URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128757
[ Назад ]
Исходное сообщение
"Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога"
Отправлено opennews , 25-Окт-22 17:18 
Опубликованы корректирующие выпуски пакета Samba 4.17.2, 4.16.6 и 4.15.11 с устранением двух уязвимостей. Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57978

Содержание
Сообщения в этом обсуждении
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено QwertyReg , 25-Окт-22 17:18 
Но всё равно луддиты будут смеяться над этими непонятными безопасными языками.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 17:20 
> Акела промахнулся!

ОК.

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 17:24 
если тебя это волнует так возьми и перепишу все на раст
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 17:25 
про какие именно языки речь?
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Без аргументов , 25-Окт-22 17:53 
злые же. они вон клепают новости, как будто других видов и типов уязвимостей в мире нет.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 19:17 
так они еще и уязвимости в сишный код подкладывают!
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено ИмяХ , 25-Окт-22 20:59 
Написано же -  Debian, CVE, GSSAPI и, собственно, Samba
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено V1 , 26-Окт-22 05:24 
SMB и NFS.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено ivan_erohin , 25-Окт-22 20:28 
не "языками" а "протоколами" (и их реализацией конечно).

те кто следит за событиями безопастности хотя бы 3 года подряд,
уже все поняли и выкинули это (обе реализации) из продуктива.
остальным - удачи.

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 09:38 
а, вот как надо с сишными переполнениями буфера (и т.п.) бороться - выкидывать реализации... Ведь в новых протоколах и реализациях этого нет. Спасибо, а то прям беда с этим была, а тут такое простое решение.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Смузихлёб , 25-Окт-22 20:36 
Всегда думал безопасность кода зависит только от программиста, который имеет профильное инженерное образование и умеет думать алгоритмически, а не клепать объекты классов через сотню прослоек и надстроек
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 21:19 
Так и есть. Ты думал кто все жти CVE написал? Не сами же они по недосмотру получились! Ну не может же такого быть, чтобы у программиста с профильным образованием не хватило внимательсти. Им делать ошибки ещё на первом курсе старшие товарищи запрещают.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 22:32 
Да ну, это же всего лишь язык программирования. Думаешь его применять сложнее молотка?

Я вот чего не понимаю, зачем компилятор пишет ошибки когда я забываю ; поставить в конце? По идее это затрудняет мою работу. Ну подумаешь, забыл. Смысл-то не поменялся. Пускай он тогда сам её поставит и посмотрит, собралась ли программа или нет. Будет это называться implicit statement termination

Даже если программа неправильно будет работать, какая разница? Я ведь мог просто быть более компетентным инженером. А так я теряю возможности, может мне не хочется бороться со всеми сложностями такого плохого синтаксиса как в Си.

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 10:03 
> а не клепать объекты классов через сотню прослоек и надстроек

ага, для каждой программы пишИте свои собственные велосипеды, с шахматами и поэтессами. Каждый раз с нуля. Т.е. для программы "A" написал свою собственную реализацию SSL, а для следующей своей же программы напиши уже вторую реализацию, первая не нужна - прослойка и надстройка какая-то ненужная, выкинуть. Настоящего инженера видно издалека...

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Смузихлёб , 26-Окт-22 20:17 
Ну если тебе нравится быть формошлёпом, погромистом фреймворка, то пожалуйста. А я как инженер и пенсионер с профильным советским инженерным образованием сру на таких как ты.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 17:18 
А есть ли какой-нибудь инструмент (например язык), позволяющий решить проблему переполнения буфера раз и навсегда?
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено ivan_erohin , 25-Окт-22 20:31 
кстати хороший вопрос.
но проблема "неопределенное поведение" несколько шире.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Смузихлёб , 25-Окт-22 20:37 
> А есть ли какой-нибудь инструмент

Прямые руки, мозг, инженерное высшее образование

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Анонн , 25-Окт-22 20:43 
Угу, только практика показывает что нет.
Иначе это нехилый такой плевок что в коммитеров ядра, что в писателей другого опенсорса.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 23:34 
"При написании ядерного и прикладного софта на Си и С++ это не сработает в 70% случаев. Таково количество CVEшек со статусом severe."
   - безопасники Chrome, Linux kernel, MS Windows
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено 5к , 26-Окт-22 00:32 
богомерзкий, поставил святое linux kernel и "это" в одно предложение, еще и слово на "Б", гореть тебе в аду
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 27-Окт-22 15:29 
…никоим образом не страхуют от ошибок.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Онаним. , 25-Окт-22 23:08 
Есть. Лопата. Когда копаешь - не до переполнений буфера.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено 5к , 26-Окт-22 00:35 
посмотрю я как ты будешь уран обогащеный в вагон загружать, хоть лопатой, хоть экскаватором, сквозь обшивку, кожей будешь температуру чувствовать, и понимать сколько еще до критической массы, или не выживешь.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Онаним. , 26-Окт-22 09:04 
Ну вот бантустаны сразу видно.
В нормальном-то мире для этого есть свой инструмент - UGV.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Дворник , 26-Окт-22 15:50 
Ну вот в машине Тьюринга переполнения быть не может, ибо тамошняя лента бесконечна.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 17:23 
C... C never changes...
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено _ , 26-Окт-22 04:57 
ISO/IEC 9899:2018, also known as C17
... but for High-Bzdyscshy elite it is nothing, understand :)
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 17:25 
Ничего вы не понимаете, самбисты известные бракоделы, пишут совместимость для офтопика, и вообще - это просто были не настоящие погромисты! Вот!
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено OpenEcho , 25-Окт-22 17:44 
Кто ты, о великий судья?
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 18:48 
Я: "Аноним"-аноним
Ты: "OpenEcho"-аноним
Так ли велика разница?
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено OpenEcho , 26-Окт-22 13:47 
> Я: "Аноним"-аноним
> Ты: "OpenEcho"-аноним
> Так ли велика разница?

Разница - Очень велика !

Я не сужу известные и широко использумые всему мир продукты из под анонима.

Для того, чтобы бы брякнуть даже в более культурной форме то, что вы позволили себе сделать - надо быть как миниум быть по известности как Andrew Tridgell с соизмеримыми публичными проектами как у него.

То что вы сделали, называется, - мелкой, дешевой подлянкой

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 16:21 
А еще ты не умеешь в сарказм.
Это печально))
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Andrew Tridgel , 26-Окт-22 23:20 
Из-под какого-то пубертатного никнейма писать так себе геройство.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 17:27 
долой самба
Bittorrent FS тащит!
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 10:03 
Никогда об этом не слышал, а вот с ipfs я вытягивал много вареза. По скорости это самое удобное, ни одна рапидшара не сравнится. Так ещё и лимитов нет. Но, необходимо участие добровольцев, не вижу коммерческого применения
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 17:32 
эх, жаль все завсегдатаи опеннета слишком заняты коментариями, а то показали бы как настоящие программисты пишут код на СИ без ошибок, переполненией и use after free Т_Т
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено mikhailnov , 25-Окт-22 19:03 
Хотя бы на Расте
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Анонн , 25-Окт-22 19:12 
Хотя бы на чем-то...
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 08:28 
Пиши
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 18:13 
в расте есть переполнения. ведут они к панике, в си если игноришь то просто игноришь
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 18:13 
> как настоящие программисты пишут код на СИ без ошибок,

молча

> переполненией

просто не переполняю

>use after free

не юзаю

элементарно !

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено birdie , 25-Окт-22 17:44 
Статус обновлений в Fedora:

https://bodhi.fedoraproject.org/updates/?packages=samba

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено penetrator , 26-Окт-22 08:02 
В FC36 неуязвимая версия 4.16.5 и билд собранный с USING_SYSTEM_MITKRB5
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Без аргументов , 25-Окт-22 17:52 
Ну что, понеслось? Сколько тут веб-приложений на безопасных языках? Сколько сишных?
https://www.exploit-db.com/
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 18:44 
Потому что на С никто уже давно не пишет.

Объём кода на JavaScript в сотни, если не в тысячи, раз больше чем на С.

Более того WebApps это значит эксплуатируется через JavaScript. А сама то дыра, утечка, уязвимость в самом браузере, его реализации кривой. А он то на С++ написан;)))

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 18:54 
> Объём кода на JavaScript в сотни, если не в тысячи, раз больше чем на С.

поэтому я и предпочитаю краткую и локаничную сишечку. и работает во столько же раз быстрее

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 19:14 
... и во столько же раз дырявее!
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 19:22 
Быстрее работает в 10 раз максимум, а иногда всего в 2-3 раза быстрее
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Без аргументов , 25-Окт-22 22:58 
Лукавишь.
Раст это послед какого браузера?
Про JS тоже: там SQL инъекции, PHP и многое другое.
Касательно сишечки это дырявые роутеры, но тут да.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 09:04 
PHP и SQL не относятся к безопасности языка JavaScript.

Какое уж тут лукавство.

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Ydro , 25-Окт-22 18:31 
Да, покажите им уже PVS-Studio или Rust.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено annonn , 25-Окт-22 19:30 
Ты что! Что такое говоришь!?
Настоящий программист™ на Си никогда не допускает ошибок с памятью, переполнениями, use after free и тд. Он единожды пишет код, который потом работает вечно!
И всякие новые смузихлебные проверки или языки ему не нужны! если потребуется он считает машинные коды в уме.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Без аргументов , 25-Окт-22 22:59 
Да, именно так, не допускаю. Потому что для крупных проектов Си не использую, а мелкие отлаживаются сразу.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Без аргументов , 25-Окт-22 23:01 
Лично мне Раст не нравится бОльшей сложностью, и, как следствие, ошибкам невнимательности и безальтернативностью Cargo, который в другой стране, как и NPM
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 23:54 
>Лично мне Раст не нравится бОльшей сложностью, и, как следствие, ошибкам невнимательности

Приведи пример такой ошибки хотя бы в другом языке. Может ты путаешь семантику и синтаксис? К последнему привыкаешь со временем, и перестаешь замечать; а от первого тебя избавит строгость языка. Раст довольно строгий язык, взять хоть borrow-checker.

>безальтернативностью Cargo, который в другой стране

Можешь скачать все крейты https://old.reddit.com/r/rust/comments/fxxued/how_to_downloa.../

unofficial alternative to crates.io https://lib.rs/about

Вот официальный список альтернатив https://github.com/rust-lang/cargo/wiki/Third-party-registries

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Без аргументов , 26-Окт-22 01:17 
ОК
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 17:51 
Но что плохого в безальтернативности Cargo? Неужели изучать синтаксис двух, трех, четырех сборочных альтернативных систем лучше?
Например в java используется maven и gradle и чтобы решить нетривиальную проблему придется выучить синтаксис каждой из них вместо программирования. Разве это лучше?

В некоторых языках нужно знать и make, и cmake, и meson, и qmake разом.

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 28-Окт-22 02:09 
> В некоторых языках нужно знать и make, и cmake, и meson, и
> qmake разом.

Вот зачем все они разом нужны? Нет, ну make само собой надо знать, а остальные дублируют друг друга (тем более qt можно cmake собирать).

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 31-Окт-22 13:54 
Потому что ты не будешь всю жизнь на одном проекте сидеть. Разные проекты — разные системы сборки.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 31-Окт-22 22:42 
> Потому что ты не будешь всю жизнь на одном проекте сидеть. Разные
> проекты — разные системы сборки.

Ну как перейдешь в проект, так и освоишь. Очень много где используют cmake. Во всех них +/- все одинаково.

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Без аргументов , 25-Окт-22 23:02 
Я кодю на Го, и порой собственную ошибку за паником трудно найти.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 08:29 
Ну всё значит переходи на Карбон
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 25-Окт-22 18:45 
комментарий по раст без аргументации, никогда не юзал
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Джон Макагонов , 25-Окт-22 23:20 
Еще один массивный намек раст,  крах языка С не за горами.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 26-Окт-22 00:19 
Ты желаемое за действительное не выдавай.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 26-Окт-22 00:22 
Глупыши-растоманы любую новость об уязвимостях где бы то ни было трактуют на свой лад. Только за 11+ лет так ничего на расте и нет. Браузер не осилили, лезут в рабочее ядро, не сумев написать свое. Случайность? Не думаю. Хотя если проектов нет, то язык остается безопасным.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 01:09 
Собака лает, а https://www.rust-lang.org/production/users идёт.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 26-Окт-22 03:19 
> Собака лает, а https://www.rust-lang.org/production/users идёт.

Ползет скорее. Пропиетарное уг. Возьмем для примера Mozilla

> Building the Servo browser engine, integrating into Firefox, other projects.

Ты собери этот Servo engine и попробуй пользоваться, а уже потом тут кукарекай.

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено freecoder , 26-Окт-22 11:28 
https://github.com/topics/rust?l=rust&o=desc&s=stars
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 26-Окт-22 17:57 
> https://github.com/topics/rust?l=rust&o=desc&s=stars

Оценивать проекты по кол-ву звездочек на шитхабе - это сильно. Модуль для раскраски консоли в цвета радуги на js имеет больше старов чем веб сервер apache.

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено freecoder , 27-Окт-22 23:20 
Что не удивительно. Звезды - это не хорошо и не плохо, это один из критериев (массовая популярность). Не нравится этот - возьмите другой. Сути это не меняет: растовый опенсорс есть и увеличивается.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 28-Окт-22 02:05 
> Что не удивительно. Звезды - это не хорошо и не плохо, это
> один из критериев (массовая популярность). Не нравится этот - возьмите другой.
> Сути это не меняет: растовый опенсорс есть и увеличивается.

Самый популярный язык на шитхабе - это жс. Какой вывод ты можешь из этого сделать?

з.ы. По твоей ссылке на первом месте deno. Домашнее задание - узнать, что это за проект и как это связано с самым популярным языком (по версии шитхаба).

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 28-Окт-22 02:26 
> Что не удивительно. Звезды - это не хорошо и не плохо, это
> один из критериев (массовая популярность). Не нравится этот - возьмите другой.
> Сути это не меняет: растовый опенсорс есть и увеличивается.

Ну давай глянем первые проекты по твоей ссылке:

* deno - A modern runtime for JavaScript and TypeScript. (86k)
* tauri - Build smaller, faster, and more secure desktop applications with a web frontend. (53.3k)
* alacritty - A cross-platform, OpenGL terminal emulator. (42.6k)
* bat - A cat(1) clone with wings. (37.8k)

Офигеть! Как я раньше жил без "современного" рантайма для жс, сырого ui фреймворка, эмулятора терминала на opengl и замены команде cat? Ума не приложу. Очень нужные проекты. Не зря столько звездочек, не зря!

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 28-Окт-22 03:24 
первые три - это просто обвертки, а не приложения. по поводу последнего хз, кому оно надо
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Вы забыли заполнить поле Name , 28-Окт-22 03:32 
> первые три - это просто обвертки, а не приложения.

Растоманы в своем репертуаре. Зато безопасная обретка!

> по поводу последнего хз, кому оно надо

растовый опенсорс бесмысленные и ненужный

"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Аноним , 26-Окт-22 08:30 
Твоя ссылка только намекает что крах языка Rust не за горами.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено Анонимыч , 26-Окт-22 07:46 
И ведь есть заинтересованные люди которые разный код ковыряют,ищут уязвимости. Удивительно просто.
"Уязвимости в Samba, приводящие к переполнению буфера и выход..."
Отправлено bOOster , 27-Окт-22 07:00 
Не имется самбистам - тащить (фактически привязывая) определенную версию зависимого софта - kerberos в данном случае, внутрь продукта. Ну ладно с ldap - там понятно, от MS все через одно место, на хромой козе не подьедешь. Но kerberos то достаточно жестко стандартизирован, кроме утилит администрирования.