Множественные уязвимости в Python

Python - глобально и надёжно?

метки порадовали =) по теме - как страшно жить...

Гон, Пайтон стабилен и надежен. Сплоиты есть?

>Сплоиты есть?

вроде нет. патчи уже есть.

Ждем обновления :)

Google тоже нашел численные переполнения, но постеснялся уточнить их. (CVE-2008-3143)

смешно

ура?

Вот она, истинная популярность, которая приводит к более пристальному изучению и рассмотрению языка.

Вспомним ка про новость эдак двухмесячной данности, где говорилось о множественных уязвимостях в руби...

s/данности/давности/

>Вспомним ка про новость эдак двухмесячной данности, где говорилось о множественных уязвимостях в руби...

Да-да, тогда школьники-питонофилы орали, что руби решето.

По теме: в общем рад за питонистов, что их язык стали активней допиливать. Наверное MRI (matz ruby interpreter) уже никогда его не догнать, ждем рубиниус или что-то еще, а в продакшн пускаем питон-проекты.

Старовата новость.

сколько дыр то за раз ^_^

решето, как и руби!

Гон, Пайтон стабилен и надежен.

+1

2farcaller: питон не нужен %)

2DeViL: топай откуда шел со своими рельсами!

>сколько дыр то за раз ^_^

По ссылке ходил ?
Новость баян !
Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

>Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

они вышли из анабиоза?

> Красноглазые гентушники собрали в кучу, несколько по фиксеных багов.

Уверен, что они у тебя пофиксены? А может там печенюшки? :)))

А вообще, гугл неспроста замолчал, ага. Все на поиск пути хоканья гугла.

Ура! В хорошей программе на несколько уязвимостей меньше.

Мало того что тормоз, так оно еще и дырявое...

Mono rocks!

Хе.. Оперативно, блин, новость запостили. Мне glsa-check об этом ещё в середине прошлого месяца завопил.

>Хе.. Оперативно, блин, новость запостили. Мне glsa-check об этом ещё в середине прошлого месяца завопил.

превед путешественникам во времени: Release Date July 31, 2008

> превед путешественникам во времени: Release Date July 31, 2008

Сорри, ошибся: это была другая дыра, в том же питоне.

> Сорри, ошибся: это была другая дыра, в том же питоне.

ЗЫ и не в середине, а в начале месяца.

кстатит портаж их написан весь на петоне

>кстатит портаж их написан весь на петоне

В руководстве пользователя написано: Python и Bash.

По теме:

Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

>Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

Слака

s/bash/shell/

>Слака

Да ну и фиг с ней :)

/me открыл зонтик на всякий случай

>>Здорово, что нашли и исправили, причем достаточно быстро. Чего тут некоторые злорадствуют? Без питона сегодня ни один дистрибутив не работает.

>Слака

Исключение только подтверждает правило :)

Я думал, будет флейм страниц на десять, а тут так кисло... воскресенье что ли сказывается. Подождём до завтра :)

Гм, а уязвимости к третьей ветке относились ?

решето!

решето!

> Множественные численные переполнения и недополнения в функции PyOS_vsnprintf() и ошибка завышения на единицу при обработке строк нулевой длины, приводящее к повреждению памяти. (CVE-2008-3144).

Ошибка в нетривиальной терминологии по вычислениям с плавающей точкой. Overflow -- это "переполнение", всё верно, а вот underflow переводится не как "недополнение" (такого слова вообще нет), а как "потеря значимости". Исправьте, пожалуйста, текст заметки и запомните слово.

__Люди__!!! 
Объясните мне, зачем вообще __нужен__ этот Питон? 
   Скриптовый язычок ("недоязычок" (с)), 
   названием которому послужила группа __клоунов__ "Монтя Пайфон", 
   не может быть __серьёзным__ по __определению__. 
     Типизация в пидоне хуже некуда. 
   Когда спрашивешь, а чё серьезно сделано не питоне, 
   то вместо ответа по существу сразу __пафосно__ отвечают, 
   что мол 
     "сам дурак, а гугль-мугль питон пользует".

> Типизация в пидоне хуже некуда.

Ты никакой!!! Ну как, аргументированно? Что конкретно не нравится?

зы: ну ты в курсе и судя по всему уже там вместе с demon37.

В убунте уже обновили... но как-то криво, ибо:

W: Не удалось получить http://archive.ubuntu.com/ubuntu/pool/main/p/python2.5/python2.5-dev_2.5.2-2u... 404 Not Found [IP: 91.189.88.31 80]

Ребят, кто-то может мне объяснить сей парадокс: Когда начинаешь говорить про Си/Сипипи, что это низкоуровневые, опасные, неуклюжие языки (помятуя в часности Garbage Collector), все начинают с видом бывалых мэтров учить жизни. А когда очередное поделие, писанное на этих чудо-языках, сквозит на солнце многочисленными дырами, то это виноваты прогеры, а языки опять рулез. Разве ТАК должны работать хорошие инструменты? По-моему, задача языка как раз ПОМОГАТЬ тебе поменьше думать об опасностях и побольше - об алгоритме. Сам язык должен быть настолько аккуратен в семантике, чтобы даже неаккуратный, быстро набросанный код не приводил к краху программы (вовремя показывая дыры на стадии компилляции или вообще исключая какие-либо фокусы с памятью/переполнением). Да, я не о Питоне, но пытаюсь на его примере показать, насколько опасно играться с трупом страуса, базируя на нём современные приложения. Ведь в результате страдает репутация не Сипипи (почему-то), а самого приложения. Где логика, господа из точнейших наук?

Ниасилил? :))))

>Объясните мне, зачем вообще __нужен__ этот Питон?

судя по твоему посту тебе объяснять что-либо бесполезно ибо не внимешь, покуда подход "вот мне это не надо, значит никому не надо". Когда поменяешь ход мысли на что-то более адекватное, тогда и начнешь видеть в любых вещах лучшие стороны.

>Что конкретно не нравится?

отсутствие типизации вестимо.

> Сам язык должен быть настолько аккуратен в семантике, чтобы даже неаккуратный, быстро набросанный код не приводил к краху программы (вовремя показывая дыры на стадии компилляции или вообще исключая какие-либо фокусы с памятью/переполнением).

Во-первых, никто никому ничего не должен. Во-вторых, сам Страуструп сказал в свое время что-то вроде: "Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал".

Есть попытки некоторого поделия языка D, но до этого еще дожить надо.

> Что конкретно не нравится?

"Открывайте шире дверцы - к нам пришли крутые перцы!"

http://zephyrfalcon.org/labs/python_pitfalls.html

Учите матчасть!

> вот мне это не надо, значит никому не надо

А также мне не надо строить из себя чисто кульхацкера, программируя на "экзотических" язычках и упиваться от этого своей крутизной. Мне и Джавы хватает для жизни. И, судя по http://biz.cnews.ru/news/line/index.shtml?2008/07/29/309897 Джава в явном фаворе.

Вам-таки в детстве не говорили, что отвечать надо всегда по существу, а не пытаться при отсутствии аргументов сразу же переходить на личности? :)

> Во-первых, никто никому ничего не должен.

Глупости говорите. Если вы делаете язык для программинга, он просто ОБЯЗАН следовать каким-то критериям! Либо он простой, либо мощный, либо секурный, либо комбинация каких-то качеств. Язык ради языка нах никому не нужен - очередной велосипед.

> Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал

Лучше Сипипи можно найти хоть с десяток языков, был бы нужный критерий. Тот же C# во сто крат проще и безопаснее.

> Есть попытки некоторого поделия языка D

Согласен, сам с надеждой смотрю на этот язык. Только уж сложновато у них там с элементами. Да и движутся скорее наобум, чем на результат.

Толще некуда. :)

Что-то питоновцы не ведутся на разговор.

>Да и движутся скорее наобум, чем на результат.

+1

> Что-то питоновцы не ведутся на разговор.

слишком троль

Удобная объектная надстройка над С была придумана в 1981 году. Сразу же через год через Smalltalk-80.

> Есть попытки некоторого поделия языка D, но до этого еще дожить надо.

А еще есть "поделие" Objective-C.

> Страуструп сказал в свое время что-то вроде: "Да, C++ - ужасный ООП-язык, но лучше пока никто не придумал".

Это говорит только о том, что "автор, место которому в дурке или на погосте" (с) как сказал проф.В.С.Лугоффский, слил Брэду Коксу из Stepstone (потом NexTStep, потом Apple). Если бы не жлобство Стива Джобса, то был бы с 1989 года нормальный язык программирования. И не только на "дизайнерском" железе. :))

>Без питона сегодня ни один дистрибутив не работает.

сказал бы я, что радоваться тут нечему, да не поймут меня тут, боюсь...