URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 131367
[ Назад ]
Исходное сообщение
"В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах"
Отправлено opennews , 30-Авг-23 10:12 
Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, предупредил пользователей о публикации организацией MITRE, отвечающей за ведение базы данных общеизвестных уязвимостей, отчёта с информацией о ложной  критической уязвимости. Проблеме присвоен CVE-идентификатор CVE-2020-19909 и выставлен уровень опасности 9.8 из 10, свойственный для удалённо эксплуатируемых уязвимостей, приводящих к выполнению кода с повышенными привилегиями...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59683

Содержание
Сообщения в этом обсуждении
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:12 
Больше не меньше - пусть будет.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:27 
Один раз теряют жизнь и доверие.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Бывалый смузихлёб , 30-Авг-23 12:49 
доверие - не жизнь
можно терять и обретать пока не надоест
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 14:08 
Обрести заново не выйдет. В том-то и соль.

Можно только растратить доступное в начале, только в минус.

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено anonymous , 30-Авг-23 17:37 
... но стоило один раз трахнуть козу.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 22:26 
"Но жизнь не звук, чтоб обрывать, она сказала мне"
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 13:23 
Про доверие - это только с Лужковым работает, обычные люди обретают доверие или недоверие переходя с работы на работу легко.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 14:07 
Неточный вывод.

Переходя с работы на работу от потери доверия, доверие теряют у всё большего и большего числа людей. Потеря усиливается. Новое не обретается.

Столица-то большая, запас людей есть. А в городках поменьше доверяющие люди быстро заканчиваются.

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 14:27 
Я как всегда забыл про подмосковье...
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 15:32 
Но в Неризиновске людей и компаний для доверия ещё очень достаточно.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 13:30 
И друга :<
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено пох. , 30-Авг-23 10:14 
хахаха. Кто-то наконец заметил что грантоеды из MITRE давно уже ничего не умеют кроме торговли номерками да и та поставлена из рук вон плохо (продают диапазоны "впрок" уважаемым людям и без конца путают номерки)

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено InuYasha , 30-Авг-23 10:16 
Бывают такие нелюди: своих проектов нет - так хоть до чужих докопаться.
Но в данном случае, как мне кажется, тут нечто большее чем психическое расстройство.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:18 
Думаешь это злой умысел?
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:29 
Дурак всё делает только с лучшими намерениями. :)
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено InuYasha , 30-Авг-23 10:40 
Ну, смотри: этот "кто-то" как минимум кропотливо собрал эти баги, причём, за несколько лет, оформил запросы, выбрав одному ему понятное время...
Может, это недовольный "пропусками", либо очередной хайповый "пенетатор". А может, кто-то и ИИ решил на это натравить.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:56 
Да проще все. Кому-то потребовалось референсы на уязвимости. Для грантов, отчетов, сиви, инвестора или подобного. Вкратце - для очковтирательства.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено InuYasha , 30-Авг-23 11:15 
Вот, нечто-похожее под хайповым пенетратором я и имел в виду )
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Бывалый смузихлёб , 30-Авг-23 12:52 
хайповый пенетратор - название столь таки кошерное что заслуживает отметки в анналах
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено InuYasha , 30-Авг-23 17:19 
только, ради всего святого, не скармливай это генератору картинок... (>_<)
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено FF , 30-Авг-23 11:42 
Нужно же безопасные языки продвигать, показывать неуклонное падение багов в результате внедрения
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Анонимусс , 30-Авг-23 11:55 
Хехе, пока что количество багов на дыряшке только растет)))
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено FF , 30-Авг-23 13:27 
Да, ловля багов совершенствуется, а проектов меньше не становится
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Совершенно другой аноним , 30-Авг-23 13:33 
Справедливости ради - на других языках, в том числе и Rust, тоже растёт (https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust - за 2023 уже 19 штук).

В частности есть и выход за пределы буфера CVE-2023-28448, CVE-2023-28445

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 15:30 
Вранье. Всё с точностью до наоборот. Чем шире внедряют раст, тем меньше ошибок работы с памятью (в расте вообще ни одной, а остальное - от си/плюсов):

https://security.googleblog.com/2022/12/memory-safe-language...

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Анонин , 30-Авг-23 11:58 
Ну разумеется, найти ошибку в чужом проекте - это преступление.
Пусть лучше живет там, используется, главное не порочить славное имя программеров!
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено InuYasha , 30-Авг-23 12:10 
Не делай сове больно.
"докопаться" != "найти ошибку"
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 22:29 
А если сова - эффективный менеджер?
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено InuYasha , 31-Авг-23 11:15 
> А если сова - эффективный менеджер?

Будем натягивать всем отделом.

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено keydon , 30-Авг-23 13:43 
Можно даже взять уже найденную и отправить и даже не будет преступлением. А вот пропустить такую ошибку уже нехорошо. Ну разово тоже бывает. А вот массово, да еще и после явного сообщения об этом просто отписаться и ничего не сделать - это уже многое говорит о компетенциях.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 16:09 
>найти ошибку в чужом проекте - это преступление.

В Скрепной, если найти ошибку в коде (полу)госструктуры, то можно нарваться на "Неправомерный доступ к компьютерной информации".

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:20 
Ну всё, все уязвимости фейковые, а мы живём в идеальном мире.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:31 
Да просто ИИ подключили, он выдумал и отрапортавал. А на той стороне тоже ИИ подключили ответы писать, он тоже выдумал как ответить.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено ryoken , 30-Авг-23 10:46 
ChatGPT таки пролез в Ынет? :)
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:48 
Он вообще-то только в Ынете и бывает и без него не жизнеспособен.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 11:03 
Сотрудники колл-центров мстят за картонные леопарды.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 10:24 
Взбодрили ©
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Массоны Рептилоиды , 30-Авг-23 11:06 
Мальчик, который кричал "Волк!"
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено InuYasha , 30-Авг-23 12:11 
А волк спокойно спустился с холма и накрыл всё стадо. )
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Массоны Рептилоиды , 30-Авг-23 12:14 
Дай дураку волка стеклянного...
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено фтщт , 30-Авг-23 12:23 
он и лоб разобьет
(возможно волка, но это не точно)
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 11:16 
> но были признаны разработчиками основных проектов, как не влияющие на безопасность

Т.е. те, кто уже налажал в коде, просто говорят "это безопасно" и им сразу нужно поверить?

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 15:33 
прочти уже новость. Не через слово и не по диагонали. Там все разжевано даже для имбе.цилов.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Ananimus , 30-Авг-23 17:26 
Это опеннет. Тут люди не умеют читать, только писать и подозревать везде заговор США.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 22:32 
А некоторым ещё товарищ майор везде чудится
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 31-Авг-23 00:54 
То, что у тебя паранойя, еще не значит, что за тобой не следят.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Рмшъ , 02-Сен-23 11:16 
Но если у тебя нет паранойи, то это тоже не значит, что за тобой не следят.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено oficsu , 31-Авг-23 01:18 
Вам незачем верить. Я в вас не сомневаюсь, как квалифицированный а̶н̶о̶н̶и̶м разработчик, вы сможете самостоятельно проверить эти CVE, пройдя по ссылкам
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено onanim , 30-Авг-23 12:12 
> Наиболее вероятно, что кто-то подготовил отчёты на основе изучения исправленных ошибок, которые потенциально были способны привести к уязвимостям, но были признаны разработчиками основных проектов, как не влияющие на безопасность (например, могло быть переполнение буфера, но оно проявлялось только при обработке внутренних данных, на которые не может влиять пользователь).

это.
просто индусы добрались и до нашего уютного инфосека, и флудят все CVE Numbering Authorities хламом типа open redirect и фейковыми репортами, в надежде получить кучу номеров CVE и написать эти CVE себе в резюме, типа они дофига секьюрити рисёрчеры.

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Атон , 30-Авг-23 12:20 
ChatGPT вырос до уровня развития малолетнего /школьника/ и хулиганит.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Офицер ИБ , 30-Авг-23 12:27 
Уже давно пора создать национальный реестр уязвимостей
Только государство может все это поставить на ноги
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 12:51 
https://bdu.fstec.ru/vul
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 16:21 
И пора принять закон об уголовной отвественности за допущение уязвимостей в программах для ЭВМ. На первый раз наказывать штрафом: для физлиц - ..., для должностных лиц - ..., для юрлиц - .... При повторном нарушении в течение года лишение свободы на срок: для физлиц - ..., для должностных лиц - ..., для юрлиц - ....
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено IZh. , 30-Авг-23 16:58 
К сожалениею, единственный способ Гарантироать отсутствие новых ошибок -- это не писать новый код.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноним , 30-Авг-23 16:11 
В MITRE сидит некомпетентный чиновник. Он отработал рабочий день, и ему плевать на мнение разработчиков.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено IZh. , 30-Авг-23 16:56 
Какой-нибудь студент решил получить себе резюме крутого исследователя безопасности. Считай, можно хвастаться, что нашёл столько дыр уровня critical, а если хоть что-то пофиксят, то, вообще, герой.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Аноньимъ , 31-Авг-23 01:07 
> если хоть что-то пофиксят

Сишникам проще тратить часы дни и недели чтобы протестовать против статуса ошибки недели починить переполнение буфера.

"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено bOOster , 31-Авг-23 10:07 
Кто-то отправил.. Кто-то заинтересованный в популизации языков типа rust?
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Растофобофоб , 07-Сен-23 07:02 
Если бы ты умел немного думать, то додумался бы что в расте этот "баг" тоже случился бы в релизном режиме. Но это надо уметь думать.
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Neon , 05-Сен-23 04:25 
Короче, на ошибку просто забили)))
"В CVE опубликованы отчёты о ложных уязвимостях в curl, Postg..."
Отправлено Анонннннн , 07-Сен-23 07:07 
Если под "забили" ты имеешь в виду "исправили в 2019", то да.