URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 130773
[ Назад ]
Исходное сообщение
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проектом OpenPrinting "
Отправлено opennews , 16-Июн-23 11:33 
В библиотеках из пакета cpdb-libs (Common Print Dialog Backends), предлагающего фронтэнды и бэкенды для организации работы диалогов вывода на печать и абстрагирования диалогов, используемых в графических тулкитах и приложениях (GTK, Qt, LibreOffice, Firefox, Chromium и т.п.) от различных технологий вывода на печать (CUPS/IPP, облачные сервисы и т.п.), выявлены уязвимости (CVE-2023-34095), приводящие к переполнению буфера при обработке внешних данных...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59304

Содержание
Сообщения в этом обсуждении
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 11:33 
Нашли очередную закладку. Одно дело когда заведомо уязвимые компоненты отключаются, и другое, когда их бандлят и насильно впихивают.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено beck , 16-Июн-23 11:33 
Нормально,  чо. Впрочем,  99,999% программного обеспечения именно таковы...
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 12:54 
> Впрочем,  99,999% программного обеспечения именно таковы..

... если оно написано на православной сишечке.

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 15:06 
Как показывает практика java с растом не спасают
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 17-Июн-23 03:50 
Rust принимает ввод в контейнер или срез.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 17-Июн-23 04:20 
врун. Еще как спасают. Именно практика и показывает

Memory Safe Languages in Android 13
https://security.googleblog.com/2022/12/memory-safe-language...

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Ivan_83 , 17-Июн-23 00:57 
Это враньё и вы знаете это.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 18-Июн-23 10:12 
>если оно написано на православной сишечке

Разрешаю переписать все на "правильном" языке. Вперед!

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 11:56 
Серия уязвимостей, развиваемых проектом OpenPrinting.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 12:57 
> выявлены уязвимости ... приводящие к переполнению буфера при обработке внешних данных

Угадай язык по тексту отрывку из новости :)

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 13:03 
Как можно обос$аться в программе пишушей в порт принтера поток?
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Шарп , 16-Июн-23 13:12 
Просто нужно взять соответствующий язык программирования.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Ivan_83 , 17-Июн-23 00:56 
Вы путаете ещё с p9100 или как его там.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Шарп , 16-Июн-23 13:12 
>scanf и fscanf без проверки или ограничения размера копируемых данных

Типикал сишка.

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено 1 , 16-Июн-23 14:11 
угу детей бьют по рукам за такие ашипки. Там ещё strcpy И memcpy нет ?
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Ivan_83 , 17-Июн-23 00:55 
strcpy теперь типа и не нужен, есть более адекватные замены, а memcpy вне конкуренции, это база.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 14:48 
Как бы над Сишкой не смеялись, а мне как обычному пользователю нет смысла топить за раст. Во-первых, раст не может некоторых вещей. Во-вторых, сишка спасает нас от кибергулага корпораций.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Анонин , 16-Июн-23 15:01 
Обычно пользователю - в первую очередь - нужен софт без ТАКИХ багов.
А всякие кибергулаги, лицензионные холиворы и тд. - это уже вторично.

> Во-первых, раст не может некоторых вещей

Каких?

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 15:11 
Это ты уже за обычных пользователей решил?
Молодец, пойдёшь дорогой мозиллы, те тоже раз за разом убирали функционал 1% пользователей, пока не стали филиалом хрома.
Внезапно обычный пользователь это не среднее по больнице и даже не медиана, а набор разных групп, в том числе тех кому не нужны кибергулаги.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Анонин , 16-Июн-23 15:28 
Напомню - сишка это не язык полуторапроцентников.

На ней пишут кучу коммерческого софта. В той же макос еще куча си где-то в недрах Foundation (всякие CFString и тд) и вычищать богомерзкую оттуда будут еще долго.
Это еще куча rtos, мк и тд. И везде можно сделать такую тупую ошибку.

> Молодец, пойдёшь дорогой мозиллы

Мозилу убили иcтeрички-нищeбpoды, которые хотят бесплатный браузер, но при этом отвергают любую попытку монетизации (типа поиска по умолчанию, покета и тд) и начинают размазывать свое г по интернетам в при каждой попытки мозилы остаться в живых.

Мозила вообще существует только на деньги гугла, которому это дешевле чем возиться с антимонопольщиками. Пока еще дешевле.

> а набор разных групп, в том числе тех кому не нужны кибергулаги.

В том числе 0.5% кому не нужны кибергулаги))

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 17-Июн-23 04:01 
Никто не мешает Вам написать на Си библиотеку, а потом импортировать из неё, например:

let secret_number:u32;
let seed = match SystemTime::now().duration_since(UNIX_EPOCH){
    Ok(num) => num,
    Err(_) => {eprintln!("void seed"); panic!("void seed");},
};
extern "C" {
fn srand(_:u32);
fn rand() -> u32;
}
unsafe{
    srand(seed.as_secs() as u32);
    for _i in 0..(rand()%40+1){rand();}
    secret_number = rand()%50;
}


"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Анонимусс , 16-Июн-23 15:43 
О, в лучшие погромисты на божественной опять допустили настолько глупую ошибку!
Наверное это были ненастоящие погромисты))
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 17-Июн-23 22:18 
> Наверное это были ненастоящие погромисты))

Как не настоящие? Как раз настоящие. Погромисты это те кто программируют погром. ))

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 18-Июн-23 10:15 
Щас настоящие придут и все перепишут на правильном... а нет, не придут, это же не язык чесать.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено pashev.ru , 16-Июн-23 18:38 
Разработчики Фортрана не дураки были.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 17-Июн-23 15:27 
В чём были не дураки? Разверни свою мысль.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 16-Июн-23 20:32 
> использованием функций scanf

а чем им snprintf не угодил?

"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Ivan_83 , 17-Июн-23 00:53 
Это обратная функция по сути.
"Серия уязвимостей в библиотеках cpdb-libs, развиваемых проек..."
Отправлено Аноним , 17-Июн-23 03:42 
Судя по самой идеи Common Print Dialog Backends это не последняя уязвимость.