URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 132508
[ Назад ]
Исходное сообщение
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено opennews , 06-Янв-24 10:23
В библиотеке Qt выявлена уязвимость (CVE-2023-51714) в реализации протокола HTTP/2, позволяющая добиться записи своих данных за пределы выделенного буфера. Уязвимость вызвана целочисленным переполнением в коде разбора упакованных заголовков (HPack) и проявляется при получении более 4 ГБ суммарных данных HTTP-заголовков или 2 ГБ для одного заголовка. Проблема устранена в обновлениях Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60395
Содержание
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 10:46 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,ПомидорИзДолины, 10:53 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,12yoexpert, 10:56 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 10:57 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 11:02 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 11:14 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,ПомидорИзДолины, 14:17 , 15-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 12:20 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Агл, 13:13 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 13:34 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 14:34 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 04:53 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 15:20 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 18:19 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 23:39 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 09:22 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 21:27 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 15:45 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 19:11 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 16:38 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 16:44 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,_, 20:32 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 13:14 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 22:14 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Советский инженер, 10:32 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноньимъ, 04:19 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 16:48 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноньимъ, 17:12 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 17:35 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноньимъ, 18:29 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 19:25 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноньимъ, 12:39 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 21:48 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,анон, 23:24 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноньимъ, 12:18 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Котофалк, 09:27 , 09-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,cheburnator9000, 13:11 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 17:15 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 12:35 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 13:37 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 08:03 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 16:53 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 16:52 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 14:36 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 10:00 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,nora puchreiner, 14:36 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 14:43 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 15:09 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 15:42 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 09:26 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 14:58 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 10:22 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 16:21 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 02:15 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 13:36 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 15:03 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 21:06 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 21:40 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 20:10 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,_, 20:36 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 01:17 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Ананимус, 02:19 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 10:04 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Ананимус, 11:06 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 17:08 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 21:38 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Ананимус, 11:11 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,anonymous, 03:58 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,cheburnator9000, 13:07 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 17:38 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,ОШИБКА Отсутствуют данные в поле Name, 20:33 , 06-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 09:59 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 17:11 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 21:09 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 21:43 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 23:30 , 07-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 18:17 , 08-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 15:29 , 09-Янв-24
- Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 ,Аноним, 00:34 , 10-Янв-24
Сообщения в этом обсуждении
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 10:46
Не понимаю почему бы всем не приложить усилия к одной реализации которая потом может быть портирована куда угодно... например к nghttp2 или 3
Зачем плодить кучи г-на выделяя тонны CO2
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено ПомидорИзДолины , 06-Янв-24 10:53
Потому что у дырявой сишки до сих пор нет нормального пакетного менеджера?
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено 12yoexpert , 06-Янв-24 10:56
можно npm взять
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 10:57
похоже это уже становится достоинством
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 11:02
ну так оно будет включено во все пакетные менеджеры для всех языков которые поддерживают вызов c-функций ... а это все современные языки (почти)
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 11:14
> Потому что у дырявой сишки до сих пор нет нормального пакетного менеджера? Это пожалуй к лучшему - никто не включит 2FA под угрозой расстрела, и не скачает весь интернет, попутно сделав все пакеты репы нуулови^W неудалимыми.
А нормальный пакетный менеджер - это тот который в ОС, для руления ее компонентами. Зачем надо десять способов делать одно и то же? Получается потом - как вон там в соседних новостях.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено ПомидорИзДолины , 15-Янв-24 14:17
> Это пожалуй к лучшему - никто не включит 2FA под угрозой расстрела,
> и не скачает весь интернет, попутно сделав все пакеты репы нуулови^W
> неудалимыми.Ну дак надо проектировать нормально. С множеством мастеров и приватными зеркалами by-design.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 12:20
- const unsigned sum = unsigned(name.size() + value.size());
+ size_t sum;
+ if (qAddOverflow(size_t(name.size()), size_t(value.size()), &sum))
+ return HeaderSize();Ну забыли проверить размер, ну бывает!
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Агл , 06-Янв-24 13:13
"Безопасность в коде определяется не отсутствием дыр, а возможностью программистов их вовремя прикрывать!"
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 13:34
Если попало в новости, значит, вовремя не прикрыли.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 14:34
Как раз вовремя, потому что не пришлось втихую патчить.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 04:53
Обезвреживать, глеб егорыч
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 15:20
По версии местных ыкспертов, программисты, которые допускают такие ошибки, должны быть разжалованы из программистов, а проект быть нареченным говнокодом. Правда, за десятки лет так и не научились писать на языках с ручным управлением памяти без ошибок, так что по такой логике нет настоящих программистов.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 18:19
Именно так, потому как надо точно понимать то что ты пишешь и хотя бы владеть инструментами тестирования если ты такой тупой.
Чтобы писать на языках с управлением памятью надо почитать как это делается и иметь обычай перепроверять вручную все обращения к памяти.
А если эти упыри с с искуственным интеллектом заведут работать суперкомпьютер высчитывая вероятность написать код правильно ударами модотка по корпусу, то скорее всего он еще и выдаст что шанс ненулевой даже, хотя всем понятно что именно нулевой на практике.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 23:39
> и хотя бы владеть инструментами тестирования если ты такой тупой.гугловцы утверждают, что мало помогает, прям совсем. Но да, поверю тебе, что они там просто все тупые, поголовно.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 09:22
Наоборот, гугловцы предлагают одни из лучших инструментов для тестирования и они помогают им еще как! Хром почти не крашится, уязвимостей немного и оперативно исправляются.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 21:27
Судя по тому что практически в любом мало мальски крупном проекте был юи такие ошибки, то стоит признать что ручное управление памятью оно не для кожанных мешков с костями. Раз за несколько десятков лет этот класс ошибок не только не остался в прошлом, но и остаётся в топе популярных.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 15:45
>> if (qAddOverflow(size_t(name.size()), size_t(value.size()), &sum))зачем вообще писать на С++ генерируя такие конструкции
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 19:11
А что и на что вы предлагаете заменить?
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 16:38
Тут гогнодизайн в самом API: вместо того, чтобы size() ф-ии как, и везде в мире, возвращали size_t, они возвращают ssize_t (знаковый тип). Нужно, очевидно, наконец таки убрать маразм из своей кодовой базы, ну или сделать костыль в виде некой свободной ф-ии типа питоновского len(...)
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 16:44
Ну и qAddOverflow(...) зачем-то берёт последний аргумент по указателю, хотя в данном случае нужно по ссылке. Так обычно делают когда аргумент опиционален, но здесь он обязателен и если положить nullptr, то код сложится. В общем, весь Qt устарел на не один десяток лет. Ссылки в с++ появились где-то в 1985, первый Qt появился в 1991.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено _ , 06-Янв-24 20:32
> зачем вообще писать на С++ генерируя такие конструкцииА ты вообще в курсе _ЧТО_ такое Qt ?!
... не думаю! ;-)
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 08-Янв-24 13:14
Qt... Что-то из области маркетинга, видимо.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 22:14
Кути пришли из 90х. Ты помнишь плюсы тех лет?
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Советский инженер , 07-Янв-24 10:32
>Кути пришли из 90х. Ты помнишь плюсы тех лет?а из каких годов пришел HTTP/2 ?
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноньимъ , 07-Янв-24 04:19
А если всё проверять то будет не производительно (( и код дольше писать.Окажется что сишечка не быстрее гошечки да джавы. А так нельзя.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 16:48
В данном случае это особенность формата HPACK, он хитрый и нужно много проверять. Тут проверки на итоговые задержки практически не повлияют. Во всяком случае сначала нужно написать корректный код с проверками, а потом аккуратно оптимизировать. Тут же сразу на от...сь сложили два unsigned и результат проверили на переполнение сравнением с max<unsigned>(). Даже не пытались не нагогнокодить
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноньимъ , 07-Янв-24 17:12
> Во всяком случае сначала нужно написать корректный код с проверкамиАвтоматически увеличивает строк кода в сишечной программы в 3-5 раз. Соответственно и трупрограммисто рабочих часов. На самом деле часов будет больше, так как растёт не линейно.
> Тут же сразу на от...сь сложили два unsigned
Обычная сишечная практика.
> и результат проверили на переполнение сравнением с max<unsigned>()
И вот реально, наняли же на работу, платят человеку ЗП.
> Даже не пытались не нагогнокодить
По другому почти никогда и не бывает. Особенно с сишкой. Потому как читать первую часть комментария, иной подход требует очень дорогих специалистов и кучу человеко-часов.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 17:35
Чушь пишеь, это c++ и здесь всё можно посахарить до уровня питона
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноньимъ , 07-Янв-24 18:29
Сишка и сипипишка конечно отличаются. Сишка просто несколько хромосом лишних имеет. Но сипипишка страдает острой маниакальной шизофренией.Да, можно включить в сипипишке рантайм чек, добавить управление памятью, и завернуть бездумные адские "шаблоны" и прочую сатанинскую жуть в что-то более няшное.
Только С# изобрели много много лет назад, и ненужно вот таким вот в нём заниматься вообще, оно уже всё там есть.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 19:25
Какая ты всё-таки бестолочь. C# тормоз и не гибкий ЯП
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноньимъ , 08-Янв-24 12:39
> Какая ты всё-таки бестолочь. C# тормоз и не гибкий ЯП Если С# - не гибкий, пишите на F#.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 21:48
>С# изобрели много много лет назадАга, каждая программа гвоздями прибита к конкретной .Net Core, дофига зависимостей и пакетам нюгета. Ффзвезду ЯП с таким рантаймом.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено анон , 07-Янв-24 23:24
.Net поддерживает компиляцию в нативный код (как и Java к слову, но с ограничениями)
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноньимъ , 08-Янв-24 12:18
> Ага, каждая программа гвоздями прибита к конкретной .Net Core, дофига зависимостей и
> пакетам нюгета. Ффзвезду ЯП с таким рантаймом.У С++ дела с этим гораздо ХУЖЕ.
И вообще, дотнетовские программы то обычно жаст воркс, и им для этого ненужен пАкЕтНый меНеджЕр.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Котофалк , 09-Янв-24 09:27
> жаст ворксжаст котегов себе заведи жаст пяток. Ну чтобы выяснить, что кроме "жаст" ещё нужно чтоб к лотку были приучены. Да и других тонкостей вагон. Да и дотнетовский "жаст воркс" тоже ожидается что конфиги на месте (там где определил дистр), логи на месте, органы управления на месте. Но у дотнетчиков понятное дело не так. Весь пар в жалобы про пакетный менеджер в пабликах.
И да, "жаст ворк" это про static линковку? Это вы так удивить пытались?
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено cheburnator9000 , 07-Янв-24 13:11
Просто кому-то захотелось выпендриться и написать феерическое "const unsigned" чтобы что не ясно, вместо условного unsigned long long или Qt-шного quint64.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 17:15
Размер то они проверили, но не осилили сложить два unsigned без переполнения
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 12:35
При каких условиях можно достичь 2 ГиБ данных на один HTTP-заголовок... 0_o
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 13:37
Куки OAuth2, например. Если они оказались всего 4 Кб, то вам просто повезло, выдали минимальный набор атрибутов. А в расширенном может быть всё, что угодно, включая home video в качестве параметров биометрии.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 08:03
Многие уязвимости как раз происходят, котому что "кому в голову придет посылать 2Гб хидер?"
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 16:53
Не, это не так работает. Присылается 1 байт, а в заголовке указывается что на самом деле много больше. Гогнокодеры, которые не валидируют данные, в итоге получают выход за границы буфера
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 16:52
Это защита от намеренных атак на протокол, клиент/сервер могут прислать что угодно
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 14:36
БезопасТный в этом случае не помог бы.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 10:00
Помог бы. Если программа не существует, в ней 0 ошибок.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено nora puchreiner , 06-Янв-24 14:36
> Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2. А откуда такие высокие номера версий, сразу +4 и +5?
В 6.2.x например последняя 6.2.7 (https://github.com/qt/qt5/tags), в 5.15.x - 5.15.12
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 14:43
Так коммерческие версии же. Их открывают только через год.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 15:09
Они вроде собирались переходить на открытие исходников коммерческой версии через 5 лет только.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 15:42
Пора на slint переходить.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 09:26
Переходи, разрешаю.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 08-Янв-24 14:58
Перешел. Прикольно.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 08-Янв-24 10:22
В расте в релизе по дефолту отключены проверки на переполнение чисел. Там были бы ровно такие же проблемы.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 16:21
Замечу, что это в том числе следствие подхода «Qt — это экосистема», с дурацким стремлением всё переписать и всё втянуть в себя, вместо того чтобы пилить UI–toolkit.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 02:15
Так всё порезано на модули. Используйте себе на здоровье только QtGui, если надо.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 13:36
Что в самом Qt GUI багов и недоделанных фич мало, что ресурсы разбазаривают на всякое на коленке сделанное ненужно, которое никто адекватный использовать не будет.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 15:03
Ну как бы всё это можно использовать и в приложении гуишном, например, впн-клиент
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 21:06
Опять же, если нужно кроссплатформ, то практически безальтернативно. А так поробуйте, чтобы вот это вот всё с миру по нитке, сборная солянка везде, не то чтобы даже заработала, а просто собралась и для разных дистров Linux, и для xBSD, и для оффтопиков разных.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 21:40
libcurl кроссплатформенна.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 06-Янв-24 20:10
Вколько раз говорили: тулкиты зло. Закопать свою реализцию и заменить на libcurl - и проблема решена.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено _ , 06-Янв-24 20:36
... до тех пок пока в libcurl не найдут прекрасное :)
PS: опенет заполонили какие то пугливые карапузики! А ... ну дык - каникулы :)
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 01:17
Автор libcurl занимается написанием http-библиотеки профессионально. Авторы Qt - чисто для галочки.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Ананимус , 07-Янв-24 02:19
Да он дырявый по самые помидоры.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 10:04
Да вроде нетhttps://github.com/curl/curl/issues
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Ананимус , 08-Янв-24 11:06
Да точно, посмотри список их CVE.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 17:08
Но не умеет писать нормальную документацию. В частности, нет обзорной справки о устройстве кишок библиотеки, нет нормального пояснения в каких уровнях по API её можно использовать и т.д. Везде начинает ходить вокруг да около частностями, а обо всём выше читатель должен догадываться сам. Хотя для встраивания куда-либо это самые первые и важные вопросы. Либа в curl тоже в основном для галочки, основной его продукт это сама утилита.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 21:38
У меня документация никаких проблем не вызвала.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Ананимус , 08-Янв-24 11:11
> Либа в curl тоже в основном для галочки, основной его продукт это сама утилита. Очень спорное утверждение. libcurl используется в git, cmake, rsyslog, libreoffice, icecast и куче других проектов.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено anonymous , 08-Янв-24 03:58
Она же на С, а не на С++.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено cheburnator9000 , 07-Янв-24 13:07
Зачем работодатель платит тебе зарплату если проще заменить тебя на более толкового человека??
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 17:38
Более толковый человек уже наверняка где-то работает
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено ОШИБКА Отсутствуют данные в поле Name , 06-Янв-24 20:33
Очень хороший протокол, зря ругаете. Три уже есть, миллион на подходе.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 09:59
Учитывая огромный объем проекта Qt всего одна уязвимость такого рода это не просто хорошо, это отлично. Осознайте масштаб проекта.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 17:11
Просто на Qt мало чего сделано, где могут искать уязвимости. Только неадекват будет использовать Qt сверх GUI для важного кода
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 21:09
Интересно, проект KDE согласен с твоим мнением? ;)
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 21:43
KDE - это абсолютно неважный код. Судя по тому, что плазма по-прежнему падает.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 07-Янв-24 23:30
И самое странное, что она падает только у тех, кто ей не пользуется.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 08-Янв-24 18:17
Проект KDE может иметь какое угодно мнение, но оно никого не волнует с их менее 1% использования на десктопах. Массово не интересны ни потенциальным кулхацкерам, ни исследователям проблем с безопасностью.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 09-Янв-24 15:29
32% из 7.23% (Linux-десктопы) всех десктопов.
"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "
Отправлено Аноним , 10-Янв-24 00:34
хм у QT есть свой http2? удивлен