Свежие комментарии
| Title | Comment |
|---|---|
| А вариант "б" правильнее. :-) |
А кому Вы отписывались-то? Кстати, есть и третий вариант. Делаете шаблон отписки: )))) |
| Ну у меня это первый опыт |
Ну у меня это первый опыт попадания в security reports. А дальше есть два варианта действий С точки зрения моей головной боли, вариант "а" кажется предпочтительнее. |
| Не согласен. |
Возьмите, например, описание последней уязвимости линуксового ядра: ИМХО, Вы поленились и опустили очевидные Вам подробности, они поленились проверить и изложили Ваш репорт как поняли, наши тоже поленились и "тупо перевели". Не далее как вчера, находясь в цейтноте, я пытался пересечься с женой, и дважды ходили в разные места. А это жена всё же, не дяди из-за бугра. :-D |
| Это не скилл "написания |
Это не скилл "написания ченджлогов", это стиль "заметания под ковер". Сказать правду, но строго дозированную. |
| Сочувствую. |
Честно говоря, от "западных источников" подобной фигни тоже не ожидал. Но и не удивлён почему-то. Вообще-то, это универсальная и повсеместно повседневная проблема. Как там у Тютчева, "Мысль изречённая..." С другой стороны, то что касается проблем работы софта, лучше всё же писать аккуратнее. В этом есть ведь и позитив: Вы повысили скилл написания ченджлогов. По крайней мере для собственного софта. |
| Вообще, если представить себе |
Вообще, если представить себе сетевой сервис, который торчит наружу LibRaw - то таки да. Но представить себе такой я не могу. |
| Забавно представить как битые |
Забавно представить как битые raw-фовеоны раздаются с записанными вирусами для пользователей библиотеки LibRaw версии 0.15.0. Высокая, говорите, опасность... |
| > По сообщению авторитетных |
> По сообщению авторитетных разработчиков, Видимо, тех самых, из высокой корпоративной культуры... > Рекомендуется для избегания подобные проблем использовать системы, разрабатываемые компаниями с высокой корпоративной культурой Каждый подъезд борется за звание дома высокой культуры... Всё блин держится на людях и только. Высока была корпоративная культура в японском олимпусе... |
| Вендор библиотеки - я. За |
Вендор библиотеки - я. За перепаковщиков отвечать не могу. |
| И в моем случае вендор и |
Если так, то конечно позор им!! Хотя, например, вот тут, owner (это vendor пакета как я понимаю) некий Limb, Linux Administrator in Chicago. Но, тем не менее, адрес проекта там указан. |
| Да, наблюдаю эти проблемы |
Да, наблюдаю эти проблемы воочию - никаких попыток общения с вендором вендор в моем лице не заметил. |
| trll md 1 По сообщению |
trll md 1 По сообщению авторитетных разработчиков, анализ безопасности систем на базе Linux выполняется частично и выборочно, что вызвано проблемами во взаимодействии сообщества разработчиков, аналитиков и остальных специалистов. Рекомендуется для избегания подобные проблем использовать системы, разрабатываемые компаниями с высокой корпоративной культурой. От себя добавим, что такими в 2012 году журналом F>>> были признаны... +) |
| Если бы репорту предшествовала хоть какая-то попытка спросит |
Если бы репорту предшествовала хоть какая-то попытка спросить "в чем суть ошибки" и вообще вступить в обсуждение с вендором - имело бы смысл писать "правду" (в смысле - подробности), дабы такой диалог произошел. Так как никакой попытки пообщаться я не заметил - не имею желания кормить этих людей контентом дальше. |
| RAII - хорошая штука, да. В |
RAII - хорошая штука, да. В данном случае, конечно, имел место хак: есть два буфера (для Raw и для обработанного изображения), но чтобы старый код работал без изменений, эти два буфера в момент работы этого кода - один буфер. А в обработчике исключений освобождаются оба. И в моем случае вендор и автор - тоже одно. Т.е. любой E-mail на вендорские контакты попадает опять ко мне. |
| a = malloc(..); free(a); |
Так делать не нужно даже не потому что плохо, а потому что можно проще - RAII
vendor != author
Возможно. ИМХО всё зависит от специфики - например если брать apache - reporter'ы должны относится более ответственно, то есть не всё так плохо. |
| > Вендор - я. Я в курсе ;) > И вот хер я теперь буду писат |
> Вендор - я. Я в курсе ;) > И вот хер я теперь буду писать нормальные описания решенных проблем в changelog. Ну почему? |
| ну там просто было - аллоцировался буфер, в него читалось (с |
ну там просто было - аллоцировался буфер, в него читалось (со всеми проверками границ). А потом двойное освобождение, которое на той версии гцц и либсей давало переход по адресу из прочитанных данных. все что надо было сделать - подобрать данные чтобы прочитать :-) |
| Или becomes. Или не becomes. Тут уж как пойдет.... |
Или becomes. Или не becomes. Тут уж как пойдет.... |
| Хорошая новость! |
Хорошая новость! |
| > Равно как является ли проблемой такой псевдокод a = malloc |
> Равно как является ли проблемой такой псевдокод a = malloc(..); free(a); free(a); http://cwe.mitre.org/data/definitions/415.html When a program calls free() twice with the same argument, the program's memory management data structures become corrupted. This corruption can cause the program to crash or, in some circumstances, cause two later calls to malloc() to return the same pointer. If malloc() returns the same value twice and the program later gives the attacker control over the data that is written into this doubly-allocated memory, the program becomes vulnerable to a buffer overflow attack. |
| Это на самом деле плохо, |
Это на самом деле плохо, особенно с многопоточностью. P.S. нет гарантий, что free не портит информацию про ptr_a. |
| Вендор - я. И вот хер я теперь буду писать нормальные описа |
Вендор - я. И вот хер я теперь буду писать нормальные описания решенных проблем в changelog. |
| Там написано: Credit: The vendor reported this issue. Я п |
Там написано: Я понимаю это, что "вендор сам зарепортил проблему и получил кредит за это". |
| А как? Нужно чтобы в окошке кто-то что-то аллоцировал? |
А как? Нужно чтобы в окошке кто-то что-то аллоцировал? |
| Нет, нам не free(0); Там |
Нет, нам не free(0); Там ptr_a = ptr_b = malloc(..); |
| free(0) и free(NULL) по |
free(0) и free(NULL) по стандартам C и C++ безопасно. |
| псевдокод - является, как минимум являлся, я на эти грабли н |
псевдокод - является, как минимум являлся, я на эти грабли наступил разок. |
| http://xkcd.com/1172/ [link] | |
| Уже прокомпостировано. Есть |
Уже прокомпостировано. Есть галка, которая что-то делает (срезает по 10% значений сверху/снизу), а регулировки нет |
| Любой нормальный человек |
Любой нормальный человек знает, что такое сигма и нормальное распределение. Ну вот любой. Спроси продавицу в киоске - она знает. Не говоря уже о фотографе. То ли дело эти ваши заумные проценты. Совершенно контринтуитивная единица исчисления. В реальной жизни с детства люди привыкают считать сигмами и отклонениями, а не частями целого. Так что я за сигму! |
Pages
