| |
| 2.4, Аноним (-), 11:18, 27/06/2014 [^] [^^] [^^^] [ответить]
| +10 +/– | |
> теперь марсоходу точно капец
Марсиане взломают управляющее ПО и устроят весёлые покатушки? :)
| | |
| |
| 3.7, ryoken (?), 11:32, 27/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >> теперь марсоходу точно капец
> Марсиане взломают управляющее ПО и устроят весёлые покатушки? :)
да он вроде на Power-е?
| | |
| |
| |
| 5.90, Аноним (-), 11:21, 28/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Биткоины на марсоходе майнить - самое оно!
А потом окажется что Сатоши с другой планеты и давным давно "контрольный пакет акций" себе уже намайнил. И вообще - окажется что это был эксперимент. Интересно же посмотреть насколько эти обезьяны могут прокачать технологии, если технологии напрямую добывают бабло, котороге лучший стимул для глупых жадных обезьян :).
| | |
|
|
| |
| 4.15, Аноним (-), 12:19, 27/06/2014 [^] [^^] [^^^] [ответить]
| +8 +/– |
Можно извлечь немало лулзов, показывая наивным дикарям не то что есть, а то что хочется.
| | |
| |
| 5.23, Аноним (-), 12:57, 27/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так вот как он снимает сам себя! А то пишут - склейка из нескольких фото...
| | |
| |
| 6.45, Аноним (-), 15:21, 27/06/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> склейка из нескольких фото...
Так не врут же. Они просто постеснялись уточнить где именно произведена склейка. Ну не могут же они сообщить руководству что марсоход давно расхакали местные аборигены, извлекающие уйму лулзов?
| | |
|
|
|
|
| 2.38, Аноним (-), 15:06, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> libzlo2, блин
Или Liblolz2, смотря с какой стороны посмотреть :P.
| | |
|
| 1.3, Ordu (ok), 10:40, 27/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Ждём юбилейного пятидесятилетнего бага. Двадцатилетний уже находили, если память мне не изменяет.
| | |
| |
| 2.6, Штунц (?), 11:26, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Не думаю, что из 1965го года хоть что то дошло.
Язык Си, к примеру, только в 1969 разрабатывать начали.
| | |
| |
| 3.8, Ordu (ok), 11:34, 27/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Именно потому, что ничего из '65 ничего не дошло, мы и ждём до сих пор, когда какой-нибудь из дошедших багов успеет состарится в достаточной мере, прежде чем быть обрануженным.
| | |
| |
| |
| Часть нити удалена модератором |
| |
| 6.85, Аноним (-), 09:09, 28/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> И что такого страшного в Lisp который лет на 10 старше C?
Туева хуча совершенно одинаковых скобочек на все случаи жизни. Разновидностей скобок, блин, людям не хватило. На все один ответ ответ )))))).
| | |
|
|
|
| 3.11, Штунц (?), 11:52, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Единственно, думаю, в какой-нибудь FORTRAN-библиотеке, написанной на FORTRAN'e, возможно и остались математические баги.
| | |
| |
| 4.52, жабабыдлокодер (ok), 16:06, 27/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 В программе на классическом фортране нет и не может быть багов. Только ошибки в реализации алгоритмов.
| | |
| |
| 5.58, Аноним (-), 17:07, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
> В программе на классическом фортране нет и не может быть багов. Только
> ошибки в реализации алгоритмов.
дЫк - "особенности реализации" же, какие такие ашипки? :)
| | |
| 5.86, Аноним (-), 09:12, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> нет и не может быть багов.
Очень смелое и очень некомпетентное заявление.
> Только ошибки в реализации алгоритмов.
А это, типа, не баги? Вообще-то баг == ошибка.
| | |
|
|
| 3.53, rob pike (?), 16:35, 27/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
В названии "ALGOL 60" ничего не просматривается?
К 1965-ому уже IO-монады придумали - http://okmij.org/ftp/Computation/IO-monad-history.html
И не только.
> That person is Peter Landin. His 1965 paper [Landin-1965] anticipated not only IO but also State and Writer monads, call/cc, streams and delayed evaluations, the relation of streams with co-routines, and even stream fusion. | | |
| |
| 4.84, Аноним (-), 09:06, 28/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> В названии "ALGOL 60" ничего не просматривается?
Вижу динозавров! :)
| | |
|
|
| |
| |
| 4.21, Аноним (-), 12:31, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> но это не ответ на поставленный вопрос.
Это почему же? Знавал тут одних. Починили возможность рекурсивного сноса всех файлов по иерархии. И в ченжлог даже не пикнули. Ну да, это вам не bumblebee, где честно признались в обсираке. Разумеется, проприетарь...
| | |
|
|
| 2.18, Аноним (-), 12:27, 27/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Ну да, какой-нибудь MS просто починит тихой сапой и вообще CVE не выпустит.
Впрочем, чтобы что-то чинить - надо чтобы было что чинить, для начала. Покажи среди проприетари сколь-нибудь сравнимые алгоритмы? Они где???
| | |
| |
| |
| 4.65, Аноним (-), 17:21, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> RAR ?
Ни разу не видел сообщений что они починили уязвимость. Хотя при сложности формата и алгоритмов как у них - там запросто может чего-нибудь накопаться. Но т.к. бабло побеждает зло, а оно шароварь - скорее всего починят тихой сапой, чтобы репутацию не портить. Кто ж будет покупать бажные программы? :)
| | |
| |
| 5.80, arisu (ok), 05:29, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Хотя при сложности
> формата и алгоритмов как у них - там запросто может чего-нибудь
> накопаться.
особенно если учесть, например, что там есть няшная VM. теоретически, конечно, она работает в своей песочнице… но.
| | |
| |
| 6.83, Аноним (-), 09:04, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> особенно если учесть, например, что там есть няшная VM.
А что она там выполняет?
| | |
| |
| 7.87, arisu (ok), 09:12, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> особенно если учесть, например, что там есть няшная VM.
> А что она там выполняет?
идея была такая, что на ней можно всякие фильтры писать, которые сжатие улучшают. типа преобразования e8,ofs32 в e8,addr32 в x86-бинарях и подобное. на практике особо никто не пользовался, насколько знаю. на, любопытствуй:
http://blog.cmpxchg8b.com/2012/09/fun-with-constrained-programming.html
https://github.com/taviso/rarvmtools
в ней, вроде бы, и уязвимости находили. но это уже дальше первых двух ссылок гугля, мне лень.
| | |
| |
| |
| 9.93, arisu (ok), 18:30, 28/06/2014 [^] [^^] [^^^] [ответить] | +/– | так это mp4, что ли, или какой-то из них, или прототип 8212 тоже ведь имел в... текст свёрнут, показать | | |
| |
| |
| 11.97, arisu (ok), 01:13, 01/07/2014 [^] [^^] [^^^] [ответить] | +/– | я не помню вообще, дошло ли это до стандартов, я не настоящий сварщик так, слыш... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 4.70, Аноним (-), 18:43, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> RAR ?
Вы думаете в RAR уникальные алгоритмы? Они основаны на тех же самых.
| | |
|
|
| |
| 3.31, Аноним (-), 14:16, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Интересно, скорость накопления ошибок всегда меньше скорости их исправления?
| | |
| |
| 4.39, Аноним (-), 15:08, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Интересно, скорость накопления ошибок всегда меньше скорости их исправления?
Раз на раз не приходится. Бывает так что чинят 2, сажают 1. А бывает и так что "починил 8 известных ошибок из 35. Теперь в проекте 49 известных ошибок...".
| | |
|
|
| 2.34, Аноним (-), 14:41, 27/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
А тебя сильно утешит, что в проприетарщине и твоем любимом коде под лицензией BSD, который при первой возможности прикроют проприетарщики, уязвимости не найдут никогда?
Надеюсь, ты все-таки далек от написания серьезных продуктов. Из-за таких, как ты, потом народ мучается догадками, кто и как поимел их сеть. Код-то не проверишь, в отличие от продуктов, которые вызывают у тебя зависть и такую дикую попоболь.
| | |
| |
| 3.40, Аноним (-), 15:09, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А тебя сильно утешит, что в проприетарщине и твоем любимом коде под
> лицензией BSD,
ЧСХ, LZ4 - таки под BSD. И у проприетарщиков в их appliance он ничуть не менее бажный. Только в силу зажатых исходников там надеяться придется разве что на милость блобмейкера.
| | |
|
| 2.42, тигар (ok), 15:18, 27/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >> В различных реализациях алгоритмов распаковки LZO и LZ4 выявлена опасная уязвимость (CVE-2014-4607), которая присутствует уже около 20 лет и может привести к повреждению областей памяти при распаковке специально оформленных сжатых данных.
> Подскажите - это так помог открытый код искать ошибки?
я был не прав в #14, они начали рефлексировать:-) мишенька в #35 вообще умничка:)
| | |
| |
| |
| |
| 5.62, Аноним (-), 17:16, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> За грамотность?
Школота никогда не скажет "я не прав". Их физиологически от этого бомбашит на части - кактузикгрелку, да :)
Вот Майкл похоже в уме галочку и поставил что Тигар - не школота. Уже не плохо :)
PS: Миру пис, фолкс! Дожди кончились - все на пляж!
| | |
| |
| 6.73, Аноним (-), 21:24, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Школота
> физиологически
> бомбашит
> кактузикгрелку
НеШкoлота на опеннете :).
| | |
| |
| 7.78, Аноним (-), 03:56, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Это такое место бро, я бы мог о чём то высоком, но ...
"Поручик! Тут же никто этого не оценит!" (С)
| | |
|
|
|
|
|
|
| 1.13, pansa (ok), 12:12, 27/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 16mb для x86_86, для 64 число слишком велико. Ещё один повод обновить арх-ру :)
| | |
| |
| 2.50, quiet (?), 15:34, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> в портах уже давно обновили
А в пакетах обновят, как всегда, в следующем релизе - 1 ноября.
| | |
| |
| 3.67, бедный буратино (ok), 17:34, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > А в пакетах обновят, как всегда, в следующем релизе - 1 ноября.
да, успеет в следующий релиз. а мог бы и не успеть. :)
| | |
| 3.75, Аноним (-), 21:28, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> А в пакетах обновят, как всегда, в следующем релизе - 1 ноября.
Правильно, должны же кидизы наконец получить себе бесплатный хостинг на каникулы?!
| | |
|
|
| |
| 2.37, Michael Shigorin (ok), 14:58, 27/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > http://fastcompression.blogspot.ru/2014/06/debunking-lz4-20-years-old-bug-myt
Спасибо, интересный разбор характерного полёта.
---
Second, the author claims to have found this subtle risk through careful code study on its own. This is not true. The risk was identified by Ludwig Strigeus, the creator of µTorrent, more than one year ago. Ludwig made a very fine job at describing the risk. Instead of trying to make a headline, he proposed a solution for it. That's a difference. The risk was finally plugged some time ago, before DonB published his article. Why so much time you would ask?
---
| | |
| |
| 3.41, Аноним (-), 15:12, 27/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Well, because there was no real-world risk.
Автор такой крутой - за все использования либы головой отвечает. Зато как это в CVE оформили - сразу подорвался оправдания писать. Лучше б он год назад это законопатил - тогда не пришлось бы год спустя так оправдываться. Упование на то что блок нигде и никогда не превысит 16М - это из разряда "640Кб хватит всем".
| | |
| |
| 4.76, Elhana (ok), 01:42, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Да он ни на что не уповает, он пишет что ни в одной известной ему реализации не используется блок в 16М, по стандарту для LZ4 он 4М и т.п.... хотя судя по сообщению товарища, который поднял бучу ffmpeg/libav отличились в этом плане (удаленное выполнение кода), но они уже выпустили патч.
| | |
| |
| 5.81, Аноним (-), 09:01, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> по стандарту для LZ4 он 4М
Если обратить внимание, 4M там для поточной версии. Мягко говоря, с сжатыми *потоками* работают далеко не все. Для блочного вариатна типовой блок 8Мб, но есть одно "но". Это подразумевает дефолтный формат. А те или иные апликухи, которым 8Мб оказалось мало - могут использовать свой формат и чисто технически могут скормить либе и более крупные блоки. И вот так эксплойт вполне себе сработает...
> но они уже выпустили патч.
Тем не менее, со стороны автора либы так делать не очень хорошо. Особенно если он целый год был в курсе такой возможности.
| | |
| 5.89, Аноним (-), 11:17, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Раскладывать минное поле в таких либах - не есть правильно. Так что то что в большинстве программ оно неэксплуатируемо - это, конечно, хорошо. Но программ много разных бывает, расписываться за всю планету как-то достаточно безответственно.
> ffmpeg/libav отличились в этом плане (удаленное выполнение кода)
Не совсем понимаю как выглядит именно выполнение кода в том же LZO, ибо баг специфичен и дает очень ограниченные возможности манипуляции памятью. В LZ4 - там более интересно, это еще может быть.
| | |
|
|
| 3.88, Аноним (-), 11:12, 28/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Спасибо, интересный разбор характерного полёта.
Что интересно, автор снес из бложика комент, указывавший на то что ffmpeg/libav вполне могут пострадать из-за дырки. Видимо неудобно ему замечать такие вещи. Вот те раз - подумал Штирлиц. Зачетный демарш...
| | |
|
|
|
