[02:06:24] slavazanko/h вышел из конференции [04:21:44] <Зося Синицкая> RSS: Новости для Midnight Commander • Ticket #2468 (Preserve extended attributes while copy) updated http://www.midnight-commander.org/ticket/2468#comment:3 [06:09:24] andrew_b зашёл в конференцию [07:47:55] <ilia maslakov> Привет! [07:48:13] <andrew_b> ! [08:03:52] iNode зашёл в конференцию [08:44:19] ilia maslakov вышел из конференции [08:44:38] ilia maslakov зашёл в конференцию [09:10:49] <ilia maslakov> andrew_b: хочешь размяться? [09:21:47] <andrew_b> ? [09:24:36] <ilia maslakov> я вот натравил rats на наши сырцы [09:24:59] <slavazanko/w> > скажи в федоре есть мц? да > и какая там версия 4.7.5.3 [09:25:05] <slavazanko/w> что такое rats? [09:25:11] <slavazanko/w> я splint натравливал [09:25:27] <ilia maslakov> Rough Auditing Tool for Security [09:25:35] <slavazanko/w> а. и что? [09:26:05] <ilia maslakov> ну вот надо осознать [09:26:13] <ilia maslakov> там логов 100 кил [09:26:24] <ilia maslakov> ну вот пример
Analyzing ./lib/lock.c ./lib/lock.c:88: High: fixed size local buffer ./lib/lock.c:117: High: fixed size local buffer ./lib/lock.c:141: High: fixed size local buffer ./lib/lock.c:176: High: fixed size local buffer Extra care should be taken to ensure that character arrays that are allocated on the stack are used safely. They are prime targets for buffer overflow attacks. [09:26:24] <slavazanko/w> ого [09:26:30] <slavazanko/w> это по всем исходникам? [09:26:39] <ilia maslakov> может он всё врёт [09:26:46] <ilia maslakov> по всем [09:27:37] <ilia maslakov> They are prime targets for buffer overflow attacks. хрень какая то [09:28:03] <slavazanko/w> это основная цель для всякой хрени [09:28:04] <ilia maslakov> Analyzing ./lib/lock.c ./lib/lock.c:88: High: fixed size local buffer ./lib/lock.c:117: High: fixed size local buffer ./lib/lock.c:141: High: fixed size local buffer ./lib/lock.c:176: High: fixed size local buffer ну и чо... [09:28:21] <ilia maslakov> я в курсе про переполнение буфера [09:28:29] <slavazanko/w> ну и всё. Плохой тон - иметь статические буфера. есть шанс вылететь за них. [09:28:36] <ilia maslakov> вот если бы оно показало где именно угроза [09:29:24] <slavazanko/w> ./lib/lock.c:88 [09:30:19] <ilia maslakov> а ну вообще да
pw = getpwuid (getuid ()); if (pw) user = pw->pw_name; if (!user) user = getenv ("USER"); if (!user) user = getenv ("USERNAME"); if (!user) user = getenv ("LOGNAME"); if (!user) user = "";
/** \todo Use FQDN, no clean interface, so requires lot of code */ if (gethostname (host, BUF_SIZE - 1) == -1) *host = '\0';
return g_strdup_printf ("%s@%s.%d", user, host, (int) getpid ()); } [09:30:43] <andrew_b> Да, тут он прав. [09:30:57] <andrew_b> Размер не учитывается. [09:31:21] <andrew_b> Хотя. [09:31:31] <andrew_b> gethostname (host, BUF_SIZE - 1) [09:31:36] <andrew_b> Всё нормально. [09:31:37] <ilia maslakov> да [09:31:59] <ilia maslakov> но [09:32:43] <ilia maslakov> ./lib/lock.c:96: High: getenv ./lib/lock.c:98: High: getenv ./lib/lock.c:100: High: getenv Environment variables are highly untrustable input.. They may be of any length, and contain any data. Do not make any assumptions regarding content or length.. If at all possible avoid using them, and if it is necessary,. sanitize them and truncate them to a reasonable length. [09:32:54] <ilia maslakov> чего тут то? [09:33:15] <ilia maslakov> там то как раз буфер не ограничен [09:33:33] <andrew_b> Выкинь эту свою rats. [09:33:46] <andrew_b> Где только ты её взял. [09:33:52] <ilia maslakov> а вдруг чего найдется [09:34:05] <ilia maslakov> поставил [09:34:19] <ilia maslakov> увидел что это еще один анализатор [09:34:27] <andrew_b> Платформы: Windows 2000, Windows 95/98, Windows NT [09:34:35] <andrew_b> Овно какое-то. [09:34:50] <andrew_b> Может в венде оно и Environment variables are highly untrustable input.. [09:54:08] ilia maslakov вышел из конференции [09:54:44] ilia maslakov зашёл в конференцию [10:05:32] slavazanko/w вышел из конференции [10:12:00] slavazanko/w зашёл в конференцию [10:20:38] ilia maslakov вышел из конференции [10:20:56] ilia maslakov зашёл в конференцию [10:22:03] <ilia maslakov> andrew_b: Овно какое-то. очень похоже [10:22:46] <ilia maslakov> оно все статические буфера тупо вывета [10:22:55] <ilia maslakov> вывела [10:23:30] <slavazanko/w> оно группирует. бфера первыми идут [10:23:30] <ilia maslakov> а вот это ./src/viewer/datasource.c:369: High: popen Argument 1 to this function call should be checked to ensure that it does not come from an untrusted source without first verifying that it contains nothing [10:24:14] <ilia maslakov> 361 gboolean 362 mcview_load_command_output (mcview_t * view, const char *command) 363 { 364 FILE *fp; 365 366 mcview_close_datasource (view); 367 368 open_error_pipe (); 369 fp = popen (command, "r"); [10:24:48] <andrew_b> Забей. [10:24:59] <ilia maslakov> что именно можно проверить? [10:25:19] <slavazanko/w> грит, прежде чем popen звать, неплохо было бы проверить command на то, что в ней нет бяки [10:25:22] <ilia maslakov> что туда не передали слишком длинный текст? [10:25:22] <andrew_b> На bsd собери. [10:25:36] <ilia maslakov> да блин... [10:25:44] <ilia maslakov> тут на меня навалились все [10:25:53] <ilia maslakov> я только дома соберу [10:26:08] <ilia maslakov> здесь надо все настраивать и ставить [10:44:50] ilia maslakov вышел из конференции [10:44:54] <slavazanko/w> лучше splint пускать [10:45:51] ilia maslakov зашёл в конференцию [10:59:22] ilia maslakov вышел из конференции [10:59:37] ilia maslakov зашёл в конференцию [11:04:29] <andrew_b> Ну чё, до релиза будем какие-нибудь баги фиксить? Или так и будем сидеть сложа ручки? [11:05:12] <slavazanko/w> будем. Я пытаюсь смотреть, чего оно после фиша одну панель не рисует. [11:05:29] <andrew_b> А... [11:05:33] <andrew_b> Я смотрел. [11:05:40] <andrew_b> Делалей не помню. [11:06:27] <slavazanko/w> это после переделки VFS появилось. почему-то. хотя отрисовка ну никак не затрагивалась [11:07:02] <andrew_b> Чтобы панель перерисовалась, ей надо фалаг dirty выставить. А поскольку вторая панель не затрагивается, то у неё флаг не установлен. Вроде так. [11:07:49] <slavazanko/w> да раньше как бы тоже не затрагивалось, но отрисовывало. Или оно начало работать правильно и из-за этого глюк? [11:07:51] <andrew_b> На выходных попробую покопаться ещё раз. [11:10:44] <andrew_b> Кстати, как воспроизводится? Я что-то не помню. [11:11:36] <slavazanko/w> просто зайти на фиш. панели скрываются, вводится пароль. Потом видна нормально отрисованной только одна панель [11:11:59] <andrew_b> Попробовал. Обе видны. [11:12:24] <slavazanko/w> гм [11:12:48] <andrew_b> 4.8.0-pre2 [11:19:30] <slavazanko/w> cd sh://127.0.0.1 [11:19:39] <slavazanko/w> в комстроке под панелями. [11:20:04] <andrew_b> А... [11:20:18] <slavazanko/w> повторяется? [11:20:30] <andrew_b> Да. [11:20:54] <andrew_b> Ещё и промпт и кнопки не перерисовываются. [11:22:08] ilia maslakov вышел из конференции [11:22:30] ilia maslakov зашёл в конференцию [11:32:16] <andrew_b> slavazanko/w: попробуй
- do_refresh (); + repaint_screen (); use_dash (TRUE); } [11:33:17] <slavazanko/w> ща [11:35:41] <slavazanko/w> неа [11:36:42] <andrew_b> Жаль. [11:41:45] BanderOS зашёл в конференцию [12:18:03] <andrew_b> Мне кажется, что do_execute() и toggle_panels() должны сильно быть похожи. [12:18:25] <andrew_b> После toggle_panels() панели восстанавливаются. [12:18:35] <andrew_b> А после do_execute() нет. [12:52:48] <ilia maslakov> я тут [12:53:19] <andrew_b> А чё ты ещё не в отпуске? [12:54:46] <ilia maslakov> в понедельник [12:55:36] <andrew_b> Дык после обеда в пятницу уже можно начинать отпускаться. [12:55:45] <andrew_b> А можно прямо с утра. [13:35:57] ilia maslakov вышел из конференции [13:36:19] ilia maslakov зашёл в конференцию [13:55:33] <Зося Синицкая> RSS: Новости для Midnight Commander • Ticket #2610 (Use posix_fallocate64() when copying files/moving to a new mount point) created http://www.midnight-commander.org/ticket/2610 [14:00:13] andrew_b вышел из конференции [14:40:19] ilia maslakov вышел из конференции [14:40:44] ilia maslakov зашёл в конференцию [15:41:26] jphantom вышел из конференции: Logged out [15:41:31] jphantom зашёл в конференцию [16:01:13] andrew_b зашёл в конференцию [17:58:08] andrew_b вышел из конференции [20:22:54] iNode вышел из конференции [21:26:46] il.smind зашёл в конференцию [23:20:14] il.smind вышел из конференции
