forum.opennet.ru - "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux" (63)

"Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux"	+/–
Сообщение от opennews (??), 10-Апр-26, 17:36
Несколько выявленных за последние дни опасных уязвимостей, большинство из которых можно эксплуатировать удалённо:... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65183
Ответить \| Правка \| Cообщить модератору

Оглавление

И это они ещё с мифосом не экспериментировали , Аноним (1), 17:36 , 10-Апр-26, (1) +4
https days-since-openclaw-cve com Days since last OpenClaw CVE - 0A new CVE wa, Аноним (2), 17:39 , 10-Апр-26, (2) +5
Ужас Зачем нейронку для их выявления сделали , Аноним (3), 17:42 , 10-Апр-26, (3) –4

Чтобы на раст не переписывать Кстати, получается, что не выгодно Если ошибок с, Сладкая булочка (?), 17:56 , 10-Апр-26, (5)

Так во все эти проекты особенно в ядро каждый релиз добавляют 100500 строк нов, Аноним (11), 18:08 , 10-Апр-26, (11)

В этом и цель деньги за токены В итоге все счастливы Продолжайте вести наблюде, Сладкая булочка (?), 18:17 , 10-Апр-26, (19)

Цель кого Если корпе сказать вам не надо тратить деньги на токены, нужно просто, Аноним (-), 18:21 , 10-Апр-26, (21) +1

На чем твоя уверенность, что на переписывание создание новых уязвимостей трати, Сладкая булочка (?), 18:28 , 10-Апр-26, (25)

Причина в теории Ты сам-то хоть понял, что написал 128514 Нет, причина дыр п, Аноним (29), 18:45 , 10-Апр-26, (29)

Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует, так , Сладкая булочка (?), 18:51 , 10-Апр-26, (31)

А зачем сразу всех Давайте начнем с некого класса ошибок, которые не просто са, Аноним (35), 18:55 , 10-Апр-26, (35)

Нет, ты сводишь все к волшебному инструменту, которого нет , Сладкая булочка (?), 19:04 , 10-Апр-26, (42)

А никто и не говорит про все Речь про проблемы работы с памятью , Аноним (29), 18:57 , 10-Апр-26, (37)

Про нее и речь Ты можешь построить формальную модель, но в реальном мире особе, Сладкая булочка (?), 19:02 , 10-Апр-26, (39)

Есть большая разница у тебя unsafe только в низкоуровневом коде и у тебя весь, Аноним (43), 19:05 , 10-Апр-26, (43) –1

Не будет, т к отустуствие ub в unsafe блоке - это допущение, которое не проверя, Сладкая булочка (?), 19:14 , 10-Апр-26, (49)
Конечно будет, потому что количество небезопасного кода сокращается в десятки ра, Аноним (29), 19:25 , 10-Апр-26, (56)
У тебя любой примитив синхронизации будет с unsafe внутри Алгоритмы работают в, Сладкая булочка (?), 19:31 , 10-Апр-26, (59)

Нет, ты только что пел буквально про все уязвимости , а не только те, что вызва, Аноним (29), 19:18 , 10-Апр-26, (51)

Очередной дешевый тролинг с обвинениями Продолжать не буду Главное не забывать , Сладкая булочка (?), 19:24 , 10-Апр-26, (54) –1
Нет, просто констатация того факта, что ты переобуваешься на лету и как теперь , Аноним (29), 19:30 , 10-Апр-26, (58) –1
У тебя всегда тролинг строится по одной схеме Мой тебе совет пора что-то менят, Сладкая булочка (?), 19:34 , 10-Апр-26, (61)

зависит от области определения той или иной функции, типы как раз и есть те о, Аноним (40), 19:02 , 10-Апр-26, (40)

Посмотри формальную верификацию чего-либо околосистемного , Сладкая булочка (?), 19:10 , 10-Апр-26, (47)

Допустим шедуллер процессов, ввода-вывода, и т д и что Сложно это верифицирова, Аноним (40), 19:23 , 10-Апр-26, (53)

Мне не важно, что ты думаешь Найди и покажи такую верификацию, а мы посмотрим, , Сладкая булочка (?), 19:25 , 10-Апр-26, (55)
Скрыто модератором, Аноним (29), 19:32 , 10-Апр-26, (60) –1
Скрыто модератором, Сладкая булочка (?), 19:37 , 10-Апр-26, (63)

Ты не понимаешь, что несешь При формальной верификации кода для каждой функции,, Аноним (29), 19:06 , 10-Апр-26, (44) –1

Ну дак это искусственные условия На практике многие утверждения приходится акси, Сладкая булочка (?), 19:19 , 10-Апр-26, (52)

Это как раз не исукственные условия - это условия, которые ты контролируешь на у, Аноним (29), 19:38 , 10-Апр-26, (64)

дырява твоя модель памяти и архитектура Фон-как его там-Неймана , Аноним (40), 18:53 , 10-Апр-26, (33)

И кто же, интересно, эти те кто притормозят , Аноним (15), 18:12 , 10-Апр-26, (15)

Те же, кто дают команду на внедрение , Сладкая булочка (?), 18:15 , 10-Апр-26, (17) +1
ОНИ Судя по всему мысля такова - подобные проверки требуют много токенов- умств, Аноним (-), 18:17 , 10-Апр-26, (18) +1

Уязвимости были, есть и будут Никто не осиливает Писать низкоуровневый код сло, Сладкая булочка (?), 18:20 , 10-Апр-26, (20) –1

Вопрос в количестве Вопрос так же в количестве На плохом языке ты можешь получит, Аноним (-), 18:24 , 10-Апр-26, (22)

Про что речь Про безопасные языки Ну вот жс безопасный же А сколько уязвимо, Сладкая булочка (?), 18:31 , 10-Апр-26, (27) –1

А сколько в npm находят уязвимостей типа buffer overflow и double free , Аноним (29), 18:55 , 10-Апр-26, (34)

Ну шо ты начинаешь с Тут тебя пытаются убедить что дырявый ЯП еще огого Надо , Аноним (35), 18:59 , 10-Апр-26, (38)

нет, его писали на листе бумаги, это ваши современные зоопарки ISA привели к том, Аноним (40), 19:13 , 10-Апр-26, (48)
Да и слава богу, может те другие будет проще выловить А если и нет, то всяко ин, Аноним (57), 19:27 , 10-Апр-26, (57)

Это и была изначальная цель Теперь ИИ превратился в настоящее оружие Скорее всег, 123 (??), 17:57 , 10-Апр-26, (6) –2

Скрыто модератором, Xo (-), 18:10 , 10-Апр-26, (14) +1

Скрыто модератором, Сладкая булочка (?), 18:32 , 10-Апр-26, (28) +1

а представляете, когда-то это все будет работать без косяков и язв , dannyD (?), 17:55 , 10-Апр-26, (4)
Это все ИИ-шески понаходили , Феникс123 (?), 17:57 , 10-Апр-26, (7)
Интересно найдут ли ошибки в верифицированной библиотеке hacl Было бы инетерес, Сладкая булочка (?), 17:58 , 10-Апр-26, (8)

Скрыто модератором, Аноним (-), 18:25 , 10-Апр-26, (23)
тут уже спеку на анализ давать надо, а не код имплементацию , Аноним (40), 19:07 , 10-Апр-26, (45)

я так понимаю cups чинить уже некому или нашли очередного беднягу за спасибо , 11009 (?), 18:01 , 10-Апр-26, (9) +1

Он используется в куче дистрибутивов линукс и даже в бсд Конечно Сообщество 848, Аноним (-), 18:27 , 10-Апр-26, (24)

Ну, Ж-стример всегда отличался какчственным кодом Шикарно А ведь в нем уже нахо, Аноним (11), 18:05 , 10-Апр-26, (10) –1

Я так понимаю, Гном так и не засунул в сендбокс эту индексирующую утилиту и оно , Аноним (26), 18:30 , 10-Апр-26, (26)

А сколько уязвимостей может быть не опубликовано в массы а использовано кем над, Аноним (12), 18:09 , 10-Апр-26, (12)
Ха-ха-ха Так их , Аноним (15), 18:09 , 10-Апр-26, (13) –1
nfsd - не проверили размер буфера и получили out-of-bounds writeio_uring - чтени, Аноним (16), 18:12 , 10-Апр-26, (16) +4

Винда 8212 зло , Аноним (41), 19:03 , 10-Апр-26, (41) –1

Да, Аноним (62), 19:34 , 10-Апр-26, (62)

Вы всё врёти Не может быть опенсорс таким дырявым O_o, Rev (ok), 18:49 , 10-Апр-26, (30)
Ахаха 23 года дырени, и нашлась она только благодаря ИИ Ну что, воины против ИИ, Аноним (29), 18:52 , 10-Апр-26, (32)
Прикалываются что ли Метаданные WAV даже ардуина восьми битная читает, Oe (?), 19:08 , 10-Апр-26, (46)

Там, эээ, как следствие, формат проприетарный и в нём часто через обруч прыгать , Аноним (50), 19:16 , 10-Апр-26, (50)

Сообщения [Сортировка по времени | RSS]

1. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +4 +/–

Сообщение от Аноним (1), 10-Апр-26, 17:36

> 5 уязвимостей, выявленных в ходе экспериментов с инструментарием Claude Code
И это они ещё с мифосом не экспериментировали...

Ответить | Правка | Наверх | Cообщить модератору

2. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +5 +/–

Сообщение от Аноним (2), 10-Апр-26, 17:39

> OpenClaw
https://days-since-openclaw-cve.com/
Days since last OpenClaw CVE - 0
A new CVE was published in the last 24 hours.
Because who needs security when you have vibes?
Best CVE-less streak - 12 days

Ответить | Правка | Наверх | Cообщить модератору

3. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –4 +/–

Сообщение от Аноним (3), 10-Апр-26, 17:42

Ужас! Зачем нейронку для их выявления сделали?!

Ответить | Правка | Наверх | Cообщить модератору

5. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 17:56

Чтобы на раст не переписывать. Кстати, получается, что не выгодно. Если ошибок с памятью не будет, то кто будет менять деньги на токены. Думаю притормозят внедрение раста.

Ответить | Правка | Наверх | Cообщить модератору

11. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (11), 10-Апр-26, 18:08

Так во все эти проекты (особенно в ядро) каждый релиз добавляют 100500 строк нового кода.
И если бракоделы будут работать как диды, то такие проверки придется делать постоянно.
>Думаю притормозят внедрение раста.
Какой славный копиум)
Так уже в хроме больше чем 1.5 ляма строк раст кода, в андроиде больше 5 лямов.

Ответить | Правка | Наверх | Cообщить модератору

19. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 18:17

> такие проверки придется делать постоянно.
В этом и цель: деньги за токены. В итоге все счастливы.
>>Думаю притормозят внедрение раста.
> Какой славный копиум)
> Так уже в хроме больше чем 1.5 ляма строк раст кода, в
> андроиде больше 5 лямов.
Продолжайте вести наблюдение.

Ответить | Правка | Наверх | Cообщить модератору

21. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +1 +/–

Сообщение от Аноним (-), 10-Апр-26, 18:21

> В этом и цель: деньги за токены.
Цель кого?
> В итоге все счастливы.
Если корпе сказать "вам не надо тратить деньги на токены, нужно просто внедрить..." то значительная часть задумается.
> Продолжайте вести наблюдение.
Продолжаю.
Дырявые ЯП будут вытеснены на обочину истории.
Спасти ИИшка тут не поможет, так как устряняет симптомы, а не причину.

Ответить | Правка | Наверх | Cообщить модератору

25. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 18:28

>> В итоге все счастливы.
> Если корпе сказать "вам не надо тратить деньги на токены, нужно просто
> внедрить..." то значительная часть задумается.
На чем твоя уверенность, что на переписывание + создание новых уязвимостей тратится меньше денен?
>> Продолжайте вести наблюдение.
> Продолжаю.
> Дырявые ЯП будут вытеснены на обочину истории.
> Спасти ИИшка тут не поможет, так как устряняет симптомы, а не причину.
А причина в самой теории вычислимости. Можно только уменьшить симптомы, но проблемы никуда не уйдет.

Ответить | Правка | Наверх | Cообщить модератору

29. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (29), 10-Апр-26, 18:45

>>> Дырявые ЯП будут вытеснены на обочину истории.
>> Спасти ИИшка тут не поможет, так как устряняет симптомы, а не причину.
> А причина в самой теории вычислимости
Причина в теории? Ты сам-то хоть понял, что написал? 😂
Нет, причина дыр при работе с памятью - это именно дырявые языки.

Ответить | Правка | Наверх | Cообщить модератору

31. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 18:51

>>>> Дырявые ЯП будут вытеснены на обочину истории.
>>> Спасти ИИшка тут не поможет, так как устряняет симптомы, а не причину.
>> А причина в самой теории вычислимости
> Причина в теории? Ты сам-то хоть понял, что написал? 😂
Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует, так как это эквивалентно решению проблемы остановки, что принципиально невозможно. Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями.

Ответить | Правка | Наверх | Cообщить модератору

35. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (35), 10-Апр-26, 18:55

> Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует,
А зачем сразу "всех"?
Давайте начнем с некого класса ошибок, которые не просто самые распространенные причины CVE, но и приводят к очень плохим последствиям.
И распространенность этого класса ошибок можно видеть прям в этой новости.
> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями.
Ну, т.е раз современной пилой можно попасть по пальцу, то давайте махать каменным топором как диды?
Я правильно понял идею?

Ответить | Правка | Наверх | Cообщить модератору

42. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:04

>> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями.
> Ну, т.е раз современной пилой можно попасть по пальцу, то давайте махать
> каменным топором как диды?
> Я правильно понял идею?
Нет, ты сводишь все к волшебному инструменту, которого нет.

Ответить | Правка | Наверх | Cообщить модератору

37. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (29), 10-Апр-26, 18:57

> Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует
А никто и не говорит про все. Речь про проблемы работы с памятью.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

39. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:02

>> Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует
> А никто и не говорит про все. Речь про проблемы работы с
> памятью.
Про нее и речь. Ты можешь построить формальную модель, но в реальном мире (особенно низкоуровневом) придется из нее выходить, чтобы что-то сделать, поэтому есть unsafe в разных языках и прочие проблемы с асинхронным кодом.

Ответить | Правка | Наверх | Cообщить модератору

43. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Аноним (43), 10-Апр-26, 19:05

Есть большая разница "у тебя unsafe только в низкоуровневом коде" и "у тебя весь код unsafe и CVEшка может случиться даже при парсинге строки в UI".
Более того если у тебя каким-то образом помечены "стремные" места, то ИИшке будет гораздо легче.

Ответить | Правка | Наверх | Cообщить модератору

49. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:14

> Есть большая разница "у тебя unsafe только в низкоуровневом коде" и "у
> тебя весь код unsafe и CVEшка может случиться даже при парсинге
> строки в UI".
> Более того если у тебя каким-то образом помечены "стремные" места, то ИИшке
> будет гораздо легче.
Не будет, т.к. отустуствие ub в unsafe блоке - это допущение, которое не проверяется. Эти проверки уже идут в райнтайме (смотри miri и сколько багов он нашел в safe коде). Это как раз аналогично тому, что в формализме мы говорим "забей, тут все будет выполняться", а по факту оно не выполняется, например, из-за аппаратной ошибки, чем и пользуются экплуатации уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору

56. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (29), 10-Апр-26, 19:25

>> Более того если у тебя каким-то образом помечены "стремные" места, то ИИшке будет гораздо легче.
> Не будет, т.к. отустуствие ub в unsafe блоке - это допущение, которое не проверяется
Конечно будет, потому что количество небезопасного кода сокращается в десятки раз по сравнению с изначальными 100% сишочной лапши. Не говоря уж о том, что вся хитроумная логика и асинхронщина находятся за пределами unsafe.
> например, из-за аппаратной ошибки
Ох как ты ловко спрыгнул с обсуждения языков и алгоритмов на аппаратные ошибки.

Ответить | Правка | Наверх | Cообщить модератору

59. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:31

>>> Более того если у тебя каким-то образом помечены "стремные" места, то ИИшке будет гораздо легче.
>> Не будет, т.к. отустуствие ub в unsafe блоке - это допущение, которое не проверяется
> Конечно будет, потому что количество небезопасного кода сокращается в десятки раз по
> сравнению с изначальными 100% сишочной лапши. Не говоря уж о том,
> что вся хитроумная логика и асинхронщина находятся за пределами unsafe.
У тебя любой примитив синхронизации будет с unsafe внутри.
>> например, из-за аппаратной ошибки
> Ох как ты ловко спрыгнул с обсуждения языков и алгоритмов на аппаратные
> ошибки.
Алгоритмы работают в реальном мире на секунду. Если хочешь рассуждать о них в отрыве, то тебе в теоретики, но тогда проблемы с памятью тебя вообще волновать не должны в твоей модели.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

51. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (29), 10-Апр-26, 19:18

>>> поиск всех уязвимостей
>> Речь про проблемы работы с памятью.
> Про нее и речь.
Нет, ты только что пел буквально про "все уязвимости", а не только те, что вызваны работой с памятью. Ты прямо на лету переобуваешься, я смотрю.
> Ты можешь построить формальную модель, но в реальном мире (особенно низкоуровневом) придется из нее выходить, чтобы что-то сделать, поэтому есть unsafe
Главное, что за пределами unsafe в 95% остального кода этих проблем не будет.
> прочие проблемы с асинхронным кодом.
Давай поподробнее, что это за "проблемы с асинхронностью". Вот с учетом того, что одна из основных целей создания borrow checker была как раз решение всех проблем с асинхронным/многопоточным кодом, а не просто "память не ронять".

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

54. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:24

>>>> поиск всех уязвимостей
>>> Речь про проблемы работы с памятью.
>> Про нее и речь.
> Нет, ты только что пел буквально про "все уязвимости", а не только
> те, что вызваны работой с памятью. Ты прямо на лету переобуваешься,
> я смотрю.
Очередной дешевый тролинг с обвинениями? Продолжать не буду.
>> Ты можешь построить формальную модель, но в реальном мире (особенно низкоуровневом) придется из нее выходить, чтобы что-то сделать, поэтому есть unsafe
> Главное, что за пределами unsafe в 95% остального кода этих проблем не
> будет.
Главное не забывать это повторять перед сном.
>> прочие проблемы с асинхронным кодом.
> Давай поподробнее, что это за "проблемы с асинхронностью". Вот с учетом того,
> что одна из основных целей создания borrow checker была как раз
> решение всех проблем с асинхронным/многопоточным кодом, а не просто "память не
> ронять".
Видно, что дальше рекламных буклетов раста ты не смортел. Штош, это было сразу понятно.

Ответить | Правка | Наверх | Cообщить модератору

58. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Аноним (29), 10-Апр-26, 19:30

>> Нет, ты только что пел буквально про "все уязвимости", а не только те, что вызваны работой с памятью. Ты прямо на лету переобуваешься, я смотрю.
> Очередной дешевый тролинг с обвинениями?
Нет, просто констатация того факта, что ты переобуваешься на лету и (как теперь очевидно) не в состоянии отвечать за свои собственные слова.
> Главное не забывать это повторять перед сном.
> Видно, что дальше рекламных буклетов раста ты не смортел. Штош, это было сразу понятно.
> Очередной дешевый тролинг
Какая ирония...

Ответить | Правка | Наверх | Cообщить модератору

61. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:34

>>> Нет, ты только что пел буквально про "все уязвимости", а не только те, что вызваны работой с памятью. Ты прямо на лету переобуваешься, я смотрю.
>> Очередной дешевый тролинг с обвинениями?
> Нет, просто констатация того факта, что ты переобуваешься на лету и (как
> теперь очевидно) не в состоянии отвечать за свои собственные слова.
У тебя всегда тролинг строится по одной схеме? Мой тебе совет: пора что-то менять, палишься.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

40. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (40), 10-Апр-26, 19:02

> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями.
зависит от области определения той или иной функции, "типы" как раз и есть те "ограничители" допустимых значений аргументов функций.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

47. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:10

>> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями.
> зависит от области определения той или иной функции, "типы" как раз и
> есть те "ограничители" допустимых значений аргументов функций.
Посмотри формальную верификацию чего-либо околосистемного.

Ответить | Правка | Наверх | Cообщить модератору

53. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (40), 10-Апр-26, 19:23

> Посмотри формальную верификацию чего-либо околосистемного.
Допустим шедуллер процессов, ввода-вывода, и т.д. и что? Сложно это верифицировать? Думаю даже на оборот, у таких систем строго должна быть описана спека, и всякая имплементация должна быть верифицирована. Не вижу проблемы. Перед тем как писать код какого-либо шедуллера, необходимо написать теоретическую (научную) статью описывающий алгоритм, доказать его корректность и т.д., написать строгую спецификацию с приложениями по имплементации, и только после всего этого писать имплементацию (кодировать), которую собственно потом необходимо верифицировать. А в реальности что? - "я у мамы погромист" или "бабушка, я не нах*р"! :)

Ответить | Правка | Наверх | Cообщить модератору

55. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:25

>> Посмотри формальную верификацию чего-либо околосистемного.
> Допустим шедуллер процессов, ввода-вывода, и т.д. и что? Сложно это верифицировать? Думаю даже на оборот
Мне не важно, что ты думаешь. Найди и покажи такую верификацию, а мы посмотрим, где там допущения.

Ответить | Правка | Наверх | Cообщить модератору

60. Скрыто модератором –1 +/–

Сообщение от Аноним (29), 10-Апр-26, 19:32

> Мне не важно, что ты думаешь. Найди и покажи
В общем, ничего содержательного по теме ты выдать больше не способен. Ну ничего: будет тебе уроком больше не бросаться умными терминами, смысла которых ты не понимаешь.

Ответить | Правка | Наверх | Cообщить модератору

63. Скрыто модератором +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:37

>> Мне не важно, что ты думаешь. Найди и покажи
> В общем, ничего содержательного по теме ты выдать больше не способен. Ну
> ничего: будет тебе уроком больше не бросаться умными терминами, смысла которых
> ты не понимаешь.
Что, не получилось найти верификацию? А должно было быть "просто" как ты говорил https://www.opennet.dev/openforum/vsluhforumID3/139772.html#53 Ну ничего, сейчас щеки надуем, неберем побольше воздуха и выдадим грозный комментарий. Получается, ты бумажный тигр?)

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

44. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Аноним (29), 10-Апр-26, 19:06

> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями.
Ты не понимаешь, что несешь. При формальной верификации кода для каждой функции, ее аргументов и их типов жестко задаются пред/пост-условия и инварианты, и если они отсутствуют или не полны, то верификатор просто откажется дать тебе ответ.
Ты бы хоть посмотрел, как это работает в том же Ada/Spark, прежде чем умными словами бросаться. Допущениями решается, блждад...

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

52. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 19:19

>> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями.
> Ты не понимаешь, что несешь. При формальной верификации кода для каждой функции,
> ее аргументов и их типов жестко задаются пред/пост-условия и инварианты, и
> если они отсутствуют или не полны, то верификатор просто откажется дать
> тебе ответ.
Ну дак это искусственные условия. На практике многие утверждения приходится аксиоматизировать. Что-то остается недоказанным. Что-то приходится допускать.
> Ты бы хоть посмотрел, как это работает в том же Ada/Spark, прежде
> чем умными словами бросаться. Допущениями решается, блждад...
Покажи мне на ada/spark формально верифицированный аллокатор, например.

Ответить | Правка | Наверх | Cообщить модератору

64. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (29), 10-Апр-26, 19:38

> Ну дак это искусственные условия. На практике многие утверждения приходится аксиоматизировать. Что-то остается недоказанным. Что-то приходится допускать.
Это как раз не исукственные условия - это условия, которые ты контролируешь на уровне алгоритма. Все поведение за пределами алгоритма (например, сломанное железо) к самому алгоритму и его реализации в коде отношения не имеет, и, соответсвенно, чисто физически не сожет быть математически верифицируемым.
Это как бы очевидно, не?

Ответить | Правка | Наверх | Cообщить модератору

33. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (40), 10-Апр-26, 18:53

> Нет, причина дыр при работе с памятью - это именно дырявые языки.
дырява твоя модель памяти и архитектура Фон-как его там-Неймана!!!

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

15. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (15), 10-Апр-26, 18:12

> Думаю притормозят внедрение раста.
И кто же, интересно, эти те кто притормозят?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

17. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +1 +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 18:15

>> Думаю притормозят внедрение раста.
> И кто же, интересно, эти те кто притормозят?
Те же, кто дают команду на внедрение.

Ответить | Правка | Наверх | Cообщить модератору

18. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +1 +/–

Сообщение от Аноним (-), 10-Апр-26, 18:17

ОНИ!
Судя по всему мысля такова:
- подобные проверки требуют много токенов
- умственноотсталые будут делать одни и те же уязвимости, как они делают c 1972 года
- поэтому проверки надо будет делать постоянно, желательно после каждого коммита
- следовательно компании предоставляющие ЫЫ инфраструктуру смогут заработать много денег
Идея в общем-то имеет какую-то логику, но вопрос "а нафига это корпам которые код пишут" остается открытым.
Не проще ли выкинуть на мороз тех, кто не осиливает новые технологии?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

20. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 18:20

> Идея в общем-то имеет какую-то логику, но вопрос "а нафига это корпам
> которые код пишут" остается открытым.
> Не проще ли выкинуть на мороз тех, кто не осиливает новые технологии?
Уязвимости были, есть и будут. Никто не осиливает. Писать низкоуровневый код сложно. Да даже без этого уязвимости будут, только другие. А корпам выгодно иметь дешевых разработчиков. Думайте.

Ответить | Правка | Наверх | Cообщить модератору

22. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (-), 10-Апр-26, 18:24

> Уязвимости были, есть и будут.
Вопрос в количестве.
> Никто не осиливает.
Вопрос так же в количестве)
На плохом языке ты можешь получить рут просто нажав backspace 28 раз.
> Писать низкоуровневый код сложно.
Особенно если использовать для написания инструменты прошлого тысячелетия.
> Да даже без этого уязвимости будут, только другие.
Т.е мы избавимся от части уязвимостей? Ну так это отлично.
> А корпам выгодно иметь дешевых разработчиков.
А еще они любят срезать косты на других направлениях.

Ответить | Правка | Наверх | Cообщить модератору

27. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 18:31

>> Уязвимости были, есть и будут.
> Вопрос в количестве.
Про что речь? Про "безопасные языки"? Ну вот жс безопасный же. А сколько уязвимостей в npm находят. Вот и думай.

Ответить | Правка | Наверх | Cообщить модератору

34. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (29), 10-Апр-26, 18:55

> Ну вот жс безопасный же. А сколько уязвимостей в npm находят.
А сколько в npm находят уязвимостей типа buffer overflow и double free?

Ответить | Правка | Наверх | Cообщить модератору

38. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (35), 10-Апр-26, 18:59

Ну шо ты начинаешь?! (с)

Тут тебя пытаются убедить что дырявый ЯП еще огого!
Надо не только обмазать овнокод санитайзарами, фаззерами, но и запускать регулярную ИИшку.

Ответить | Правка | Наверх | Cообщить модератору

48. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (40), 10-Апр-26, 19:13

> Писать низкоуровневый код сложно
нет, его писали на листе бумаги, это ваши современные зоопарки ISA привели к тому, что обычному студенту в лом читать 4000 страниц референс мануала по архитектуре ЦПУ, который через полгода будет выкинут на свалку, потому-что и ЦПУ проектирует такие же "дятлы" в угоду прибыли. Архитектура Фон-Неймана - кал!!!

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

57. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (57), 10-Апр-26, 19:27

> уязвимости будут, только другие
Да и слава богу, может те другие будет проще выловить. А если и нет, то всяко интереснее, чем по одним и тем же граблям 50 лет.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

6. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –2 +/–

Сообщение от 123 (??), 10-Апр-26, 17:57

Это и была изначальная цель.
Теперь ИИ превратился в настоящее оружие.
Скорее всего мы сильно приблизились к массовому применению термоядерного оружия.
А что останется делать противникам сша, если те вынесут всю компьютерную инфраструктуру?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

14. Скрыто модератором +1 +/–

Сообщение от Xo (-), 10-Апр-26, 18:10

Таблетки пропить и принять контрастный душ.

Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором +1 +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 18:32

> Таблетки пропить и принять контрастный душ.
Тут явно проблема сложнее. Укол и постельный режим.

Ответить | Правка | Наверх | Cообщить модератору

4. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от dannyD (?), 10-Апр-26, 17:55

а представляете, когда-то это все будет работать без косяков и язв!

Ответить | Правка | Наверх | Cообщить модератору

7. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Феникс123 (?), 10-Апр-26, 17:57

Это все ИИ-шески понаходили?

Ответить | Правка | Наверх | Cообщить модератору

8. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Сладкая булочка (?), 10-Апр-26, 17:58

Интересно найдут ли ошибки в верифицированной библиотеке hacl*? Было бы инетересно.

Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором +/–

Сообщение от Аноним (-), 10-Апр-26, 18:25

Или тот же SPARKNaCL

Ответить | Правка | Наверх | Cообщить модератору

45. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (40), 10-Апр-26, 19:07

тут уже спеку на анализ давать надо, а не код (имплементацию)

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

9. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +1 +/–

Сообщение от 11009 (?), 10-Апр-26, 18:01

я так понимаю cups чинить уже некому? или нашли очередного беднягу за спасибо?

Ответить | Правка | Наверх | Cообщить модератору

24. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (-), 10-Апр-26, 18:27

Он используется в куче дистрибутивов линукс и даже в бсд.
Конечно Сообщество™ не может скинуться по копейке, чтобы нанять человека.
Как говорится: узрите силу Сообщества™

Ответить | Правка | Наверх | Cообщить модератору

10. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Аноним (11), 10-Апр-26, 18:05

> GStreamer - 11 уязвимостей: 3 переполнением буфера и 8 уязвимостей вызваны целочисленным переполнением или разыменованием нулевого указателя
Ну, Ж-стример всегда отличался какчственным кодом))
> CUPS - 8 уязвимостей, две могут использоваться для организации удалённого выполнения своего кода с правами root
Шикарно!
А ведь в нем уже находили подобную дырень.
> NixOS - Уязвимость даёт возможность перезаписать любой файл в системе ... с правами root. Проблема вызвана некорректным устранением уязвимости CVE-2024-27297 в 2024 году.
А как дышали, как дышали!
> В ядре Linux устранено 5 уязвимостей, выявленных в ходе экспериментов с инструментарием Claude Code
Даже дырявый опенклод находит уязвимости в ядре.

Ответить | Правка | Наверх | Cообщить модератору

26. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (26), 10-Апр-26, 18:30

> Ну, Ж-стример всегда отличался какчственным кодом))
Я так понимаю, Гном так и не засунул в сендбокс эту индексирующую утилиту и оно до сих пор выполняет все скачанные файлы просто так?

Ответить | Правка | Наверх | Cообщить модератору

12. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (12), 10-Апр-26, 18:09

А сколько уязвимостей может быть не опубликовано в массы а использовано "кем надо" и даже "кем не надо".

Ответить | Правка | Наверх | Cообщить модератору

13. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Аноним (15), 10-Апр-26, 18:09

> помечена как неопасная так как она проявляется только на 32-разрядных платформах
Ха-ха-ха. Так их!

Ответить | Правка | Наверх | Cообщить модератору

16. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +4 +/–

Сообщение от Аноним (16), 10-Апр-26, 18:12

> В ядре Linux устранено 5 уязвимостей,
nfsd - не проверили размер буфера и получили out-of-bounds write
io_uring - чтение за пределами буфера
ksmbd - конвертили unsigned 32 в signed int (как же хорошо что язык это делает неявно) и получили heap buffer overflow
- race condition
и futex забыли (или забили?) на проверить могут ли флаги не совпадать
В общем все как обычно))

Ответить | Правка | Наверх | Cообщить модератору

41. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." –1 +/–

Сообщение от Аноним (41), 10-Апр-26, 19:03

> В общем все как обычно))
Винда — зло?

Ответить | Правка | Наверх | Cообщить модератору

62. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (62), 10-Апр-26, 19:34

Да

Ответить | Правка | Наверх | Cообщить модератору

30. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Rev (ok), 10-Апр-26, 18:49

Вы всё врёти! Не может быть опенсорс таким дырявым! O_o

Ответить | Правка | Наверх | Cообщить модератору

32. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (29), 10-Апр-26, 18:52

> В ядре Linux
> Уязвимость в драйвере NFS
> начиная с ядра 2.6.0 (2003 год).
> Claude Code
Ахаха! 23 года дырени, и нашлась она только благодаря ИИ.
Ну что, воины против ИИ, ваш выход! "Лже-ИИ бесполезен", говорили они. "Лже-ИИ ничего не пониает", говорили они. "Лже-ИИ разбирается только на том, на чем был натренирован", говорили они...

Ответить | Правка | Наверх | Cообщить модератору

46. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Oe (?), 10-Апр-26, 19:08

> обработке данных в форматах WAV
Прикалываются что ли? Метаданные WAV даже ардуина восьми битная читает

Ответить | Правка | Наверх | Cообщить модератору

50. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..." +/–

Сообщение от Аноним (50), 10-Апр-26, 19:16

Там, эээ, как следствие, формат проприетарный и в нём часто через обруч прыгать надо. Как видим, это умеют не только лишь все. Лично мне приходилось патчить туеву хучу софта, чтобы WAVE_FORMAT с fffe поддерживался, иначе файлы тупо не определялись. Показательно.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+4 +/–
Сообщение от Аноним (1), 10-Апр-26, 17:36
> 5 уязвимостей, выявленных в ходе экспериментов с инструментарием Claude Code И это они ещё с мифосом не экспериментировали...
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+5 +/–
Сообщение от Аноним (2), 10-Апр-26, 17:39
> OpenClaw https://days-since-openclaw-cve.com/ Days since last OpenClaw CVE - 0 A new CVE was published in the last 24 hours. Because who needs security when you have vibes? Best CVE-less streak - 12 days
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	–4 +/–
Сообщение от Аноним (3), 10-Апр-26, 17:42
Ужас! Зачем нейронку для их выявления сделали?!
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 17:56
	Чтобы на раст не переписывать. Кстати, получается, что не выгодно. Если ошибок с памятью не будет, то кто будет менять деньги на токены. Думаю притормозят внедрение раста.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Аноним (11), 10-Апр-26, 18:08
	Так во все эти проекты (особенно в ядро) каждый релиз добавляют 100500 строк нового кода. И если бракоделы будут работать как диды, то такие проверки придется делать постоянно. >Думаю притормозят внедрение раста. Какой славный копиум) Так уже в хроме больше чем 1.5 ляма строк раст кода, в андроиде больше 5 лямов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 18:17
	> такие проверки придется делать постоянно. В этом и цель: деньги за токены. В итоге все счастливы. >>Думаю притормозят внедрение раста. > Какой славный копиум) > Так уже в хроме больше чем 1.5 ляма строк раст кода, в > андроиде больше 5 лямов. Продолжайте вести наблюдение.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+1 +/–
	Сообщение от Аноним (-), 10-Апр-26, 18:21
	> В этом и цель: деньги за токены. Цель кого? > В итоге все счастливы. Если корпе сказать "вам не надо тратить деньги на токены, нужно просто внедрить..." то значительная часть задумается. > Продолжайте вести наблюдение. Продолжаю. Дырявые ЯП будут вытеснены на обочину истории. Спасти ИИшка тут не поможет, так как устряняет симптомы, а не причину.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 18:28
	>> В итоге все счастливы. > Если корпе сказать "вам не надо тратить деньги на токены, нужно просто > внедрить..." то значительная часть задумается. На чем твоя уверенность, что на переписывание + создание новых уязвимостей тратится меньше денен? >> Продолжайте вести наблюдение. > Продолжаю. > Дырявые ЯП будут вытеснены на обочину истории. > Спасти ИИшка тут не поможет, так как устряняет симптомы, а не причину. А причина в самой теории вычислимости. Можно только уменьшить симптомы, но проблемы никуда не уйдет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Аноним (29), 10-Апр-26, 18:45
	>>> Дырявые ЯП будут вытеснены на обочину истории. >> Спасти ИИшка тут не поможет, так как устряняет симптомы, а не причину. > А причина в самой теории вычислимости Причина в теории? Ты сам-то хоть понял, что написал? 😂 Нет, причина дыр при работе с памятью - это именно дырявые языки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 18:51
	>>>> Дырявые ЯП будут вытеснены на обочину истории. >>> Спасти ИИшка тут не поможет, так как устряняет симптомы, а не причину. >> А причина в самой теории вычислимости > Причина в теории? Ты сам-то хоть понял, что написал? 😂 Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует, так как это эквивалентно решению проблемы остановки, что принципиально невозможно. Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Аноним (35), 10-Апр-26, 18:55
	> Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует, А зачем сразу "всех"? Давайте начнем с некого класса ошибок, которые не просто самые распространенные причины CVE, но и приводят к очень плохим последствиям. И распространенность этого класса ошибок можно видеть прям в этой новости. > Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями. Ну, т.е раз современной пилой можно попасть по пальцу, то давайте махать каменным топором как диды? Я правильно понял идею?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:04
	>> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями. > Ну, т.е раз современной пилой можно попасть по пальцу, то давайте махать > каменным топором как диды? > Я правильно понял идею? Нет, ты сводишь все к волшебному инструменту, которого нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Аноним (29), 10-Апр-26, 18:57
	> Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует А никто и не говорит про все. Речь про проблемы работы с памятью.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	39. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:02
	>> Идеального алгоритма, гарантирующего поиск всех уязвимостей, не существует > А никто и не говорит про все. Речь про проблемы работы с > памятью. Про нее и речь. Ты можешь построить формальную модель, но в реальном мире (особенно низкоуровневом) придется из нее выходить, чтобы что-то сделать, поэтому есть unsafe в разных языках и прочие проблемы с асинхронным кодом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	–1 +/–
	Сообщение от Аноним (43), 10-Апр-26, 19:05
	Есть большая разница "у тебя unsafe только в низкоуровневом коде" и "у тебя весь код unsafe и CVEшка может случиться даже при парсинге строки в UI". Более того если у тебя каким-то образом помечены "стремные" места, то ИИшке будет гораздо легче.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:14
	> Есть большая разница "у тебя unsafe только в низкоуровневом коде" и "у > тебя весь код unsafe и CVEшка может случиться даже при парсинге > строки в UI". > Более того если у тебя каким-то образом помечены "стремные" места, то ИИшке > будет гораздо легче. Не будет, т.к. отустуствие ub в unsafe блоке - это допущение, которое не проверяется. Эти проверки уже идут в райнтайме (смотри miri и сколько багов он нашел в safe коде). Это как раз аналогично тому, что в формализме мы говорим "забей, тут все будет выполняться", а по факту оно не выполняется, например, из-за аппаратной ошибки, чем и пользуются экплуатации уязвимостей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Аноним (29), 10-Апр-26, 19:25
	>> Более того если у тебя каким-то образом помечены "стремные" места, то ИИшке будет гораздо легче. > Не будет, т.к. отустуствие ub в unsafe блоке - это допущение, которое не проверяется Конечно будет, потому что количество небезопасного кода сокращается в десятки раз по сравнению с изначальными 100% сишочной лапши. Не говоря уж о том, что вся хитроумная логика и асинхронщина находятся за пределами unsafe. > например, из-за аппаратной ошибки Ох как ты ловко спрыгнул с обсуждения языков и алгоритмов на аппаратные ошибки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:31
	>>> Более того если у тебя каким-то образом помечены "стремные" места, то ИИшке будет гораздо легче. >> Не будет, т.к. отустуствие ub в unsafe блоке - это допущение, которое не проверяется > Конечно будет, потому что количество небезопасного кода сокращается в десятки раз по > сравнению с изначальными 100% сишочной лапши. Не говоря уж о том, > что вся хитроумная логика и асинхронщина находятся за пределами unsafe. У тебя любой примитив синхронизации будет с unsafe внутри. >> например, из-за аппаратной ошибки > Ох как ты ловко спрыгнул с обсуждения языков и алгоритмов на аппаратные > ошибки. Алгоритмы работают в реальном мире на секунду. Если хочешь рассуждать о них в отрыве, то тебе в теоретики, но тогда проблемы с памятью тебя вообще волновать не должны в твоей модели.
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору


	51. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Аноним (29), 10-Апр-26, 19:18
	>>> поиск всех уязвимостей >> Речь про проблемы работы с памятью. > Про нее и речь. Нет, ты только что пел буквально про "все уязвимости", а не только те, что вызваны работой с памятью. Ты прямо на лету переобуваешься, я смотрю. > Ты можешь построить формальную модель, но в реальном мире (особенно низкоуровневом) придется из нее выходить, чтобы что-то сделать, поэтому есть unsafe Главное, что за пределами unsafe в 95% остального кода этих проблем не будет. > прочие проблемы с асинхронным кодом. Давай поподробнее, что это за "проблемы с асинхронностью". Вот с учетом того, что одна из основных целей создания borrow checker была как раз решение всех проблем с асинхронным/многопоточным кодом, а не просто "память не ронять".
	Ответить \| Правка \| К родителю #39 \| Наверх \| Cообщить модератору


	54. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	–1 +/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:24
	>>>> поиск всех уязвимостей >>> Речь про проблемы работы с памятью. >> Про нее и речь. > Нет, ты только что пел буквально про "все уязвимости", а не только > те, что вызваны работой с памятью. Ты прямо на лету переобуваешься, > я смотрю. Очередной дешевый тролинг с обвинениями? Продолжать не буду. >> Ты можешь построить формальную модель, но в реальном мире (особенно низкоуровневом) придется из нее выходить, чтобы что-то сделать, поэтому есть unsafe > Главное, что за пределами unsafe в 95% остального кода этих проблем не > будет. Главное не забывать это повторять перед сном. >> прочие проблемы с асинхронным кодом. > Давай поподробнее, что это за "проблемы с асинхронностью". Вот с учетом того, > что одна из основных целей создания borrow checker была как раз > решение всех проблем с асинхронным/многопоточным кодом, а не просто "память не > ронять". Видно, что дальше рекламных буклетов раста ты не смортел. Штош, это было сразу понятно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	–1 +/–
	Сообщение от Аноним (29), 10-Апр-26, 19:30
	>> Нет, ты только что пел буквально про "все уязвимости", а не только те, что вызваны работой с памятью. Ты прямо на лету переобуваешься, я смотрю. > Очередной дешевый тролинг с обвинениями? Нет, просто констатация того факта, что ты переобуваешься на лету и (как теперь очевидно) не в состоянии отвечать за свои собственные слова. > Главное не забывать это повторять перед сном. > Видно, что дальше рекламных буклетов раста ты не смортел. Штош, это было сразу понятно. > Очередной дешевый тролинг Какая ирония...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:34
	>>> Нет, ты только что пел буквально про "все уязвимости", а не только те, что вызваны работой с памятью. Ты прямо на лету переобуваешься, я смотрю. >> Очередной дешевый тролинг с обвинениями? > Нет, просто констатация того факта, что ты переобуваешься на лету и (как > теперь очевидно) не в состоянии отвечать за свои собственные слова. У тебя всегда тролинг строится по одной схеме? Мой тебе совет: пора что-то менять, палишься.
	Ответить \| Правка \| К родителю #58 \| Наверх \| Cообщить модератору


	40. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Аноним (40), 10-Апр-26, 19:02
	> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями. зависит от области определения той или иной функции, "типы" как раз и есть те "ограничители" допустимых значений аргументов функций.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	47. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:10
	>> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями. > зависит от области определения той или иной функции, "типы" как раз и > есть те "ограничители" допустимых значений аргументов функций. Посмотри формальную верификацию чего-либо околосистемного.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Аноним (40), 10-Апр-26, 19:23
	> Посмотри формальную верификацию чего-либо околосистемного. Допустим шедуллер процессов, ввода-вывода, и т.д. и что? Сложно это верифицировать? Думаю даже на оборот, у таких систем строго должна быть описана спека, и всякая имплементация должна быть верифицирована. Не вижу проблемы. Перед тем как писать код какого-либо шедуллера, необходимо написать теоретическую (научную) статью описывающий алгоритм, доказать его корректность и т.д., написать строгую спецификацию с приложениями по имплементации, и только после всего этого писать имплементацию (кодировать), которую собственно потом необходимо верифицировать. А в реальности что? - "я у мамы погромист" или "бабушка, я не нах*р"! :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:25
	>> Посмотри формальную верификацию чего-либо околосистемного. > Допустим шедуллер процессов, ввода-вывода, и т.д. и что? Сложно это верифицировать? Думаю даже на оборот Мне не важно, что ты думаешь. Найди и покажи такую верификацию, а мы посмотрим, где там допущения.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. Скрыто модератором	–1 +/–
	Сообщение от Аноним (29), 10-Апр-26, 19:32
	> Мне не важно, что ты думаешь. Найди и покажи В общем, ничего содержательного по теме ты выдать больше не способен. Ну ничего: будет тебе уроком больше не бросаться умными терминами, смысла которых ты не понимаешь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. Скрыто модератором	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:37
	>> Мне не важно, что ты думаешь. Найди и покажи > В общем, ничего содержательного по теме ты выдать больше не способен. Ну > ничего: будет тебе уроком больше не бросаться умными терминами, смысла которых > ты не понимаешь. Что, не получилось найти верификацию? А должно было быть "просто" как ты говорил https://www.opennet.dev/openforum/vsluhforumID3/139772.html#53 Ну ничего, сейчас щеки надуем, неберем побольше воздуха и выдадим грозный комментарий. Получается, ты бумажный тигр?)
	Ответить \| Правка \| К родителю #60 \| Наверх \| Cообщить модератору


	44. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	–1 +/–
	Сообщение от Аноним (29), 10-Апр-26, 19:06
	> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями. Ты не понимаешь, что несешь. При формальной верификации кода для каждой функции, ее аргументов и их типов жестко задаются пред/пост-условия и инварианты, и если они отсутствуют или не полны, то верификатор просто откажется дать тебе ответ. Ты бы хоть посмотрел, как это работает в том же Ada/Spark, прежде чем умными словами бросаться. Допущениями решается, блждад...
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	52. "Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, Open..."	+/–
	Сообщение от Сладкая булочка (?), 10-Апр-26, 19:19
	>> Попытка доказать правильность программы через верификацию часто сталкивается с алгоритмической неразрешимостью и решается различными допущениями. > Ты не понимаешь, что несешь. При формальной верификации кода для каждой функции, > ее аргументов и их типов жестко задаются пред/пост-условия и инварианты, и > если они отсутствуют или не полны, то верификатор просто откажется дать > тебе ответ. Ну дак это искусственные условия. На практике многие утверждения приходится аксиоматизировать. Что-то остается недоказанным. Что-то приходится допускать. > Ты бы хоть посмотрел, как это работает в том же Ada/Spark, прежде > чем умными словами бросаться. Допущениями решается, блждад... Покажи мне на ada/spark формально верифицированный аллокатор, например.
	Ответить \| Правка \| Наверх \| Cообщить модератору