Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах"	+/–
Сообщение от opennews (??), 30-Авг-23, 10:12
Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, предупредил пользователей о публикации организацией MITRE, отвечающей за ведение базы данных общеизвестных уязвимостей, отчёта с информацией о ложной  критической уязвимости. Проблеме присвоен CVE-идентификатор CVE-2020-19909 и выставлен уровень опасности 9.8 из 10, свойственный для удалённо эксплуатируемых уязвимостей, приводящих к выполнению кода с повышенными привилегиями... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59683
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 30-Авг-23, 10:12	–1 +/–
Больше не меньше - пусть будет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

2. Сообщение от пох. (?), 30-Авг-23, 10:14	+3 +/–
хахаха. Кто-то наконец заметил что грантоеды из MITRE давно уже ничего не умеют кроме торговли номерками да и та поставлена из рук вон плохо (продают диапазоны "впрок" уважаемым людям и без конца путают номерки)
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от InuYasha (??), 30-Авг-23, 10:16	+3 +/–
Бывают такие нелюди: своих проектов нет - так хоть до чужих докопаться. Но в данном случае, как мне кажется, тут нечто большее чем психическое расстройство.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #29

4. Сообщение от Аноним (4), 30-Авг-23, 10:18	+/–
Думаешь это злой умысел?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8, #12, #26

5. Сообщение от Аноним (4), 30-Авг-23, 10:20	+2 +/–
Ну всё, все уязвимости фейковые, а мы живём в идеальном мире.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

6. Сообщение от Аноним (6), 30-Авг-23, 10:24	+/–
Взбодрили ©
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 30-Авг-23, 10:27	+5 +/–
Один раз теряют жизнь и доверие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #39, #42, #44

8. Сообщение от Аноним (7), 30-Авг-23, 10:29	+4 +/–
Дурак всё делает только с лучшими намерениями. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от Аноним (7), 30-Авг-23, 10:31	+2 +/–
Да просто ИИ подключили, он выдумал и отрапортавал. А на той стороне тоже ИИ подключили ответы писать, он тоже выдумал как ответить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #15, #19

12. Сообщение от InuYasha (??), 30-Авг-23, 10:40	+4 +/–
Ну, смотри: этот "кто-то" как минимум кропотливо собрал эти баги, причём, за несколько лет, оформил запросы, выбрав одному ему понятное время... Может, это недовольный "пропусками", либо очередной хайповый "пенетатор". А может, кто-то и ИИ решил на это натравить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17

15. Сообщение от ryoken (ok), 30-Авг-23, 10:46	+1 +/–
ChatGPT таки пролез в Ынет? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16

16. Сообщение от Аноним (16), 30-Авг-23, 10:48	+1 +/–
Он вообще-то только в Ынете и бывает и без него не жизнеспособен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от Аноним (17), 30-Авг-23, 10:56	+3 +/–
Да проще все. Кому-то потребовалось референсы на уязвимости. Для грантов, отчетов, сиви, инвестора или подобного. Вкратце - для очковтирательства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #22

19. Сообщение от Аноним (19), 30-Авг-23, 11:03	+4 +/–
Сотрудники колл-центров мстят за картонные леопарды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

20. Сообщение от Массоны Рептилоиды (?), 30-Авг-23, 11:06	+3 +/–
Мальчик, который кричал "Волк!"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

22. Сообщение от InuYasha (??), 30-Авг-23, 11:15	+1 +/–
Вот, нечто-похожее под хайповым пенетратором я и имел в виду )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #41

23. Сообщение от Аноним (23), 30-Авг-23, 11:16	–3 +/–
> но были признаны разработчиками основных проектов, как не влияющие на безопасность Т.е. те, кто уже налажал в коде, просто говорят "это безопасно" и им сразу нужно поверить?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52, #68

26. Сообщение от FF (?), 30-Авг-23, 11:42	–1 +/–
Нужно же безопасные языки продвигать, показывать неуклонное падение багов в результате внедрения
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #28

28. Сообщение от Анонимусс (?), 30-Авг-23, 11:55	–5 +/–
Хехе, пока что количество багов на дыряшке только растет)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #43, #45, #50

29. Сообщение от Анонин (?), 30-Авг-23, 11:58	–2 +/–
Ну разумеется, найти ошибку в чужом проекте - это преступление. Пусть лучше живет там, используется, главное не порочить славное имя программеров!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #30, #46, #54

30. Сообщение от InuYasha (??), 30-Авг-23, 12:10	+2 +/–
Не делай сове больно. "докопаться" != "найти ошибку"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #64

31. Сообщение от InuYasha (??), 30-Авг-23, 12:11	+1 +/–
А волк спокойно спустился с холма и накрыл всё стадо. )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #33

32. Сообщение от onanim (?), 30-Авг-23, 12:12	+/–
> Наиболее вероятно, что кто-то подготовил отчёты на основе изучения исправленных ошибок, которые потенциально были способны привести к уязвимостям, но были признаны разработчиками основных проектов, как не влияющие на безопасность (например, могло быть переполнение буфера, но оно проявлялось только при обработке внутренних данных, на которые не может влиять пользователь). это. просто индусы добрались и до нашего уютного инфосека, и флудят все CVE Numbering Authorities хламом типа open redirect и фейковыми репортами, в надежде получить кучу номеров CVE и написать эти CVE себе в резюме, типа они дофига секьюрити рисёрчеры.
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Массоны Рептилоиды (?), 30-Авг-23, 12:14	+/–
Дай дураку волка стеклянного...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35

34. Сообщение от Атон (?), 30-Авг-23, 12:20	+1 +/–
ChatGPT вырос до уровня развития малолетнего /школьника/ и хулиганит.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от фтщт (?), 30-Авг-23, 12:23	+/–
он и лоб разобьет (возможно волка, но это не точно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

37. Сообщение от Офицер ИБ (?), 30-Авг-23, 12:27	–1 +/–
Уже давно пора создать национальный реестр уязвимостей Только государство может все это поставить на ноги
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #56

39. Сообщение от Бывалый смузихлёб (?), 30-Авг-23, 12:49	+/–
доверие - не жизнь можно терять и обретать пока не надоест
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #48, #61, #63

40. Сообщение от Аноним (40), 30-Авг-23, 12:51	+2 +/–
https://bdu.fstec.ru/vul
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

41. Сообщение от Бывалый смузихлёб (?), 30-Авг-23, 12:52	+1 +/–
хайповый пенетратор - название столь таки кошерное что заслуживает отметки в анналах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #59

42. Сообщение от Аноним (1), 30-Авг-23, 13:23	+1 +/–
Про доверие - это только с Лужковым работает, обычные люди обретают доверие или недоверие переходя с работы на работу легко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #47

43. Сообщение от FF (?), 30-Авг-23, 13:27	+/–
Да, ловля багов совершенствуется, а проектов меньше не становится
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

44. Сообщение от Аноним (44), 30-Авг-23, 13:30	+/–
И друга :<
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

45. Сообщение от Совершенно другой аноним (?), 30-Авг-23, 13:33	+3 +/–
Справедливости ради - на других языках, в том числе и Rust, тоже растёт (https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust - за 2023 уже 19 штук). В частности есть и выход за пределы буфера CVE-2023-28448, CVE-2023-28445
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

46. Сообщение от keydon (ok), 30-Авг-23, 13:43	+/–
Можно даже взять уже найденную и отправить и даже не будет преступлением. А вот пропустить такую ошибку уже нехорошо. Ну разово тоже бывает. А вот массово, да еще и после явного сообщения об этом просто отписаться и ничего не сделать - это уже многое говорит о компетенциях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

47. Сообщение от Аноним (7), 30-Авг-23, 14:07	+/–
Неточный вывод. Переходя с работы на работу от потери доверия, доверие теряют у всё большего и большего числа людей. Потеря усиливается. Новое не обретается. Столица-то большая, запас людей есть. А в городках поменьше доверяющие люди быстро заканчиваются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #49, #51

48. Сообщение от Аноним (7), 30-Авг-23, 14:08	–1 +/–
Обрести заново не выйдет. В том-то и соль. Можно только растратить доступное в начале, только в минус.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

49. Сообщение от Аноним (1), 30-Авг-23, 14:27	+/–
Я как всегда забыл про подмосковье...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

50. Сообщение от Аноним (50), 30-Авг-23, 15:30	–3 +/–
Вранье. Всё с точностью до наоборот. Чем шире внедряют раст, тем меньше ошибок работы с памятью (в расте вообще ни одной, а остальное - от си/плюсов): https://security.googleblog.com/2022/12/memory-safe-language...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

51. Сообщение от Аноним (51), 30-Авг-23, 15:32	+/–
Но в Неризиновске людей и компаний для доверия ещё очень достаточно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

52. Сообщение от Аноним (50), 30-Авг-23, 15:33	+/–
прочти уже новость. Не через слово и не по диагонали. Там все разжевано даже для имбе.цилов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #60

54. Сообщение от Аноним (51), 30-Авг-23, 16:09	–2 +/–
>найти ошибку в чужом проекте - это преступление. В Скрепной, если найти ошибку в коде (полу)госструктуры, то можно нарваться на "Неправомерный доступ к компьютерной информации".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

55. Сообщение от Аноним (-), 30-Авг-23, 16:11	+1 +/–
В MITRE сидит некомпетентный чиновник. Он отработал рабочий день, и ему плевать на мнение разработчиков.
Ответить | Правка | Наверх | Cообщить модератору

56. Сообщение от Аноним (51), 30-Авг-23, 16:21	+1 +/–
И пора принять закон об уголовной отвественности за допущение уязвимостей в программах для ЭВМ. На первый раз наказывать штрафом: для физлиц - ..., для должностных лиц - ..., для юрлиц - .... При повторном нарушении в течение года лишение свободы на срок: для физлиц - ..., для должностных лиц - ..., для юрлиц - ....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #58

57. Сообщение от IZh. (?), 30-Авг-23, 16:56	+1 +/–
Какой-нибудь студент решил получить себе резюме крутого исследователя безопасности. Считай, можно хвастаться, что нашёл столько дыр уровня critical, а если хоть что-то пофиксят, то, вообще, герой.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

58. Сообщение от IZh. (?), 30-Авг-23, 16:58	+1 +/–
К сожалениею, единственный способ Гарантироать отсутствие новых ошибок -- это не писать новый код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

59. Сообщение от InuYasha (??), 30-Авг-23, 17:19	+/–
только, ради всего святого, не скармливай это генератору картинок... (>_<)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

60. Сообщение от Ananimus (?), 30-Авг-23, 17:26	–1 +/–
Это опеннет. Тут люди не умеют читать, только писать и подозревать везде заговор США.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #65

61. Сообщение от anonymous (??), 30-Авг-23, 17:37	+4 +/–
... но стоило один раз трахнуть козу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

63. Сообщение от Аноним (63), 30-Авг-23, 22:26	+1 +/–
"Но жизнь не звук, чтоб обрывать, она сказала мне"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

64. Сообщение от Аноним (63), 30-Авг-23, 22:29	+/–
А если сова - эффективный менеджер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #70

65. Сообщение от Аноним (63), 30-Авг-23, 22:32	+1 +/–
А некоторым ещё товарищ майор везде чудится
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #66

66. Сообщение от Аноним (66), 31-Авг-23, 00:54	+/–
То, что у тебя паранойя, еще не значит, что за тобой не следят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #71

67. Сообщение от Аноньимъ (ok), 31-Авг-23, 01:07	–1 +/–
> если хоть что-то пофиксят Сишникам проще тратить часы дни и недели чтобы протестовать против статуса ошибки недели починить переполнение буфера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

68. Сообщение от oficsu (ok), 31-Авг-23, 01:18	+/–
Вам незачем верить. Я в вас не сомневаюсь, как квалифицированный а̶н̶о̶н̶и̶м разработчик, вы сможете самостоятельно проверить эти CVE, пройдя по ссылкам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

69. Сообщение от bOOster (ok), 31-Авг-23, 10:07	+/–
Кто-то отправил.. Кто-то заинтересованный в популизации языков типа rust?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73

70. Сообщение от InuYasha (??), 31-Авг-23, 11:15	+/–
> А если сова - эффективный менеджер? Будем натягивать всем отделом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

71. Сообщение от Рмшъ (?), 02-Сен-23, 11:16	+/–
Но если у тебя нет паранойи, то это тоже не значит, что за тобой не следят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

72. Сообщение от Neon (??), 05-Сен-23, 04:25	+/–
Короче, на ошибку просто забили)))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74

73. Сообщение от Растофобофоб (?), 07-Сен-23, 07:02	+/–
Если бы ты умел немного думать, то додумался бы что в расте этот "баг" тоже случился бы в релизном режиме. Но это надо уметь думать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

74. Сообщение от Анонннннн (?), 07-Сен-23, 07:07	+/–
Если под "забили" ты имеешь в виду "исправили в 2019", то да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема