The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "  +/
Сообщение от opennews (?), 28-Дек-25, 13:21 
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP  и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке  шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64517

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Grand (?), 28-Дек-25, 13:21    Скрыто ботом-модератором–4 +/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

2. Сообщение от Аноним (2), 28-Дек-25, 13:25   +1 +/
>Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены.

Еще не все, кто надо, воспользовались :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от Аноним (5), 28-Дек-25, 13:28   +4 +/
Вот это случайность так случайность. Никто не виноват. У всех коммитов есть автор и описание, но имя героя мы никогда не узнаем, потому что он не виноват, серьёзные люди его попросили чуть-чуть ошибиться.      
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9, #12, #47, #60

5. Сообщение от Аноним (5), 28-Дек-25, 13:29   +3 +/
Они уже, который десяток пользовались. Просто подключились пользователи из другой страны и отверстие приходится закрывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:33   +/
"Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"),"
И
"Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа". Я смотрю что у них ни модульного ни интеграционного тестирования с упором на безопасность не проводится... . Поделие какое то на коленке а не надежное ПО. Мдя... Особенно первая уязвимость меня убивает. Это на этапе модульного или интеграционного тестирования проверить можно.  Как минимум так это выглядит по тексту.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #71

8. Сообщение от Бжежко (ok), 28-Дек-25, 13:36   –5 +/
Усложняешь, серьезные люди это плод твоей фантазии. Очевидная причина - на Си невозможно писать сложные программы, не допуская ошибок по работе с памятью. Си устарел, он не отвечает требованиям современных вызовов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10, #16, #23, #52, #83, #85, #108, #115

9. Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:37   –3 +/
Если можно списать проишествие на безолаберность и залатность, то скорее всего так и есть, а не злой умысел. Но если автор хочет везде найти чей то умысел то конечно да, он его найдет и в программе "Hello World!".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11, #18

10. Сообщение от Аноним (5), 28-Дек-25, 13:38   +7 +/
Ну конечно же Си виноват, а не Анб. Анб выдумал подмосковный сумасшедший Эдик сноуден. Зачем этот выдуманный Анб навязывает Раст никому неизвестно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #38, #104

11. Сообщение от Аноним (5), 28-Дек-25, 13:39   +2 +/
Просто назови автора коммита. Выйди из комнаты и соверши ошибку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #15, #88

12. Сообщение от Аноним (38), 28-Дек-25, 13:44   +/
>серьёзные люди его попросили чуть-чуть ошибиться

Если возможной причиной проблемы может быть либо дурость, либо целенаправленный саботаж, то в 99,9% случаев это дурость.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #27, #64

15. Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:49   +1 +/
Так просто все. Иди на гит этого проекта и посмотри кто писал, кто одобрил. Все открыто же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #26

16. Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:54   –3 +/
Ага ага невозможно на си писать не выщывая проблем. Гы гы. Писать надо уметь а не обмазаться фреймворками и синтаксическим сахаром и всяким разными ржавчинами и сидеть брызгать слюной. Ну Си требует высокой квалификации и стройной системы разработки которая предотвращает такие ошибки, но это дорого, очень дорого. Реально проще взять что-то побезопасней и по современней и кучи ошибок обойти, только вот и там надо уметь писать. А то можно и на пайтоне получить утечку памяти ечли говнокодить. Но на Си можно писать зороший качественный код. Это п сложноконечно, но можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #42, #72, #80

18. Сообщение от Аноним (18), 28-Дек-25, 13:57   +/
>залатность

Ну вот и большинство афторов так же считают: быстро залатанное дырявым не считается. Ы! :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от Аноним (22), 28-Дек-25, 14:03   –2 +/
> в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла

О Боже, это же классика индусского кода, зачем так делать… А потом на Си гонят, якобы «язык плохой»..

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #93

23. Сообщение от Аноним (23), 28-Дек-25, 14:03   +/
Перепишут на Algol68.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

25. Сообщение от Аноним (-), 28-Дек-25, 14:07    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (5), 28-Дек-25, 14:08   +/
Вот видишь у тебя а голове стоит блок на мыслепреступление. Ты не имеешь права сомневаться в большом брате.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #30

27. Сообщение от Аноним (5), 28-Дек-25, 14:09    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

28. Сообщение от Фнон (-), 28-Дек-25, 14:09   –2 +/
Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?
Или на крайняк компилятор должен ругаться "тут какое-то др-мо написано!"
Правдо в подобных проектах обычно warning'и выключают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #31, #44, #92

29. Сообщение от Аноним (5), 28-Дек-25, 14:14   +4 +/
И это не просто ошибка в калькуляторе или там в рисоваке кнопочек и не в приложении по запросу котиков из интернета. Это библиотека по шифрованию, шифрованию Карл с 1999 года, Карл! Неожиданная неожиданность. Даже у нас все шифрование должно проходить через три буквы, а тут просто бац и "случайная" ошибка, Карл!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #35, #37

30. Сообщение от анонимно2 (?), 28-Дек-25, 14:14   +/
Какой блок, если подробностей нет то и не известно где в коде проблемы. Будут опубликованы исправления можно будет смотреть чьи ошибки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #33, #86

31. Сообщение от Аноним (5), 28-Дек-25, 14:16   –1 +/
Нет таких языков. Но есть нейросеть, чтобы проверять чужой заведомо малварный код.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от Аноним (32), 28-Дек-25, 14:20   –2 +/
Вы пострадали от
> И это не просто ошибка в калькуляторе

?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #34

33. Сообщение от Аноним (5), 28-Дек-25, 14:20   +1 +/
Отмазы для бедных. Просто никому невыгодно раскрывать крота. И нельзя чтобы пролы начинали задавать вопросы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (5), 28-Дек-25, 14:21   +2 +/
Почитай как разные либы занимаются операциями с плавающей точкой. Познаешь дзен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от Аноним (35), 28-Дек-25, 14:36   +/
Все мы помним кто у сабжа автор и что он говорил не так давно. Бэкдорчики никого смущать не должны в такой ситуации. Глупо было бы их там не иметь при таких раскладах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #43, #94

36. Сообщение от Аноним (43), 28-Дек-25, 14:37   +1 +/
1. там в анонсе ещё секвоя была заявлена:

>When looking into various PGP-related codebases for some personal use cases, we found these expectations not met, and discovered multiple vulnerabilities in cryptographic utilities, namely in *GnuPG*, *Sequoia PGP*, *age*, and *minisign*.

2. Но тут админ вообще пушку не запостил как новость: https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/...

Bunn1e & Xobbs запустили на TSMC производство своего RISC-V во многом опенсорсного чипа (System Verilog-код на гитхабе), спроектированного под запуск их операционки, отгрузка во втором квартале 2026.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

37. Сообщение от Аноним (23), 28-Дек-25, 14:39   +/
У нас-то оно должно проходить через три буквы, чтобы быть шифрованием - для кого надо "шифрованием".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

38. Сообщение от Аноним (38), 28-Дек-25, 14:39   +1 +/
>Анб навязывает Раст

У DARPA получилось "навязать" Интернет всему миру.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #56

39. Сообщение от Аноним (43), 28-Дек-25, 14:41   +1 +/
>Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера

Тут ещё всякие нас много лет убеждали "TLS не нужен, есть же GPG-подписи!" - но мы не верили. Некоторые корпорации принципиально не вешали TLS на сервера обновлений пакетных менеджеров. Даже после того, как их в открытую обвинили в саботаже и сотрудничестве с гебнёй.

Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Аноним (38), 28-Дек-25, 14:43   +3 +/
>обрезка данных по границе 20000 символов при вычислении хэша

Закладки так не делают. Такое можно сделать только по исключительной тупости.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #50

41. Сообщение от localhostadmin (ok), 28-Дек-25, 14:44   –2 +/
Никогда не понимал, почему всех возмущает переусложнённость systemd, но никто упорно не замечает такого слона, как gpg? Хотя он стоит по умолчанию в целой куче дистров
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59, #98

42. Сообщение от Бжежко (ok), 28-Дек-25, 14:45   –2 +/
Cи не столько требует высокой квалификации, сколько предельной внимательности. На Си в теории можно написать хороший, качественный код, но как ты сам выразился это дорого и долго. Таких программистов исчезающе мало, и их квалификация - это дроч с заморочками Си а не какие-то там сверхумения в алгоритмах итд. Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си? Дрочить на инструмент - это не инженерный подход, это из разряда религий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #58

43. Сообщение от Аноним (43), 28-Дек-25, 14:46   +/
Что конкретно вы имеете в виду? Я вот помню, что сравнительно недавно был какой-то разлад между разрабами GnuPG и стандартизаторами OpenPGP, в результате чего появились 2 стандарта, друг другу противоречащих, один в GnuPG, а другой - в других реализациях, и мне, не специалисту, не понятно, какой из них с бэкдором, вероятно что оба.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #53, #55

44. Сообщение от Аноним (44), 28-Дек-25, 14:48   +1 +/
> Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?

А у скрипача должна быть скрипка, не позволяющая плохо играть?))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #48, #65

45. Сообщение от Аноним (45), 28-Дек-25, 14:48   +/
> RUST приди, порядок наведи !

Ему некогда. Там срочно проверяют код во всех обвязках, которые написали, после недавней CVE.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

46. Сообщение от Аноним (46), 28-Дек-25, 14:50   +/
Закладки именно так делают. Всегда можно тыкнуть в текст лицензии, где отказ от ответственности, тыкнуть в исходник, где явно всё закодено, потом тыкнуть в морду пострадавшему и намекнуть, что он б**ло, которое не читает исходники, жрёт, что дают, и вообще не учит криптографию, не учит практики кодинга криптографии, и не пишет свою реализацию, и поэтому сам во всём виноват. Закладки - они бывают ведь разные. Одни - от б**ла, а другие - от иранских ядерных центрифуг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #68

47. Сообщение от timur.davletshin (ok), 28-Дек-25, 14:52   +/
У GnuPG с кодописателями вообще исторически туго. Посмотри, кто туда коммитит, сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

48. Сообщение от Бжежко (ok), 28-Дек-25, 14:56   –2 +/
Скрипач не может навредить если сфальшивит. А вот программист может натворить дел, ценой ошибки может являться человеческая жизнь или здоровье. Ответсвенный инженер должен понимать цену ошибки и выбирать инструменты минимизирующие ее возможность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #54, #57

49. Сообщение от Tron is Whistling (?), 28-Дек-25, 15:01   +/
Какой-то совсем уж жёсткий набор дыр, а вот это вот - "из-за обрезки данных по границе 20000 символов при вычислении хэша" - вообще сказка. Где голова у того, кто это писал?
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (5), 28-Дек-25, 15:02   +/
Вот поэтому ты и не специалист по закладкам. Прятать лучше всего на самом видном месте. А в случае чего всего можно сказать что это чудовищная "случайность".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #62

51. Сообщение от Tron is Whistling (?), 28-Дек-25, 15:02   +/
(2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #66, #96

52. Сообщение от Tron is Whistling (?), 28-Дек-25, 15:04   +/
Вот к этой обрезке хеша по 20000 символов C вообще отношения не имеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

53. Сообщение от Аноним (5), 28-Дек-25, 15:04   +/
Как говорится не дайте себя обмануть в другом месте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

54. Сообщение от Tron is Whistling (?), 28-Дек-25, 15:05   +/
Поверь, к оборудованию, "где ценой ошибки", 99% погромистов просто не подпустят, и подходы там совершенно другие. Да, проблемы бывают и там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #105

55. Сообщение от Аноним (35), 28-Дек-25, 15:05    Скрыто ботом-модератором+1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

56. Сообщение от Аноним (56), 28-Дек-25, 15:06   +6 +/
Вместо mesh-сетей, у которых нет рубильника.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #76, #114

57. Сообщение от Аноним (5), 28-Дек-25, 15:07    Скрыто ботом-модератором+3 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

58. Сообщение от Аноним (5), 28-Дек-25, 15:09   +/
Я тебя сейчас удивлю, готовься, набери воздуха в грудь. Все языки требуют предельной внимательности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #77

59. Сообщение от Фнон (?), 28-Дек-25, 15:15   +/
Как можно не понимать такие простые вещи??
systemd делалось по заказу корпораций для угнетения админов,
а gpg пишут мальчики-зайчики из проекта ГНУ!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #73

60. Сообщение от Аноним (60), 28-Дек-25, 15:15   +/
А какие у вас будут доказательства что человек специально написал уязвимости?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #63

62. Сообщение от Аноним (60), 28-Дек-25, 15:19   –3 +/
Какие доказательства есть что это закладка а не человеческая ошибка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #74

63. Сообщение от Фнон (?), 28-Дек-25, 15:24   –2 +/
Э... т.е человек чисто случайно не приходя в сознание написал код?
Который чисто случайно оказался овнокодищем?
И совершенно случайно и совсем не специально привел к уязвимости?
Звучит логично!
Особенно для #define MAX_LINELEN 20000
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #75, #91

64. Сообщение от 12yoexpert (ok), 28-Дек-25, 15:25   –1 +/
ты реально думаешь, что вяленый, пулса, раст, телеграм, gimp и cloudflare, - это всё дурость, а не целенаправленный саботаж?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #69, #79

65. Сообщение от Анонимусс (-), 28-Дек-25, 15:25   +/
> А у скрипача должна быть скрипка, не позволяющая плохо играть?))

У скрипача должна быть скрипка, а не табуретка к которой прифигачили несколько кусков медного провода.
Так и тут - у разработчика должен быть инструмент, а не древнее овно мамонта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #99

66. Сообщение от 12yoexpert (ok), 28-Дек-25, 15:29   +/
никому
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

68. Сообщение от Аноним (38), 28-Дек-25, 15:30   +/
>Закладки именно так делают.

Почитай разбор про выбор параметров таблиц замен в алгоритмах Стрибог и Кузнечик. Лучшие мировые криптоаналитики бились, но *доказать* неслучайность так и не смогли. В итоге предали анафеме исключительно на основе «highly likely» (часовню тоже я)

Вот как делают закладки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

69. Сообщение от Аноним (69), 28-Дек-25, 15:31   +/
> за пределы буфера записывается лишний байт

Опять сишникам в штаны кто-то другой наложил?..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

70. Сообщение от Аноним (70), 28-Дек-25, 15:31   +/
Во-первых, на сайте я вижу 14 пунктов а не 12. Во-вторых, вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"
: https://openwall.com/lists/oss-security/2025/12/28/5
Ответить | Правка | Наверх | Cообщить модератору

71. Сообщение от Аноним (71), 28-Дек-25, 15:32   –1 +/
если что деды тесты не пишут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

72. Сообщение от Аноним (72), 28-Дек-25, 15:41    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

73. Сообщение от Аноним (5), 28-Дек-25, 15:41   +/
Кто финансирует зайчиков? Кто у них тимлид, начальник, к т отдаёт им приказы, кто контролирует? Кто контролирует тех кто контролирует?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #82, #101

74. Сообщение от Аноним (5), 28-Дек-25, 15:42   +3 +/
Какие доказательства есть что это человеческая ошибка а не закладка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #97

75. Сообщение от Аноним (5), 28-Дек-25, 15:43   +/
То есть Jia Tan не виноват, а хакеров выдумали массоны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #100

76. Сообщение от Аноним (5), 28-Дек-25, 15:44   –1 +/
Каждый роутер даже в меш сети рассадник уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

77. Сообщение от Бжежко (ok), 28-Дек-25, 15:44   –1 +/
Очевидно, что не все. Языки с автоматическим управлением памятью не требуют предельной внимательности именно в этой части - за GC/RAII/счётчики ссылок значительную долю рутины берёт на себя рантайм или стандартные абстракции.

Из-за этого снижается когнитивная нагрузка, меньше нужно держать в голове жизненные циклы объектов, владение, корректность освобождения, риск use-after-free и double free. Высвобождённые ресурсы разработчик может направить на архитектуру, корректность бизнес-логики, тестирование, производительность на уровне алгоритмов итд

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #110

79. Сообщение от Бжежко (ok), 28-Дек-25, 15:49   –1 +/
> это всё дурость, а не целенаправленный саботаж

Можешь это доказать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #87

80. Сообщение от онанист (?), 28-Дек-25, 15:49   +/
невозможно на си писать не выщывая проблем.

надо быть тока повнимательнее

зороший качественный

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

81. Сообщение от онанист (?), 28-Дек-25, 15:50   +/
а что вы хотели без сертификата фстек?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #113

82. Сообщение от онанист (?), 28-Дек-25, 15:51   +/
никто
базар же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #84

83. Сообщение от Аноним (83), 28-Дек-25, 15:51    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

84. Сообщение от Аноним (86), 28-Дек-25, 16:06   –1 +/
А я думал сова. Или китайцы или американцы или северные корейцы. Или все вместе взятые, но разных разрабов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

85. Сообщение от Аноним (85), 28-Дек-25, 16:06   –1 +/
Сложно — не значит не возможно. Все эти ошибки можно было бы отловить фаззингом. А часть — и статическим анализом. Но проект слишком стар, во время его появления таким не занимались. Почему до сих пор этого не сделали — большой вопрос, однако.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

86. Сообщение от Аноним (86), 28-Дек-25, 16:07    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

87. Сообщение от 12yoexpert (ok), 28-Дек-25, 16:10   +/
то, что ты так думаешь? да, могу, у тебя на лбу написано
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

88. Сообщение от Аноним (85), 28-Дек-25, 16:10   +/
А чего ты от других этого требуешь? Сам и назови, раз утверждаешь, что это один человек. И коммиты указать не забудь. Опровергать твои домыслы никто не обязан, бремя доказательства лежит на обвиняющем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

90. Сообщение от robot228email (?), 28-Дек-25, 16:12   +/
Что вместо GnuPG использовать? Секвою какую-то рекомендовали кажись?
Ответить | Правка | Наверх | Cообщить модератору

91. Сообщение от Аноним (85), 28-Дек-25, 16:14   +/
Дай угадаю: в твоём коде никогда не бывает ошибок, потому что ты за свою жизнь не написал ни строчки кода, достойной того, чтобы кто-то стал искать в нём ошибки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

92. Сообщение от Аноним (44), 28-Дек-25, 16:17   +/
> в нормальном языке

Язык нормальный, просто плохому танцору вечно что-то мешает… И данный CVE это наглядно демонстрирует - язык тут вообще не при чём. Если уж компилятор должен такой «детский сад, штаны на лямках» фиксить, то это будет компилятор для дебилов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

93. Сообщение от Аноним (85), 28-Дек-25, 16:19   +/
Зачем так делать — понятно: надо перебирать символы, переменное число которых кодирует один байт. Но забывать про проверку на выход за границы при этом, конечно, нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #95

94. Сообщение от Аноним (85), 28-Дек-25, 16:21   +/
> Все мы помним

All generalizations are false.
Просвети.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

95. Сообщение от Аноним (44), 28-Дек-25, 16:23   +/
Всё-равно никогда не надо изменять переменную одновременно в объявлении и в теле цикла, это бред.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

96. Сообщение от Аноним (85), 28-Дек-25, 16:24    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

97. Сообщение от Аноним (85), 28-Дек-25, 16:28    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

98. Сообщение от Аноним (85), 28-Дек-25, 16:34   +/
Подкину тебе ещё один повод для паранойи: а не является ли целью сей акции повсеместное пропихивание sequoia вместо gpg?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #107

99. Сообщение от Аноним (44), 28-Дек-25, 16:44   +/
> а не древнее овно мамонта

Т.е. скрипка, которая не претерпела изменений со времён средневековья, по-твоему «овно мамонта». Ок, понял.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #102

100. Сообщение от Аноним (100), 28-Дек-25, 16:50   +/
/s Ну очевидно же что это ложный китайский след чтобы очернить некорпоративных разработчиков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

101. Сообщение от Фнон (-), 28-Дек-25, 16:53   +/
Так никто не контролирует.
Просто собрались васяны, устроили базар, пишут как могут и когда могут.
Никакой ответственности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

102. Сообщение от Анонимусс (?), 28-Дек-25, 16:56   –1 +/
> одно из самых ранних изображений скрипки (трёхструнной, по форме далёкой от классической)
> в итальянской живописи — картина Гауденцио Феррари «Мадонна апельсиновых деревьев» (1529)

Это уже не средние века, а Позднее Возрождение. Так что мимо.
Но сишечка это даже не проскрипка. Это какая-то палка-копалка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #106

104. Сообщение от Аноним (104), 28-Дек-25, 17:02   +/
Посмотрим, что это анб скажет на gccrs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #111

105. Сообщение от RM (ok), 28-Дек-25, 17:06   +/
> Но и оставшийся процент сможет нафакапить?
> Therac-25 передает привет)

справедливости ради предыдущий оратор указал, что "и там проблемы бывают"

> Я уже молчу про менее смертельные, но неприятные ошибки, типа 1к пострадавших почтальонов (включая тюремные сроки) у Бриташек, которым [зря тут был эпитет] из Fujitsu написали овнокод.

я так понял там честь красного мундира дефектифные манагеры до последнего защищали

из свежего - пишут 7 не пережили ошибки https://sfconservancy.org/blog/2025/dec/23/seven-abbott-free.../
там статья в очень своеобразном стиле, но похоже датчик нормальный, а вот прилАжение на мабилу навайбыкодили

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

106. Сообщение от Аноним (44), 28-Дек-25, 17:07    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

107. Сообщение от localhostadmin (ok), 28-Дек-25, 17:17   +/
Лично я просто стараюсь избегать использования pgp вцелом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

108. Сообщение от Аноним (108), 28-Дек-25, 17:20   +1 +/
> не отвечает требованиям современных вызовов

Неправильно, в Си отсутствует наличие соответствия нормам концептуальных требований современных вызовов дорожной карты устойчивого развития.

А так-то да, если бы он постепенно превращался в D, ничего бы не было (а не "добавим VLA, уберём VLA; добавим Annex K, забудем Annex K; ой всё, мы уже целых 2 раза пытались язык улучшать, ни вышла").

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

109. Сообщение от Скотобаза (?), 28-Дек-25, 17:24    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

110. Сообщение от 12yoexpert (ok), 28-Дек-25, 17:45   +/
какая же у тебя помойка в голове

не хочешь у меня что-нибудь купить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #116

111. Сообщение от Аноним (111), 28-Дек-25, 17:48   +/
Вечно отстающая реализация языка, где требовать вчерашнюю ночнушку в продакшен норма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

113. Сообщение от Аноним (-), 28-Дек-25, 18:14    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

114. Сообщение от penetrator (?), 28-Дек-25, 18:19   +/
ой а чего это вы фидонет до сих пор не используете?

дураку понятно, что это рынок, скорость и охват все решил

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

115. Сообщение от penetrator (?), 28-Дек-25, 18:21   +/
учитывая культуру производства, там все равно какой язык, грабли - гарантированы, и чуть большая сложность си не так уж важна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

116. Сообщение от мелстрой (?), 28-Дек-25, 18:45    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру