Я к тому что 20 лет назад только у него nginx и был. :)

Весь смысл текстового представления в том, чтобы его людям было удобно читать.

Не двух. Минимум пяти. Там ещё есть в списке JavaScript, Python и Perl.

Вот если ты вставишь восьмеричные числа в правила файрвола, написанного на Rust, они будут интерпретированы неверно. Но это ровно твоя проблема. Как бы не пытались тебя сломать злые хакеры на другой стороне файрвола, обсуждаемая ошибка им не поможет, если ее не сделаешь ты. Ты же не пишешь IP-адреса восьмиричным кодом? %)

а правила для файрвола могут быть

Если правила фаервола апеллируют ip адресами как текстовым представлением, то при чём здесь сетевая библиотека?

Это надо ССЗБ быть написать правила в 8-ричном текстовом представлении, что бы потом через него пускать в 10-ричном.

Приложения, использующие std::net::IpAddr при разборе указанных пользователем адресов потенциально подвержены атакам SSRF (Server-side request forgery), RFI (Remote File Inclusion) и LFI (Local File Inclusion).

Вот это я понимаю сову на глобус натянули.

Вот если ты вставишь восьмеричные числа в правила файрвола, написанного на Rust, они будут интерпретированы неверно.

С чего бы это? Уязвимость вроде в самой сетевой библиотеке, а не в реализации строк.

Уязвимость вроде в самой сетевой библиотеке, а не в реализации строк.

Никто и не говорил, что уязвимость в реализации строк. Ошибка в разборе строкового значения IP-адреса: «строковые значения IP-адресов, начинающиеся с нуля, должны интерпретироваться как восьмеричные числа, но многие библиотеки не учитывают данную особенность и просто отбрасывают ноль, обрабатывая значение как десятичное число».

А зачем внутри фаервола написанного на раст, парсить числа из 8ричного представления в 10-ричное и наоборот, с помощью std::net, если там на уровне строк можно преобразовывать числа и парсить?

Просто не совсем понятно по какой логике должен быть написан фаервол, что ему подсунут какой-то IP-адресс, а он его распарсит не верно и это стало уязвимостью.

Что именно непонятно во фразе «если ты вставишь восьмеричные числа в правила файрвола, написанного на Rust»? Правила фйрвола пишутся текстом, IP-адреса из текста парсятся std::net, если они восьмиричные - парсятся неправильно и делают не то, что хотел автор.

Правила фйрвола пишутся текстом, IP-адреса из текста парсятся std::net, если они восьмиричные - парсятся неправильно и делают не то, что хотел автор.

Наверно то, что автор не будет писать парсер для правил своего фаервола, в котором адреса представляются в 10-ричной форме, а потом писать сами правила в 8-ричной.

Это как должно выглядеть? Пишу я правило разрешающие вида 10.10.10.1 to 10.10.10.2 tcp 4040 allow, всё хорошо. Дальше какой пакет должен прийти, что бы это обойти?

Допустим будут стучаться по 010.10.10.1, всё равно попадут туда же. Будут по 020.10.10.1, всё равно не пройдёт.

Дальше какой пакет должен прийти, что бы это обойти?

Да никакой. В пакетах, которые по сети ходят, IP-адрес в текстовом виде не хранится.

«Проблема» будет только тогда, если ты в конфиге файрволла напишешь 010.011.012.013, имея в виду 8.9.10.11. Но ты так не будешь писать, 146%.

А если запрос? Не могу придумать как это использовать.

не буду, ну не nginx, а squid наверно был, какая разница :)

Лососнул тут только ТС, не осилив понять уязвимость.

Навскидку, я могу представить как дебил-админ не туда 0 сунул в описании правил этого гипотетического фаерволла, а библиотека хруста это радостно распарсила как восьмеричное число.

а библиотека хруста это радостно распарсила как восьмеричное число.

Так там в новости как я понял написано, что оно просто отбрасывает 0 и дальше воспринимает как 10-ричное число. То есть 0127.0.0.1 в итоге получится 127.0.0.1. В русте вообще как я понял это будет паника.

Компиляторы memory-safe языков не защищают автомагически от логических ошибок, кто бы мог подумать!

Только библиотека хруста радостно эти нули просто отбросит и распарсит число как десятичное. Это понятно из описания уязвимости.

А вот ситуации с дебилом-админом, который с похмелья засунул в конфиг лишний ноль, подразумевая десятичное число, а файрвол распарсит его как восьмеричное, будут подвержены как раз дидовские файрволы, которые как бы работают строго по рфц.

Извини, понятнее я объяснить не могу.

Окей, ты представил. Что дальше? Будешь представлять, как дебил-админ промазал по клавише и просто набрал не ту цифру?

Как это подло!

ШОК, СЕНСАЦИЯ - В ПРОГРАММАХ НА ЯЗЫКАХ С MEMORY SAFETY БЫВАЮТ ОШИБКИ!!!!!11

Как послушать евангелистов раста, так достаточно написать программу на расте, и в ней не будет багов, а компьютер замироточит. ПОТОМУ ЧТО 73% ВСЕХ ОШИБОК — ОШИБКИ БЕЗОПАСНОСТИ ПАМЯТИ!!!!!111

Другая, что «разруха она не в клозетах, а в головах»

Так и есть. Скоро сложные программы будет некому писать - молодёжь не хочет напрягаться - всё на расслабоне делают, отсюда такие ошибки.

Как послушать евангелистов раста, так достаточно написать программу на расте, и в ней не будет багов,

И живут эти евангелисты Раста в твоей голове.

73% ВСЕХ ОШИБОК — ОШИБКИ БЕЗОПАСНОСТИ ПАМЯТИ!!!!!111

Ты невнимательно слушаешь голоса. Возможно, они говорили о 73% ошибок в программах на Си.

Ну блин, ладно выкрутился =) Но это же все частности

А что не частности? Главное обещание Rust - memory safety, оно не нарушено. А отсутствия любых ошибок никто не обещал.

Ну забыли. Сейчас поправятся и дальше поедут.

Ураа! раст и го обосрались! Счастье то какое! Давайте праздновать, бухать, танцевать! Депрессивный мир сишников наполнился красками!

на opennet не накудахтался и на лор принёс?

Чего сразу депрессивный-то, каждый день праздник! Это у тех, кто между тремя копиями растокода переключается, чтобы слишком много времени не тратить на ожидание конпеляции, депрессия будет от такого.

Как послушать евангелистов раста

ПОТОМУ ЧТО 73% ВСЕХ ОШИБОК — ОШИБКИ БЕЗОПАСНОСТИ ПАМЯТИ!!!!!111

Воображаемых евангелистов раста, аргументы которых тупы и тривиальны, максимально удобны для критики всем разумным образованым людям.

https://en.wikipedia.org/wiki/Straw_man

Перекривляющий текст капсом подтверждает

Говнокодеры, не умеющие в Си, будут говнокодить и на «безопасных» языках типа раста.

надо сразу вот так писать

$ ping 0177.1

или

$ ping 0x7f.1

Да их на HackerNews полно.

Так говоришь, будто в си надо всем уметь

Кто не умеет в си тот не программист.

Слишком толсто

В Си никто не умеет. Просто мало у кого хватает духа это признать.

В Си никто не умеет.

А в ассемблер(например X86-64) кто-нибудь умеет?

В ассемблер - возможно. Он проще.

В ассемблер - возможно. Он проще.

Хорошо. Тогда норм.

Просто если бы нет, то было бы всё плохо, потому что кто-то должен уметь ассемблер для перевода с безопасных языков в бинарники.

кто-то должен уметь ассемблер для перевода с безопасных языков в бинарники

Нет, конечно. Переводом занимаются компиляторы, а люди должны всего лишь написать правила преобразования. Поскольку компиляторы пишутся группами людей, результирующий набор правил может покрывать весь целевой ассемблер. Но из существования такого набора правил вовсе не следует, что существует хотя бы один человек, знающий весь ассемблер.

Кстати, с Си примерно то же самое, только перевод в Си выполняется (обычно) человеком.

У меня закрадывается подозрение, что на фоне всего этогго веселья ассемблер - вот безопасный язык =)

По крайней мере никакого хитрого синтаксиса, undefined behavior и путаницы с указателями. Просто внимательно все записывать и всегда будет ясно, что на чего указывает, значение или адрес и т.п.

Просто внимательно все записывать и всегда будет ясно, что на чего указывает, значение или адрес и т.п.

Да, в этом ключ к решению проблем - надо просто быть внимательным.

И у ножа ручка - это лишнее. Достаточно одного лезвия и просто держать аккуратно

Ну раз кто-то там что-то там сказал, то точно инфа сотка

Для фаерволов уже RFC придумали?

Но они же простые

Чёрт с ним с RFC, где это используется?

Может где-нибудь в дико старых программах времён появления ipv4...