже решает.
P.S. Ну и да, рекомендую глянуть на количество CVE (и их масштабность) для Erlang и сравнить.
| | |
| |
| 6.51, Аноним (-), 17:02, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну вот есть такой язык Erlang,
Но Erlang, к сожалению, так и остался нишевым. Как и другие языки, вроде Ада.
Потому что там думать нужно, а не фигак-фигак и в прод.
> обеспечивая надежность девять (!) девяток
Не пугай их такими словами! Для типикал разраба "старой закалки" если запустилось - хорошо, если не падает сразу на старте - вообще шикарно)) Главное быстро, как какиры из 80х.
| | |
|
|
|
|
| |
| 3.14, Аноним (14), 20:25, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это просто лишний повод нытикам поныть. Если все перейдут на Раст. Они найдут себе новый повод поныть.
| | |
|
| 2.19, ИмяХ (ok), 22:02, 26/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Эээ... Объясните, пожалуйста, что тут "пофиксили"? Просто перенесли член уравнения с права на лево, с точки зрения математики ничего ведь не поменялось.
| | |
| |
| 3.24, Аноним (24), 22:32, 26/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Эээ... Объясните, пожалуйста, что тут "пофиксили"? Просто перенесли член уравнения с права
> на лево, с точки зрения математики ничего ведь не поменялось.
Если бы оно было signed, то да (но у signed в си свои граблищи)
1 <= 7+8 - 16 (== 0xffffffff == 4294967295, потому как uint32)
vs
1 + 16 <= 7+8
| | |
|
| 2.28, Аноним (28), 23:01, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Как же надоели подобные типы. Даже отвечать уже таким не хочется, но я все же отвечу: язык тут не причем, тот кто писал код, вот к нему и претензии. Думаешь на твоем расте такого быть в принципе не может? Да так же будут на от*бись писать программы, и запомни мои слова, эти самые боровы будут обходить и писать в ансейфах. Просто потому что менеджеру надо уже вчера чтоб было все готово, и времени на "безопасТный" код нету.
| | |
| |
| 3.30, Аноним (-), 23:23, 26/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Даже отвечать уже таким не хочется, но я все же отвечу: язык тут не причем,
> тот кто писал код, вот к нему и претензии.
Да, да, конечно, царь хороший, бояре плохие.
Но вот почему-то практически все уязвимости дыряшки - из-за ошибок работы памятью.
Ты не пытался подумать "а почему так?". Ну или для начала просто подумать?
> эти самые боровы будут обходить и писать в ансейфах.
Так там придется ансейф писать. Его видно будет за версту.
А тут просто не с той стороный число написал - и хоба, выход за пределы буфера.
> Просто потому что менеджеру надо уже вчера чтоб было все готово
Оправдания, одни оправдания... Все это плохие менеджеры и неправильные погромисты.
Но правильных никто никогда в глаза не видел!
| | |
|
|
| 1.15, Аноним (15), 21:01, 26/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Зачем нужен вообще ClamAV, если он делает только сигнатурное сканирование без перехвата вызовов функций в ядре?
| | |
| |
| 2.17, Аноним (17), 21:43, 26/01/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
проверять почтовые вложения и трафик прежде чем их выдавать виндyзятникaм
| | |
| 2.21, ИмяХ (ok), 22:05, 26/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>>сигнатурное сканирование
Вот для этого и нужен
А для
>>перехвата вызовов функций в ядре
В линуксе есть другие инструменты.
| | |
| |
| 3.37, Антонио (??), 02:27, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну то есть тебя не смущает, что сигнатуру можно очень легко обойти и от этого спасает только эмуляция, я уже не говорю про перехват функций. Нормальные авири каждый чих отслеживают, да обойти можно, но нужно гораздо больше усилий. Так что ClamAV - это бесполезный хлам, которому место в помойке, отсрочит уходот поможет эмуляция кода, но кому нужно этим заниматься, когда есть промышленные варианты)
| | |
| |
| 4.54, Аноним (53), 19:14, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это и есть _промышленный_ вариант, лол. Сделан для применения на серверах для сканирования транзитного трафика. На таких серверах не запускают что попало, там набор софта постоянен, иногда можно PID нужного процесса угадать, так что отслеживать системные вызовы смысла большого нет. А там где есть или требуется административно, используют другие механизмы.
| | |
|
|
|
| 1.31, Аноним (-), 23:30, 26/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Уязвимость была добавлена 3 года назад, в Oct 21, 2022.
Не плохо, не плохо. Тыщщи глаз смотрели не туда.
Но не повезло и дурацкий фаззинг все испортил.
Теперь ее придется заменить на свеженькую "ошибку".
Благо подходящих мест просто море.
| | |
| 1.39, Аноним (39), 07:54, 27/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А зачем антивирус под Линукс? Под Линукс же нет вирусов? У меня сложилось впечатление что этот антивирус бесполезен.
| | |
| |
| 2.46, Аноним (45), 10:51, 27/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
100 процентов виндовс машин сидят за линуксом, чем и обеспечивается их безопасность.
Сабж это еще один инструмент обеспечения безопасности виндовс-машин на предприятии...
| | |
|
|
