Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Redis и Valkey, позволяющие выполнить код на сервере при наличии доступа к БД"	+/–
Сообщение от opennews (??), 09-Окт-25, 08:25
Исследователи из компании Wiz выявили в СУБД Redis уязвимость (CVE-2025-49844), позволяющую добиться удалённого выполнения кода (RCE) на сервере. Проблеме присвоен наивысший уровень опасности (CVSS score 10 из 10), при этом для эксплуатации уязвимости атакующий должен иметь возможность отправки запросов к СУБД Redis, допускающей  выполнение пользовательских Lua-скриптов... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64022
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
Сообщение от Аноним (1), 09-Окт-25, 08:25
А говорили, с луа такого не случится, мол, это не питон.
Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (12), 09-Окт-25, 09:46
	Дело не в самом языке Lua, а в Jit/Интерпретаторе встроенного LUA, коих бесчисленное множество.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (43), 09-Окт-25, 12:34
	А кто-то мне втирал недавно, что вм это изоляция. :)
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (95), 10-Окт-25, 07:27
	Чтобы сделать из слов «jit /интерпретатор» слово вм нужно очень сильно удариться головой
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–2 +/–
	Сообщение от Аноним (43), 10-Окт-25, 12:20
	Раздел реализация //ru.wikipedia.org/wiki/Lua Ссылку на, что такое JIT там же найдете.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+7 +/–
Сообщение от Константавр (ok), 09-Окт-25, 08:52
>Предоставляемый проектом Redis официальный образ Docker-контейнера настроен для доступа без аутентификации по умолчанию. Они же понимал, что никто не будет это настраивать? Заработало, не падает и ура, в продакшен!!!
Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+10 +/–
	Сообщение от нах. (?), 09-Окт-25, 10:52
	там диавол в деталях - особенности редисового AUTH таковы, что познакомившись поближе ты и расхочешь его настраивать. Это кривая нашлепка, сделанная видимо в последний момент, по многочисленным просьбам трудящихся. Правильная настройка редиса - это изолированная сеть, где чужие не ходят, а не бесполезный auth. Ну тебя же не огорчает что у мемкэша его в принципе нет?
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (34), 09-Окт-25, 11:13
	> Правильная настройка редиса - это изолированная сеть, где чужие не ходят, а не бесполезный auth. И по умолчанию при деплое в docker compose это именно так. Но откуда же опеннетным админам локалхоста об этом знать, лол.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от пох. (?), 09-Окт-25, 11:37
	> И по умолчанию при деплое в docker compose это именно так. Проблема что компостером пользоваться - харам даже для фанатов дыркера. Им подавай либо безбрежные поля облачков, либо дыркер run. Но тогда васян-сайт не работаит! Патамушта тоже не может подключиться. И они просто пишут -p  6379:6379 - ВО! Теперь работаит! СОФТ АСТРОЕ!
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (34), 09-Окт-25, 11:41
	Я осознаю, что тут толстым слоем намазано иронией уровня /s/. Но все же интересно, как профессиональному разработчику, который часто деплоит свои разработки самостоятельно. Вот это вот > Проблема что компостером пользоваться - харам даже для фанатов дыркера. чем обусловлено?
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от User (??), 09-Окт-25, 11:55
	Ээээ... так незачем уже, не? Тут даже docker-desktop (Докер-дысктоп, КАРЛ!!!) бубернетис предлагает ). Сейчас даже на "одноногом проде"(ТМ) проще k3s "в одну команду (Ну, вы её знаете - curl|sudo...)" поднять поимев с того унифицированный деплой, предсказуемое окружение и интеграцию с инфраструктурой\инструментами...
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от пох. (?), 09-Окт-25, 12:14
	> Сейчас даже на "одноногом проде"(ТМ) проще k3s "в одну команду (Ну, вы > её знаете - curl|sudo...)" вот за это вас и не любят. а компостер позволял все свое носить с собой, сравнительно компактно и без лишних торчащих концов. Но увы, все что попало в руки покойной docker inc имело предсказуемый конец.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от User (??), 09-Окт-25, 12:40
	>> Сейчас даже на "одноногом проде"(ТМ) проще k3s "в одну команду (Ну, вы >> её знаете - curl|sudo...)" > вот за это вас и не любят. > а компостер позволял все свое носить с собой, сравнительно компактно и без > лишних торчащих концов. Но увы, все что попало в руки покойной > docker inc имело предсказуемый конец. Нуу... "да", но "нет". И условный k3s можно "с собой в закрытом контуре без доступа в Интернет" - штатная в общем-то, процедура; и первая же строчка в любой инструкции по доскеру - подключите вот отдельный репозиторий отсосдателей и скачайтераспоследнюю версию - а ту, которая у вас вот не кОчайте.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от пох. (?), 09-Окт-25, 12:52
	> по доскеру - подключите вот отдельный репозиторий отсосдателей и скачайтераспоследнюю > версию - а ту, которая у вас вот не кОчайте. вот если там компостер - то главное в этот момент остановиться, инструкцию закрыть нахрен, и посмотреть какой там ctime у компостной.ямлы Потому что может оказаться, что качать надо что-то совсем другое. (А то-которое-у-вас - тоже не работает по тыще и одной причине)
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от User (??), 09-Окт-25, 13:00
	>> по доскеру - подключите вот отдельный репозиторий отсосдателей и скачайтераспоследнюю >> версию - а ту, которая у вас вот не кОчайте. > вот если там компостер - то главное в этот момент остановиться, инструкцию > закрыть нахрен, и посмотреть какой там ctime у компостной.ямлы Угу. Если там compose, а не хотя бы podman - то всем на все уже пяток лет как покласть "И так сойдет!" > Потому что может оказаться, что качать надо что-то совсем другое. (А то-которое-у-вас > - тоже не работает по тыще и одной причине) Не-не. Технолохия уже дошла до уровня пригодности к эксплуатации без специально обученного ГУРУ (По тому, что если "дер вниз унд ниработаит!" - тот полугурка, что у тебя есть - один хрен, не поможет)
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от пох. (?), 09-Окт-25, 12:12
	тут две проблемы - во-первых, компостер зохаван и ... брошен. (Ну как и все что попадает в руки этих деятелей, покрутить, пару раз переделать и бросить, убежав за новым каким-то фуфлом) Т.е. это недоделок, который никогда доделан и не будет. (Как и сам докер, за пределами того что обеспечивает им приток деньгов - т.е. виндовый vm-based pro) При этом он пока был живой - без конца переделывался и сам с собой несовместим, поэтому выработал у профессиональных борцов с такими вот самостоятельными разработчиками и их заброшенными через два года продуктами четкую рвотную реакцию. Во-вторых оно не масштабируется. И если у тебя там что-то чуть более сложное чем десяток строчек - переносить это в какой-нибудь упаси Б-же попенштифт или не к ночи будь помянут k8s будет мучительно больно.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	68. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от анон (?), 09-Окт-25, 17:13
	>> И по умолчанию при деплое в docker compose это именно так. > Проблема что компостером пользоваться - харам даже для фанатов дыркера. Им подавай > либо безбрежные поля облачков, либо дыркер run. > Но тогда васян-сайт не работаит! Патамушта тоже не может подключиться. > И они просто пишут -p  6379:6379 - ВО! Теперь работаит! СОФТ > АСТРОЕ! Отсылка к фило? Зачёт)
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	87. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от penetrator (?), 09-Окт-25, 21:54
	лучше чтобы вообще не было, и это было заявлено на первой странице большими буквами и да лучше мемкеш, оно хотя бы понятно своей концепцией, и скоростью больше радует
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	90. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от нах. (?), 09-Окт-25, 23:36
	Его концепция - локалхост. Как только требуется что-то нелокальное - добро пожаловать в редис. Потому что нужны репликация, распределение нагрузок и фейловер. Что там еще тебе непонятного? Редис в своей основе прост как палка. Пользоваться понаверченными поверх крайне странными поделками типа той же lua - совершенно никто не заставляет. (Забавно, но тикет на выпилить ее из сборки висит уже год. Редисляп слишком заняты сбором денег с немамонтов, не до ерунды им.)
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от penetrator (?), 10-Окт-25, 11:42
	ага однопоточное распределение нагрузок, вот так солюшен ))) ну ладно работает как-то сделаем вид, что он ОК накой черт нам нужна репликация и фейловер, если там закешированные горячие данные? даже если упало - фиг с ним, поднимешь холодные данные в этом есть смысл если у тебя редис - основное хранилище, а это цирк да и все равно мне сколько там какой тикет висит, это еще один вектор атаки безапеляционно
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от penetrator (?), 09-Окт-25, 21:52
	в этом весь дыркер кстати сколько-то там месяцев назад мне доказывали, что редис очень полезный и классный и "предлагали" костылить им любую проблему, а то что это увеличивает поверхность атаки, пффф - смузи само же себя не выпьет
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	93. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от freehck (ok), 10-Окт-25, 01:25
	>> Предоставляемый проектом Redis официальный образ Docker-контейнера настроен для доступа без аутентификации по умолчанию. > Они же понимал, что никто не будет это настраивать? И что? Уже в начале 2010х всем было хорошо известно, что redis категорически нельзя мордой в мир выставлять даже при условии включённой аутентификации. И так уже 15 лет без изменений оно и живёт. Какие-то молодые инженеры об этом не знают? Что ж, они и получают соответствующе. А мы вот знаем.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–6 +/–
Сообщение от Аноним (3), 09-Окт-25, 08:55
> Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free), > Проблема позволяет обойти sandbox-изоляцию Сишка настолько дыр... ОЙ! - мощный язык, что плевать ему на эти ваши сэндбоксы.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+9 +/–
	Сообщение от Re4son (ok), 09-Окт-25, 08:59
	это как ругать экскаватор, а не экскаваторщика, за то, что он пока копал -- перебил водопровод.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–8 +/–
	Сообщение от User (??), 09-Окт-25, 09:23
	Тут скорее болгарка об одной ручке без защитного кожуха, с однокнопочным включением и покоцанным диском. Можно работать? Можно. Можно добиться результата, аналогичного использованию _нормального_ инструмента? Конечно. Но рано или поздно (Скорее - рано) даже самый суперчудомастер окажется в, гм, интересной ситуации. Виноват ли в этом такой вот инструмент - которым _можно_ добиваться желаемых результатов - ну я даже и не знаю. Тут каждый сам для себя решает - если организация за него с какими-нибудь "Пять шагов к безопасности" заранее не подумала.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+4 +/–
	Сообщение от bOOster (ok), 09-Окт-25, 10:35
	Болгарку так-же пользует либо дурак, либо знающий человек. Дурак само собой последствий использования болгарки без кожуха не представляет. Поэтому для недопрограмистских дурачков и появляются языки типа Раста - в которых особо думать о последствиях не нужно, по словам этих же недопрограммистов. Хотя выход за пределы массива это частая проблема, но далеко не самая проблемная в целом.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–4 +/–
	Сообщение от Анонимусс (-), 09-Окт-25, 10:45
	> для недопрограмистских дурачков Пока что "недопрограмистские дуpачки" на сишечке продолжают лепить дырени с выполнением произвольного кода. Причем это не зависит от проекта, вот в соседней новости про гимп такое же выполнение произвольного кода из-за луДших погромистов эвэр. > но далеко не самая проблемная в целом. Ну да, ну да)) Linux Kernel cvedetails.com/product/47/Linux-Linux-Kernel.html?vendor_id=33 Memory Corruption 2735 Overflow 365 Все остальные в сумме - 51 :) Да, "не самая проблемная"))
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+2 +/–
	Сообщение от bOOster (ok), 09-Окт-25, 10:54
	> Ну да, ну да)) > Linux Kernel > cvedetails.com/product/47/Linux-Linux-Kernel.html?vendor_id=33 > Memory Corruption 2735 > Overflow 365 > Все остальные в сумме - 51 :) > Да, "не самая проблемная")) Ты отлично показал свою недопрограммистскую сущность в целом. Ориентироваться на количество багов. А не их актуальное влияние на результат выполнения кода и его безопасность. 90% всего этого "счастья" выявлено посредством аудита, и использовать многие эти уязвимости в реальности нельзя. Они потенциальные.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–2 +/–
	Сообщение от Анонимусс (-), 09-Окт-25, 11:10
	>  Ориентироваться на количество багов. Не на количество багов - их на порядки больше, а на количество CVE. На минуточку, это разные вещи. Но откуда "настоящему сишнику" об этом знать))) > использовать многие эти уязвимости в реальности нельзя. Они потенциальные. Ахаха, "ваши уязвимости не уязвимости". Ладно, давай заканчивая позориться, мы все уже поняли какой ты бракодел и 6ыdloкодер.
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Re4son (ok), 10-Окт-25, 11:21
	Вы путаете нормальных программистов и тех, кто таковыми себя считает, и именно последние пользуются инструментом без понимания последствий уровень разработки сильно упал, просто за счет того, что самих разработчиков нужно сильно больше, чем раньше, и объем работ на одного разработчика также сильно увеличился (ситуация чем-то похожа на пилотов, там тоже резко снизилось качество обучения т.к. требуется количество с минимально допустимым качеством), вот и получается, что таких "недопрограммистских дурачков" (впрочем мне не совсем нравится это выражение) - очень много, если не большинство, которые вместо использования языков с высокой абстракцией используют инструменты, требующие заметно более высокой квалификации.
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	102. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (-), 10-Окт-25, 11:43
	> уровень разработки сильно упал, хм... а типа раньше он был не "тяп-ляп и в продакшн"? > ситуация чем-то похожа на пилотов, там тоже резко снизилось качество обучения т.к. требуется количество с минимально допустимым качеством но что забавно - кол-во аварий снизилось, по сравнению с "30 лет назад" > получается, что таких "недопрограммистских дурачков" (впрочем мне не совсем нравится это > выражение) - очень много, если не большинство, которые вместо использования языков с высокой абстракцией используют инструменты, требующие заметно более высокой квалификации. Это конечно проблема. Возможно просто рынок так порешал. А может банальная самоуверенность. Но зачастую такие не пишут код в какие-то сложные проекты типа ядра или того о чем новость. С другой стороны всякие мега-прогеры типа Теодор "пишет в ядро с 91 года" Тцо допускают такие же ошибки что и новички.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от User (??), 09-Окт-25, 10:59
	> Болгарку так-же пользует либо дурак, либо знающий человек. Дурак само собой последствий > использования болгарки без кожуха не представляет. > Поэтому для недопрограмистских дурачков и появляются языки типа Раста - в которых > особо думать о последствиях не нужно, по словам этих же недопрограммистов. > Хотя выход за пределы массива это частая проблема, но далеко не самая > проблемная в целом. О! Бывалый? ) А тут ниже жаловались, что повывелись НАСТОЯЩИЕ-то программисты - а вот гляди-ж ты - на месте. Хоть болгаркой без кожуха, хоть сишкой хеллврот (Но тут уже возможны варианты, если промпт неправильный...), хоть комментом по супостату! ... пока такие люди в стране советской есть!(Ц)
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	94. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от morphe (?), 10-Окт-25, 04:45
	> Болгарку так-же пользует либо дурак, либо знающий человек. Дурак само собой последствий использования болгарки без кожуха не представляет. У вас аргумент не в ту сторону Дурак последствий не представляет, проблемы не видит, и продолжает юзать сишку пока не разлетится. Зачем дураку раст, раст сложный и там много учить надо Знающий человек же человек поймёт что оно его в любой момент убить может и потому не будет такую болгарку трогать, возьмёт нормальную
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	111. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от bOOster (ok), 10-Окт-25, 13:13
	>> Болгарку так-же пользует либо дурак, либо знающий человек. Дурак само собой последствий использования болгарки без кожуха не представляет. > У вас аргумент не в ту сторону > Дурак последствий не представляет, проблемы не видит, и продолжает юзать сишку пока > не разлетится. Зачем дураку раст, раст сложный и там много учить > надо > Знающий человек же человек поймёт что оно его в любой момент убить > может и потому не будет такую болгарку трогать, возьмёт нормальную Какая милая попытка манипуляции словами :))) Вот как раз дурак на раст за копейки и идет. А профессиональные программисты, которые понимают последствия, четко представляют как этого избежать, то есть программисты с огромным опытом разработки, системные, у компаний разработчиков как алмазы - в высокой оплатой и ценностью в самой компании. А растовики это затычки, сдохнет один, найдем другого на раз.
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (-), 10-Окт-25, 14:23
	> Вот как раз дурак на раст за копейки и идет. Хм... пруфы про копейки будут? Или ты только языком трепать годен? > А профессиональные программисты, Есть ли такие? > которые понимают последствия, И особенно такие? > четко представляют как этого избежать, Ага. НАСТОЯЩИЕ СИшники не делают таких ошибок. Какая классная история, жаль что звездеж. > тоесть программисты с огромным опытом разработки, системные, у компаний разработчиков как алмазы - в высокой оплатой и ценностью в самой компании. Да, конечно. Например программисты ядра? Так вот, я просто процитирую анона из другой темы[1] CVE-2022-1184 - ваще шикарная. А теперь микрофон и все лавры передаются ox55ff с лора "в 2013 году он закоммитил вот такую портянку github.com/torvalds/linux/commit/dc6982ff4db1f47da73b1967ef5302d6721e5b95 Через 9 лет (2022 год) тысячи глаз наконец-то рассмотрели там уязвимость CVE-2022-1184. Которую смогли исправить только со второй попытки: первая github.com/torvalds/linux/commit/65f8ea4cd57dbd46ea13b41dc8bac03176b04233 вторая github.com/torvalds/linux/commit/61a1d87a324ad5e3ed27c6699dfc93218fcf3201     ext4: check if directory block is within i_size Бгг. Видимо Теодорчик решил, что в его коде всё within, ведь "индекс проверять надо если программист решил что тут есть шанс того, что он окажется некорректным", а оказалось, что не within. Это какое-то шанс-ориентированное программирование. Сишник к успеху шёл, не получилось, не фартануло. И что тут? У нас чувак который в ведро коммитит с 91 года. Типа мега опытный. Делает файловую систему много лет. А толку? > А растовики это затычки, сдохнет один, найдем другого на раз. Ну... возможно. Но дыряшечники уже старые, дряхлые. Скоро начнется дедо-пад бебибумеров, так что растовикам достаточно подождать пока тех закопают) Тут еще государство может подсобить - просто не заказывать госпроекты на дырявых ЯП. ----------------------------- [1] opennet.ru/openforum/vsluhforumID3/136231.html#130
	Ответить | Правка | Наверх | Cообщить модератору

	119. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от morphe (?), 10-Окт-25, 18:08
	> А профессиональные программисты, которые понимают последствия, четко представляют как этого избежать Избежать последствий от болгарки без кожуха невозможно, не надо использовать такую болгарку, она сама по себе опасна для жизни, нет какого-то способа себя обезопасить
	Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

	9. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Аноним (3), 09-Окт-25, 09:42
	> это как ругать экскаватор, а не экскаваторщика, за то, что он пока копал -- перебил водопровод. Новые перлы от местных мастеров аналогий. 🤦 А чего про забивание гвоздей микроскопом не упомянули?
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	70. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–3 +/–
	Сообщение от YetAnotherOnanym (ok), 09-Окт-25, 17:30
	Не упомянули, потому что, в отличие от тебя, понимают разницу между "человек, а не инструмент" и "не тот инструмент".
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (74), 09-Окт-25, 18:26
	> Не упомянули, потому что, в отличие от тебя, понимают разницу между "человек, а не инструмент" и "не тот инструмент". Хочешь сказать, что проблема в микроскопе (не тот инструмент), а не в забивающем? Ведь выше, наоборот, предлагали винить экскаваторщика, а не экскаватор. Ты, бедняга, совсем запутался... 🤣
	Ответить | Правка | Наверх | Cообщить модератору

	132. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от YetAnotherOnanym (ok), 11-Окт-25, 20:24
	То есть, смысл комментария, на который ты отвечаешь, ты не понял.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–2 +/–
	Сообщение от Re4son (ok), 10-Окт-25, 11:24
	а при чем тут перлы, если человек микроскопом забивает гвозди - это человек-идиот, а не микроскоп плохой. Моя аналогия скорее к тому, что человек использующий экскаватор - слишком недооценивает, а иногда и вовсе не знает того, что он может им сделать как хорошего, так и плохого так что да, в сравнении с Вами - я мастер аналогий, хотя в абсолюте, конечно, таковым не являюсь и не вызывался
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	113. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Аноним (3), 10-Окт-25, 14:07
	> так что да, в сравнении с Вами - я мастер аналогий Твоя аналогия абсолютно тупа и демагогична, потому что подменяет понятия: якобы в контексте обсуждения С проблема в человеке, а все языки программирования одинаковы, как абстрактный эксаватор. Только вот твоя аналогия разбивается о тот факт, что если дать тому же человеку нормальный инструмент (например, Rust), то больше он не будет делать use-after-free и вылазить за пределы буфера. То есть, по твоей же аналогии, где то существует экскаватор получше, используя который, водопровод перебить невозможно. > я мастер аналогий Ты не более чем опеннетный демагог.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Re4son (ok), 10-Окт-25, 14:32
	человека кто-то заставлял использовать С? если квалификация не позволяет - используй инструменты имеющие защиту от дурака так что мою аналогию Вы пока не опровергли, скорее доказали свою тупость и тыкайте, пожалуйста, в своего парня, понимаю, привычка, но я гетеро. Спасибо.
	Ответить | Правка | Наверх | Cообщить модератору

	122. Скрыто модератором	+/–
	Сообщение от Аноним (74), 10-Окт-25, 18:33
	> мою аналогию Вы пока не опровергли Ты влез в техническое обсуждение с бреднями про экскаваторы и водопроводы. Тут нечего "опровергать" - только пальцем у виска покрутить.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Аноним (22), 09-Окт-25, 10:25
	> это как ругать экскаватор, а не экскаваторщика, за то, что он пока копал -- перебил водопровод. Старое доброе "чтобы не было ошибок - не делайте ошибки".
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	51. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 09-Окт-25, 13:50
	> это как ругать экскаватор, а не экскаваторщика, за то, что он пока копал -- перебил водопровод. Именно поэтому и придумали руст, - отрубить 19 пальцев у эксковаторщика, и добавить девайс который держит его руку и дает нажимать оставшимся пальцем на элемнты управления не быстрее чем раз в 5 минут, и всё это чтоб заставить его думать, долго и упорно а не клацать по рычагам, правда секретную кнопочку всё таки оставили и рано или поздно он при жизненой необходимости всё равно нажмет на unsafe. И да, эксковатор то, как был мощным и способным разоравать трубу - так и остался
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	53. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 14:24
	> Именно поэтому и придумали руст, - отрубить 19 пальцев у эксковаторщика, АналОгия уровня "СИшник")) Раст это кольчужная перчатка у мясника или хирурга. Это две разнесенных кнопки у прессового оборудования или гильотины. Это датчики которые отключат станок при открытии кожуха или робота если человек зашел в зону производства. > И да, эксковатор то, как был мощным и способным разоравать трубу - так и остался Но чтобы разорвать трубу тебе нужно явно написать "хочу делать опасные вещи".
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 09-Окт-25, 14:57
	> АналОгия уровня "СИшник")) Если вы думаете что я не пользуюсь растом, то очень глубоко ошибаетесь > Раст это кольчужная перчатка у мясника или хирурга. Вам не кажется, что в принципе аналогии похожи, Ок соглашусь, ваша более красивая, но скоро халувин всё таки, вот и пришлось эксковаторщика "поукоротить" :) > Но чтобы разорвать трубу тебе нужно явно написать "хочу делать опасные вещи". Ну так я про тоже, про ту самую кнопочку :) Проблема только в том, кто сделает `cargo geiger` если вообще сделает
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (88), 09-Окт-25, 22:30
	> Именно поэтому и придумали руст, - отрубить 19 пальцев у эксковаторщика Не, rust экскаватор выглядит как обычный экскаватор, со всеми органами управления и с целым и довольным экскаваторщиком. Это C экскаватор - со всеми возможными снятыми кожухами и торчащими отовсюду проводами без изоляции.
	Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

	110. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от OpenEcho (?), 10-Окт-25, 12:50
	> Не, rust экскаватор выглядит как обычный экскаватор, со всеми органами управления и с целым и довольным экскаваторщиком. Это C экскаватор - со всеми возможными снятыми кожухами и торчащими отовсюду проводами без изоляции. Ок, но С тракторе можно в экстренных ситуациях коротнуть те самые провода и завести машину, в отличии от Раст трактора, где надо будет найти и запустить пассворд мэнеджер, извлечь пароль, не забыть сбегать за Юбикей для 2ФА авторизации и только потом трактор запустится. Еще раз, раст трактор хороший и нужный инструмент в **сегодняшней** реальности, но те С трактора уже сужествуют и работают. Их не возможно по мановению волшебной палочки превратить в бластящий и новенький раст трактор. Либо вы подгонятете **новый** трактор, либо хорош кипишиться и пользовать тем что есть
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 13:53
	Чтобы исключить ошибки, необходимо создать условия, при которых их совершение становится невозможным. Полагаться на дисциплину бесполезно: ресурс силы воли ограничен, а подсознание и бессознательные процессы сильнее сознательных усилий. Когда среда сама блокирует промахи, ресурсы силы воли на их предотвращение не расходуются — стратегия, основанная на внешних ограничениях, всегда эффективнее внутреннего самоконтроля.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	100. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Re4son (ok), 10-Окт-25, 11:25
	всегда безопаснее, и как правило НЕ эффективнее, за последнее сишку и любят.
	Ответить | Правка | Наверх | Cообщить модератору

	109. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (-), 10-Окт-25, 12:38
	> всегда безопаснее, и как правило НЕ эффективнее, Может у вас есть статистика? А корректность работы в понятие "эффективнее" входит или речь исключительно про скорость работы? А цикл "сообщение о баге -> проверка регрессии -> фикс -> проверка QA" посчитали? > за последнее сишку и любят. Только те, кому плевать на результат, главное быстро)
	Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
Сообщение от Аноним (5), 09-Окт-25, 09:10
> Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) Хм... Звучит как... Ну вы понели. Как характерная особенность одного хорошо известного всем языка. В программах на этом языке уязвимости такого рода выявляют по пачке в минуту. Любопытный факт: аббревиатура CVE уже включает в себя полное название этого языка, и даже две лишние буквы остаются. А вот еще любопытный факт: уже 50 лет подряд говорят, что язык не виноват, просто народ не тот^W^W^W программисты ненастоящие. Вот уж да: за 50 лет ни одного настоящего программиста не нашлось.
Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+3 +/–
	Сообщение от User (??), 09-Окт-25, 09:25
	Но-но-но! Подождите часок - и тут целый перечень НАСТОЯЩИХ наберется.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–2 +/–
	Сообщение от Аноним (8), 09-Окт-25, 09:41
	В таком случае непонятно почему безопасные языки, типа ржавчины, компилируется в еще менее безопасный чем Си язык ассемблера.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	13. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (12), 09-Окт-25, 09:49
	Если так думать - то ещё ниже уровнем электроны так вообще небезопасны, убить могут. АдОвайте код ментально у себя в голове запускать, так же безопасно...
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Аноним (3), 09-Окт-25, 09:50
	> почему безопасные языки, типа ржавчины, компилируется в еще менее безопасный чем Си язык ассемблера Где ты эту чушь вичитал? У Раста бэкенд - LLVM, и именно его IR, а не "язык ассемблера" переводиться в машинные коды. > В таком случае непонятно Даже если бы там был конкретно ассемблер в качестве промежуточного представления - фундаментальное различие было бы в том, что он не писался бы вручую. Что тут непонятного?
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	18. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–2 +/–
	Сообщение от Аноним (8), 09-Окт-25, 10:03
	> У Раста бэкенд - LLVM Он же на небезопасном языке написан?
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (3), 09-Окт-25, 10:06
	Да, как и ядро ОС. 🫡
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (-), 09-Окт-25, 11:01
	> Он же на небезопасном языке написан? LLVM написан на современном C++17, а не убогосишке, так что даже сравнивайте. GCC, кстати, на сишке уже тоже не пишут.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	10. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от похнапоха. (?), 09-Окт-25, 09:45
	Ну если это такой плохой ЯП, что ты даже боишься упоминать его название, как ботоксный дед имя одного ныне покойного деятеля, тогда почему use-after-free чиниться не сменой ЯП, а просто переписыванием кода на этом же самом ЯП? Из миллиардов строк текста, написанных на этом ЯП - use-after-free появляется не везде и не всегда, то есть дело не в ЯП, а в людях!
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	16. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Аноним (3), 09-Окт-25, 09:56
	> почему use-after-free чиниться не сменой ЯП, а просто переписыванием кода на этом же самом ЯП? Очередной горе-эксперт не видит разницы между борьбой с симптомами и борьбой с самой болезнью. Сменой ЯП оно не просто чинится - оно устраняется на корню.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Аноним (22), 09-Окт-25, 10:23
	> Из миллиардов строк текста, написанных на этом ЯП - use-after-free появляется не везде и не всегда, то есть дело не в ЯП, а в людях! Нет, дело именно в ЯП. Потому что если дать ТЕМ ЖЕ людям нормальный язык, что use-after-free внезапно, больше появляется.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	46. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–2 +/–
	Сообщение от Аноним (43), 09-Окт-25, 12:44
	> имя одного ныне покойного деятеля Чисто юридически, правильно делал, чтобы его же по судам не затаскали. Просто достаточно упомянуть имя и уже можно подавать иск за клевету, а дальше дело "экспертизы". Конечно,  но "кто же его посадит", вот и от греха подальше он не употреблял ни чьих имен, тупо рекомендация настоятельная адвокатов, хотя по психотипу и характеру ему это очень хотелось, он не то, чтобы имя, но и вслед еще трех этажный мат готов был высказать "на всю страну". пс: он один, даже в сортир не ходит, сами знаете почему :)
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	71. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (71), 09-Окт-25, 17:31
	> дело не в ЯП, а в людях! То есть снова "неправильные сишники" попались?
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	11. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+2 +/–
	Сообщение от anonymous (??), 09-Окт-25, 09:45
	> Вот уж да: за 50 лет ни одного настоящего программиста не нашлось. А как же ваше любимые языки с управляемой памятью - java или python. Они ведь на си написаны. Если вы считаете что ни один программист не может справиться с си, и ошибки - неустранимое свойство самого языка, то почему вы призываете использовать другие языки, написанные на си.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	15. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (12), 09-Окт-25, 09:56
	Лично я призываю использовать C#, у него давно ничего под капотом него кроме самого C#.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от OpenEcho (?), 09-Окт-25, 14:28
	> Лично я призываю использовать C#, у него давно ничего под капотом него кроме самого C#. Не забудьте зайти в бухгалтерию М$ за премией за рекламу, и да, будьте готовы что ваше любимое поделие будет работать со следующего релиза вашей любимой ОС, исключительно только после идентификации баранов, добровольно (уже почти не добровольно) сбегающихся в стойло на вашей любимой ОС. No more local accounts. Будете накормленны и счастливы... в пределах вашего стойла управлямого спецами из бангалора Бараны должны быть посчитанны, идентифицированны и управляемыми
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (-), 09-Окт-25, 21:27
	Забавно, что местные клованы не знают что шарп уже давно опенсорсный и работает на лине. Вместо этого они будут нести шизоидный бред про баранов, стойла, рабов и прочее.
	Ответить | Правка | Наверх | Cообщить модератору

	104. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от OpenEcho (?), 10-Окт-25, 12:14
	> Забавно, что местные клованы Ысщо один "культурный" чел... > шарп уже давно опенсорсный и работает на лине. Удаче тебе, не клован, на лине смастерить что то с ГУИ на моне. И да еще после это супортить
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Аноним (-), 10-Окт-25, 18:20
	> на лине смастерить что то с ГУИ на моне. Ого, оказывает софта без гуи не бывает! Везде же нужен гуй! Удаче тебе написать недырявый софт на сишке.
	Ответить | Правка | Наверх | Cообщить модератору

	130. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 11-Окт-25, 18:10
	> Ого, оказывает софта без гуи не бывает! Везде же нужен гуй! Прикинь, софта с GUI-eм на датнете значительно больше чем  CLI/TUI > Удаче тебе написать недырявый софт на сишке. А причем здесь С-шка? Если сравнивать JIT  подобные то,  тогда надо с Жабой, у который послужной список побольше будет и портабилити получше чем у МОНО
	Ответить | Правка | Наверх | Cообщить модератору

	123. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (74), 10-Окт-25, 18:40
	>> шарп уже давно опенсорсный и работает на лине. > Удаче тебе, не клован, на лине смастерить что то с ГУИ на моне. Чел, вообще-то языки обсуждались. Причем тут Гуй вообще? Ну ляпнул ты чушь про C# - ну можно же иметь хоть каплю самоуважения и слиться молча? Нет - будем позориться до конца...
	Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

	131. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 11-Окт-25, 18:36
	> Чел, вообще-то языки обсуждались. Именно > Причем тут Гуй вообще? А при том, что на языках програмирования создают ГУИ и что на МОНО в лине ГУЙ глючит > Ну ляпнул ты чушь про C# - ну можно же иметь хоть каплю самоуважения и слиться молча? Ты когда напишешь портируемое между виндой и линем ГУИ приложение, сложное, не хелоу ворд, которое не будет глючить, вот тогда и приходи, публично извиниюсь, а сливаться не в моих правилах. Как словишь NotImplementedException или чудеса с подключеными либами, то не забудь и меня вспомнить. > Нет - будем позориться до конца... Не про меня в данном случае, но с каких это пор ошибаться стало позором? Не ошибаются только дyраkи и те кто ничего вообще не делают
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+3 +/–
	Сообщение от Аноним (3), 09-Окт-25, 09:58
	> то почему вы призываете использовать другие языки, написанные на си. Бери выше, эксперт: ядро ОСей написаны на дыряшке. Какой смысл тогда что-то улучшать, правильно?
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	76. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от anonymous (??), 09-Окт-25, 18:58
	Ядро ОС написано на си, которого вы так не любите, и поэтому постоянно возникают споры о том, что его надо переписать на раст. Ну ок. Однако же когда говорят о языках программирования с контролируемой памятью и предлагают переписать на них, то тут уже возникает парадокс. Ведь эти языки как раз на си и написаны. А с ядром такого парадокса нет.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (74), 09-Окт-25, 19:09
	> тут уже возникает парадокс. Ведь эти языки как раз на си и написаны. Здесь нет никакого парадокса, потому что даже когда интерпертатор написан на С, то он и является одним единственым локализированным местом этого самого С. Соответственно, используя тот же CPython/JVM, ты не размазываешь в коде Python/Java типичные сишечные ошибки. Что тут непонятного?
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (79), 09-Окт-25, 19:17
	> Ядро ОС написано на си [...] надо переписать на раст. Ну ок. > когда говорят о языках программирования с контролируемой памятью [...] тут уже возникает парадокс. Ведь эти языки как раз на си и написаны. > А с ядром такого парадокса нет. Твоя ментальная акробатика будет иметь смысл только тогда, когда кто-то действительно будет на серьезных щах предлагать переписать код С на упомянутые тобой Java или Python.
	Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

	31. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Анонисссм (?), 09-Окт-25, 11:03
	>А как же ваше любимые языки с управляемой памятью - java Если ты и вправду не понимаешь, объясню разок: jvm пишут профи, а сами проги на java среднячки (коих 95%). В итоге средний код на java всё равно безопаснее получается, потому что управление памятью писали профи, а среднячки только клей )
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	55. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 09-Окт-25, 14:40
	> Если ты и вправду не понимаешь, объясню разок: jvm пишут профи, а сами проги на java среднячки (коих 95%). Так то же самое и растом и го. И это в **принципе правильно**. Другое дело, что эти самые серяднячки начинают кичится и выдавать себя за крутизну, приписывая заслуги себе, не понимая, что их просто ограничили в свободе действий, потому как доверия что будут писать думая, тестируя - нет. Особенно сейчас, когда с помощью ИИ можно быстро стать "крутизной", не вникая в суть, и в итоге гитхаб полон "крутизны", но почему то без тестов, некогда им, у них мото - "двигаются быстро, ломают вещи", зато в тренде
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 14:45
	> их просто ограничили в свободе действий А где вы увидели ограничение в свободе действий? Любой серяднячок может написать unsafe и абсолютно осознанно, и что еще важнее - явно, отстрелить себе ногу. Им всем, а не только серяднячокам, дали "предохранитель от невнимательности". И это отлично, потому что даже седовласые диды раз в год за пределы массива выходят. > но почему то без тестов Тесты тоже AI пишет))
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 09-Окт-25, 15:11
	> А где вы увидели ограничение в свободе действий? А вы напишите safe код, в котором вам специально **нужно** выходить за пределы буферов, делать переполнения, работать с железом напрямую и т.д. Проще и понятней (а значит более качественней) будет пользоваться правильным инструментом для таких задач, коим будет С или может даже ассемблер. Но если нет такой нужды, то раст однозначно поможет бить самому себе по рукам (и это в принципе правильно), другое дело скорость разрабоки падает, но тогда если нужна скорость разработки то проше, надежней и быстрей то наверное Го, если не смущает GC и отсутсвие приятных плюшек вроде нативной имутабилити, енумы и т.д. > Им всем, а не только серяднячокам, дали "предохранитель от невнимательности". Дать то дали, но с такой семантикой, что скорость разрабоки на нем очень тормозная. А если на расте не писать каждый день, то скорость разрабоки упадет еще больше, не говоря уже о суппорте
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 15:25
	> код, в котором вам специально **нужно** выходить за пределы буферов Просто интересно, в скольки % случаев это реально нужно. Это раз. А два - эта "проблема" решается одним зарезервированным словом. > другое дело скорость разрабоки падает Это требует доказательства :) Потому что тот же гугл писал, что раст команды эффективнее си команд. Особенно если считать не только разработку, а разработку+исправление багов за какой-то период. > А если на расте не писать каждый день, то скорость разрабоки упадет еще больше А если на си не писать каждый день, то сколько дыр на 1kLOC будет у такого хоббиста?
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–2 +/–
	Сообщение от OpenEcho (?), 09-Окт-25, 16:48
	> Просто интересно, в скольки % случаев это реально нужно. Это смотря в какой области и цифр вам никто не даст > А два - эта "проблема" решается одним зарезервированным словом. И? Вы изобрели машины времени чтоб передать сэйв инстумент родичам чтоб на нем писали? Или предлагаете всем всё бросить и кинуться переписывать тонны кода с нуля? >> другое дело скорость разрабоки падает >Это требует доказательства :) Это слова, а у меня есть статистика по работе и найти того, кто будет сопровождать раст качественно и быстро - не так уж и много, а аутсорсить тем более головняк > Потому что тот же гугл писал, что раст команды эффективнее си команд. И что же тогда там доминирует Жаба да еще и в свой Го вложились и не хило так > А если на си не писать каждый день, то сколько дыр на 1kLOC будет у такого хоббиста? С не работая на ним пол года, С очень быстро вспоминается, т.к. семантика довольно простая, читаемя, в отличие от перло подобного, нечитаемого обычным человеком кода который состоит из кучи сокращений (наверное у истоков стоял кто-то не умел быстро печатать и заменил всё сокращениями, или кулхацкер думающий что он элита и кроме него никто не должен понимать что он там налабал), которые простым смертным быстро забываются
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+1 +/–
	Сообщение от Аноним (71), 09-Окт-25, 17:45
	>>> > код, в котором вам специально **нужно** выходить за пределы буферов >> Просто интересно, в скольки % случаев это реально нужно. > Это смотря в какой области и цифр вам никто не даст Ты из любой области хотя бы один пример. Без этого твои заявления - не более чем дешевые набросы. > Вы изобрели машины времени чтоб передать сэйв инстумент родичам чтоб на нем писали? Проснись и пой. Сэйв интсрументы существуют и активно применяются в коммерческой разработке еще с конца 90х. > Или предлагаете всем всё бросить и кинуться переписывать тонны кода с нуля? Зачем переписывать? Достаточно не писать на сишке новый код. Собственно, как и давно делается с начала нулевых, а сейчас - и тем более. >> Потому что тот же гугл писал, что раст команды эффективнее си команд. > И что же тогда там доминирует Жаба да еще и в свой Го вложились и не хило так Потому что Раст/С применяются в обсолютно других предметных областях, чем Джава/Го. Ты там в адеквате вообще?
	Ответить | Правка | Наверх | Cообщить модератору

	103. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 10-Окт-25, 12:03
	> Ты там в адеквате вообще? И это человек который зарабатывает себе на жизнь логикой... Запомни простую  как это мир истину, - если ты переходишь на личности в любом споре, то любое твое мнение, даже правильное, после это равно нулю
	Ответить | Правка | Наверх | Cообщить модератору

	114. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (3), 10-Окт-25, 14:15
	> Запомни простую  как это мир истину, - если ты переходишь на личности в любом споре, то любое твое мнение, даже правильное, после это равно нулю Запомни простую как это мир истину: если ты, будучи абсолютно некомпетентным в вопросе, несешь чушь - ты ведешь себя неадекватно. > твое мнение, даже правильное, после это равно нулю Правильное мнение равно нулю? Да ты еще и инфантилен. 🤦 В следующий раз не всплывай здесь со своим экспертным мнением - и не придется позорно сливаться.
	Ответить | Правка | Наверх | Cообщить модератору

	127. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 11-Окт-25, 17:41
	Более "технического" ответа и не ожидал от "специалиста" :)))
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 21:32
	> Или предлагаете всем всё бросить и кинуться переписывать тонны кода с нуля? Если код - дырявое овно, то да, его нужно переписать. Потому что модель угроз совсем чуток изменилась с момента создания дыряшки. > а у меня есть статистика по работе Ох уж эти личные статистики! По моей статистике адекватных сишников вообще не существует. Потому что все нормальные перешли как минимум на плюсы. >  С очень быстро вспоминается, А вопрос был не про семантику, а дыры. И заодно про кучу подводных камней в виде тех же UB.
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

	106. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 10-Окт-25, 12:20
	> Если код - дырявое овно, то да, его нужно переписать. Спонсировать вы будете? Кернел, редиску, sqlite... > По моей статистике адекватных сишников вообще не существует. Ну, да, давное известная истина, что весь мир крутится исключительно вокруг вас > Потому что все нормальные перешли как минимум на плюсы. Бедный Торвалдос, Хип, эти с редиской и все вояки с эмбедедщиной в добавок, а они то и не знали что не нормальные > А вопрос был не про семантику, а дыры. Нет, ответ был на скорость разработки и поддержки
	Ответить | Правка | Наверх | Cообщить модератору

	120. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (-), 10-Окт-25, 18:18
	> Кернел В кернел раст уже добавили. Диды правда копротивляются (не, ну понятно что не хочется терят теплое местечко), но им уже напхали что или ты язык учи, или не вякай о том, о чем не понимаешь. > Ну, да, давное известная истина, что весь мир крутится исключительно вокруг вас Ну, да, конечно же Ваша статистика более статистичная чем моя. Поэтому вашей верить нужно, а моя просто вокруг меня крутится.
	Ответить | Правка | Наверх | Cообщить модератору

	129. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 11-Окт-25, 18:04
	> В кернел раст уже добавили. Что добавили??? Переконвертировали С код в раст? Или просто разрешили добавлять драйверы, которые **С НУЛЯ** написаны. Разницу чувствуете ? > Ну, да, конечно же Ваша статистика более статистичная чем моя. Поэтому вашей верить нужно, а моя просто вокруг меня крутится. Да причем здесь, ваше, мое? Вы изобрели способ скопилировать микс С и раст кода в один и тот же бинарник и при этом избавится от возможных ошибок в С? Или патчить С код растом научились?
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (71), 09-Окт-25, 17:34
	> А вы напишите safe код, в котором вам специально **нужно** выходить за пределы буферов, делать переполнения Чушь не неси, подалуйста. Выходы за пределы буфера и переполнения чисто по определению не являются safe.
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

	92. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 10-Окт-25, 00:58
	> Чушь не неси, подалуйста. Еще "пожалуйста" выговаривать не научился, а уже учит... ;) Смешно получилось > Выходы за пределы буфера и переполнения чисто по определению не являются safe. В большинстве случаев, - да (хотя, есть опеределенная нужда, у спец служб к примеру), но пример был о тонкости и возможности инструмента, который определенно не следует доверять всем и если есть более безопасный инструмент то определенно - use right tool for a job
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 15:14
	> серяднячки начинают кичится и выдавать себя за крутизну, приписывая заслуги себе, Кто и какие заслуги приписывает? > не понимая, что их просто ограничили в свободе действий, Это типа как "добавили ремни безопасности"? > потому как доверия что будут писать думая, тестируя - нет. Хахаха, а раньше все писали думая и тестирую. Чего тогда в супер важных проектах типа X11 дырени живут лет 20-30? А всякие дыры в SSL или ядре? Их же пишут самые профессиональные профи. На минуточку мы сейчас в теме про критическую дырень, которая жила в годами)
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

	64. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 09-Окт-25, 16:32
	> Кто и какие заслуги приписывает? Вы здесь первый день что ли? Гадаят, обзываются друг на друга как малые дети > Это типа как "добавили ремни безопасности"? Ну да, только вот те же ремни из статистики делают (и опять - правильно), а не дай попасть в воду с водорослями и попытайся из них выпутаться > На минуточку мы сейчас в теме про критическую дырень, которая жила в годами) А были тогда такие safe инструменты когда это писали? Ну тогда и ничего на людей гнать. Вы им должны быть благодарны, что сейчас достигли сегодняшнего уровня. От того что вы блэймите людей за продукты написанные когда не было ни раста, ни го - это все равно что блэймить родителей ездивших на запорожцах и москвичах, понтуясь какие они лохи а вы такой крутой на Тесле
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 21:38
	> А были тогда такие safe инструменты когда это писали? Ну тогда и ничего на людей гнать. Хехе, "Так это же не язык виноват" (с) "Им просто нужно было быть внимательнее"))) Или все-таки инструмент?) > От того что вы блэймите людей за продукты написанные когда не было ни раста, ни го Вообще-то тогда уже был с++ и java. А еще была ада, но ее они бы точно не осилили. Но они выбрали самый отстойный инструмент из имеющихся. И что самое плохое - продолжают им пользоваться, ставя под удар своих пользователей.
	Ответить | Правка | Наверх | Cообщить модератору

	107. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 10-Окт-25, 12:28
	>> А были тогда такие safe инструменты когда это писали? Ну тогда и ничего на людей гнать. > Хехе, "Так это же не язык виноват" (с) "Им просто нужно было быть внимательнее"))) > Или все-таки инструмент?) Оба > Вообще-то тогда уже был с++ и java. Очень круто судить со стороны собсвенной кухни, умиляясь своей правотой и наслаждаясь своей гениальностью думая что другие полные идиоты, которые написали всемирно известный продукт. Я не защищаю выбор, но вам не кажестя что были какие-то необходимости выбрать именно этот инструмент?
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от anonymous (??), 09-Окт-25, 19:00
	> Если ты и вправду не понимаешь, объясню разок: jvm пишут проф То есть всё же существуют люди, способные писать на си без ошибок? Тогда нам с вами не о чем спорить - я тоже в эту верю. Тот аноним, которому я отвечал, в это не верит.
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	29. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Анонисссм (?), 09-Окт-25, 11:00
	>Вот уж да: за 50 лет ни одного настоящего программиста не нашлось. я тебя плюсанул и поржал, спасибо. Но тут ты неправ, есть же всякие postfix-ы и qmail-ы
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	35. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (35), 09-Окт-25, 11:33
	Мы говорим про тот самый qmail, в котором в 2020 году "показали возможность эксплуатации уязвимости в почтовом сервере qmail, известной ещё с 2005 года (CVE-2005-1513), но остававшейся неисправленной, так как автор qmail утверждал о нереалистичности создания работающего эксплоита" opennet.ru/opennews/art.shtml?num=52991 ? Отлично бекдор жил 15 лет!
	Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
Сообщение от бочок (??), 09-Окт-25, 10:06
> score 10 из 10 > для эксплуатации уязвимости атакующий должен иметь возможность отправки запросов к СУБД Redis, допускающей выполнение пользовательских Lua-скриптов. Тьфу...
Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от нах. (?), 09-Окт-25, 11:07
	дык это практически любой экземпляр, который ты сумеешь найти в этих ваших интернетах. Там ненужно-lua со времен версии 2, по-моему.
	Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
Сообщение от Аноним (-), 09-Окт-25, 10:58
Воистинну, "C in CVE stands for C language" Дыpяшка делает дыpявым все к чему имеет хоть какое-то отношение. Вот узявимости "в LUA": CVE-2025-49844 - deps/lua/src/lparser.c CVE-2025-46817 - ‎deps/lua/src/lbaselib.c CVE-2025-46819 - deps/lua/src/llex.c CVE-2025-46818 - src/config.c, src/function_lua.c, ..., ну вы поняли :) А какие отличные были фиксы! github.com/redis/redis/commit/fc9abc775e308374f667fdf3e723ef4b7eb0e3ca - if (cast(unsigned int, key-1) < cast(unsigned int, t->sizearray)) + if (1 <= key && key <= t->sizearray) Опять бедняги не смогли правильно посчитать размер буфера. Причем они выше еще с типами нафакапили. Что не удивительно, ведь этот недоязык просто молча кастит инты туда-сюда. github.com/redis/redis/commit/3a1624da2449ac3dbfc4bdaed43adf77a0b7bfba - return (ls->current == s) ? count : (-count) - 1; + return (ls->current == s) ? count + 2 : (count == 0) ? 1 : 0; И опять не смогли! Да что же такое?!
Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (38), 09-Окт-25, 11:46
	Тут главное помнить: сделал ошибку в Си на 10 баллов - неосилятор просто. Но вот если тебе не нравится синтаксис других языков где такую ошибку сделать гораздо труднее - ты передовой борец со всем плохим, а вовсе даже не неосилятор, неспособный выучить современный язык с какими-то неведомыми концепциями вроде "типы" и "проверка компилятром."
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (42), 09-Окт-25, 12:21
	В go синтаксис такой же. Но там почему-то подобные ошибки сделать не получится. Молча типы не приводит и в ручную память считать не нужно.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 09-Окт-25, 14:51
	> Но вот если тебе не нравится синтаксис других языков где такую ошибку сделать гораздо труднее - ты передовой борец со всем плохим Блин взрослые вроде люди... а спорят чья игрушка лучше, не понимая что всё это просто инструменты, где каждый хорош в своей области
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	62. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 15:16
	> а спорят чья игрушка лучше, не понимая что всё это просто инструменты Так спорят именно про интсрумент. Инструмент может быть неэффективным, может быть неудобным, устаревшим. И главное - инструмент может быть небезопасным. А раз вы сами привели такой пример... небезопасные инструменты в реальном мире замещают безопасными, а иногда даже запрещают использовать законодательно (т.е. дома вы можете убиваться как хотите, а вот при использовании на производстве вас за это просто сожрут госорганы).
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 09-Окт-25, 16:34
	> А раз вы сами привели такой пример... небезопасные инструменты в реальном мире замещают безопасными Ну так и замещайте! А что гнать на то, что было написанно когда небыло таких безопастных инструментов?
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (-), 09-Окт-25, 17:19
	> Ну так и замещайте! Так мы и замещаем) Вон раст в ядро добавляют, uutils делают по умолчанию, и в андроиде активно заменяют и пишут новый код.... Правда в каждой теме вопли "зачем? оно же работало! (как овно, но тем не менее)". > А что гнать на то, что было написанно когда небыло таких безопастных инструментов? А чего не гнать))? Если человек осознанно ездит на жигуляторе без подушек и ремней, то можно и нужно просто покрутить пальцем у виска. Или если он рассказывает что сортир "дырка в земле" это самое лучшее, ведь дед строил до появления нормальных компактов.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (89), 09-Окт-25, 23:11
	Между прочим, "дырка в земле" - самодостаточна, а к вашему компакту подавай систему подачи очищающего элемента (причём чаще всего это питьевая вода, "выливаемая в унитаз"), систему транспортировки из него, систему очистки, кучу народу для обслуживания (особенно если выбросить тряпку побольше, то есть вот вам эксплойт со взломом), а в некоторых локациях ещё и социальные "ништяки" (см. неприкасаемые) и всё для того чтобы в этих ваших мегаполисах быстрее бабло крутилось. Тьфу. Хреновая аналогия.
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 10-Окт-25, 10:34
	> Между прочим, "дырка в земле" - самодостаточна, Правда? А чего появилась такая, несомненно нужная, профессия как "овновоз" (ассенизатор по научному)? Возможно потому, что дырка может переполниться и выйти за пределы б̶у̶ф̶е̶р̶а̶ выделенного места?)) > а к вашему компакту подавай систему подачи очищающего элемента (причём чаще всего это питьевая вода, "выливаемая в унитаз"), систему транспортировки из него, систему очистки, кучу народу для обслуживания Взамен получаем улучшение гигиены, отсутствие запахов и всяких испарений. Более того при многоэтажной застройке дырку можно сделать только соседям вниз. Или пользоваться ночным горшком и выливать, как средневековые диды, прям на улицу. Т.е её применение очень ограничено. > (особенно если выбросить тряпку побольше, то есть вот вам эксплойт со взломом), И что этот "эксплойт" сделает? Это просто denial-of-service. Ну максимум зальет пару квартир. А в дырку регулярно люди проваливаются и некоторые даже умирают. И это в 21 веке!! > а в некоторых локациях ещё и социальные "ништяки" (см. неприкасаемые) и всё для того чтобы в этих ваших мегаполисах быстрее бабло крутилось. Причем тут бабло и неприкасаемые? Это социальная проблема, а не технологии. В других локациях на должность сантехника конкурс, а зарплата позволяет хорошо жить. > Тьфу. Ну так не пользуйся. Копай ямку - ходи туда. > Хреновая аналогия. С фигали? Ладно, ты бы сказал "овняная", я бы согласился.
	Ответить | Правка | Наверх | Cообщить модератору

	124. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (124), 10-Окт-25, 21:51
	сначала набегут миллион на квадратный километр, потому что там деньгами или понтами намазано, а потом жалуются что >дырка может переполниться или там >Более того при многоэтажной застройке дырку можно сделать только соседям вниз. Или пользоваться ночным горшком и выливать, как средневековые диды, прям на улицу. скромнее нужно быть, здоровый аскетизм там проявлять что ли....
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 10-Окт-25, 00:48
	> Так мы и замещаем) Конкретно ты? Или если на раст научился то уже и мы? > Вон раст в ядро добавляют, uutils делают по умолчанию, и в андроиде активно заменяют и пишут новый код.... Так вот те кто добавляют и есть молодцы, а не те что здесь понты разводят > А чего не гнать))? Вы своих родителей тоже упрекаете, что они не пользовались ЧатГПТ и тому подобными штучками два-три десятилетия назад? Гнилотой оно попахивате, на всех этих "гонщиков" > Если человек осознанно ездит на жигуляторе без подушек и ремней, то можно и нужно просто покрутить пальцем у виска. Это тебе надо у виска покрутить, если с такой логикой, к другим, кто не может себе позволить бэху или мерина, - относишся с высока.
	Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

	97. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 10-Окт-25, 10:49
	> Конкретно ты? Или если на раст научился то уже и мы? Конкретно я учавствовал во внедрении раста в один СПО проект. Но пруфов не будет, поэтому не считается. Замени в моем прошлом сообщении "мы" на "они")) > Так вот те кто добавляют и есть молодцы, а не те что здесь понты разводят Угу. Особенно когда на хруст гонят те, кто даже доку не прочитал. > Вы своих родителей тоже упрекаете, что они не пользовались ЧатГПТ и тому подобными штучками два-три десятилетия назад? Почти. Постоянно ругался с родителями, по поводу использования древних технологий вот прям сейчас. Это и самолечение сомнительными средствами (типа "умывание святой водой от ячменя"). В итоге где-то убедил (типа заменить ручную мясорубку электрической, и нарезать овощи комбайном, а не руками - тк суставы уже больные), где-то нет. > Гнилотой оно попахивате, на всех этих "гонщиков" Как и ваш пример)) "два-три десятилетия назад" таких технологий не было. А сейчас УЖЕ есть. Но пользуются вот прям сейчас старьем. Открой репу редиски и посмотри когда там был последний коммит. Неужели десятилеися назад? Или буквально пару часов? > Это тебе надо у виска покрутить, если с такой логикой, к другим, кто не может себе позволить бэху или мерина, - относишся с высока. Специально написал "осознанно". Если денег нет - это "вынужденно". Тебе разве не попадались люди которые не пристегиваются принципиально? Рассказывая истории как сын-кума-брата-троюродной-сестры упал в реку и только потому что был не пристегнут выжил.
	Ответить | Правка | Наверх | Cообщить модератору

	112. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от OpenEcho (?), 10-Окт-25, 13:30
	> Конкретно я учавствовал во внедрении раста в один СПО проект. > Но пруфов не будет, поэтому не считается. Не знаю почему, но я верю :) Проблема только в том, что это не массово. Соотношение растовиков против С-шников недостаточное что бы всё взять и разом переделать > Почти. Постоянно ругался с родителями, по поводу использования древних технологий вот прям сейчас. Я не про сейчас, а про 20-30 лет назад. Небыло тогда ЧатГПТ и небыло элетрических мясорубок (ну по крайней мере по доступным ценам) > "два-три десятилетия назад" таких технологий не было. > А сейчас УЖЕ есть. Но пользуются вот прям сейчас старьем. Где вы найдете средства и людей переписать и заменить в продакшене такой широко известный продукт как редиска??? Пока не появиться адекватная, совместимая замена, поддeрживаемая нe одиноким воином, а за которым стоит коммерческая структура или масса хоббистов, то кричать "пользуются вот прям сейчас старьем" - oно как то не укладывается в здравую логику Мелкософт вон делает Гарнет сколько уже, но всё еще предупреждают, пока оно не заменяет редиску > Специально написал "осознанно". Если денег нет - это "вынужденно". Сорри, пропустил. > Тебе разве не попадались люди которые не пристегиваются принципиально? Конечо попадаются, но это не то, о чем мы говорим. Построена машина, Москвич-412 и условно нет никаких других машин. И она ездит, до сих пор. И хорошо ездит и выполняет свои функции. Ну да, нет ремней, карбюратор вместо инжекторов, но он делает свое дело и делает хорошо. Нет ни у кого волшебной палочки, взять и превратить эту тыкву в карету. Единственное решение - заменить полностью. Кто на это готов, - поднять такой проект как редиска чтоб заменить? Нет. А раз нет, то какго лысого мелить ерунду? Все на своей кухне могут управлять миром, а как до дела доходит, то все под лавку
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Анонимусс (-), 09-Окт-25, 21:48
	> А что гнать на то, что было написанно когда небыло таких безопастных инструментов? А почему бы и нет? Последний коммит в репу редиски был час назад. Т.е. они продолжают его писать. Как бы вы отнеслись к тому, если бы сейчас продолжили класть трубы из свинца, утеплять дома фенольной ватой или асбестом, домешивать в бенз толуол или тетроэтил. А еще можно пить радиоактивную водичку, а от кашля детям давать хмурого. Ведь раньше делали и было норм!))) И не было более безопасных инструментов)) Не нужно на них гнать!
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	108. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 10-Окт-25, 12:37
	>> А что гнать на то, что было написанно когда небыло таких безопастных инструментов? >А почему бы и нет? Последний коммит в репу редиски был час назад. Т.е. они продолжают его писать. Еще один... ну так проспонсируйте, переписать всё safe инструменте > Как бы вы отнеслись к тому, если бы сейчас продолжили класть трубы из свинца, Ну так найдите средства и желаюших перекласть СУЩЕСТВУЮЩИЕ уже трубы > Не нужно на них гнать! Как только найдутся средства и люди которые смогут переписать, а они при этом будут упрямничать, вот тогда и гоните, но не сейчас, когда нет ни того и не тех, а есть продукт, которые в прадакшене и его нужно продолжать супортить, пока не появистся спец с опенента и все перепишет
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Анонимусс (-), 10-Окт-25, 14:16
	> Ну так найдите средства и желаюших перекласть СУЩЕСТВУЮЩИЕ уже трубы Аааа, вот оно че, Михалыч. Раз нет средств, то можно использовать, да?)) Вот поэтому и будем гнать. И каждый раз говорить "ахаха, очередная сишная дыра", чтобы народ знал про ленивых бракоделов. > Ну так найдите средства и желаюших перекласть СУЩЕСТВУЮЩИЕ уже трубы Уже в процессе)) Только ищем не средства и желающих, а хороший кнут и твердый пряник (чтобы им тоже можно было бить :) Нужно просто запретить на законодательном уровне использовать дырявые языки, напр. для начала для госухи и критических областей. Плюс впендоривать огроменные за утечки данных из-за уязвимостей. И сразу найдутся средства и желание! Вот когда госдеп написал про небезопасные языки - плюсовики в коммитете сразу забегали)) Нужно только донести до обычных людей наличие проблемы. Напр. "ваш аккаунт угнали / ваши деньги сперли потому что разраб использовал небезопасный инстумент из 70х"))
	Ответить | Правка | Наверх | Cообщить модератору

	125. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (124), 10-Окт-25, 21:55
	А вы уже запретили с̶т̶р̶е̶л̶я̶т̶ь̶ ̶с̶е̶б̶е̶ ̶в̶ ̶н̶о̶г̶у̶ стукаться мизинцем об край тумбочки? И нашлись средства что то изменить?
	Ответить | Правка | Наверх | Cообщить модератору

	126. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Аноним (-), 11-Окт-25, 00:32
	> А вы уже запретили с̶т̶р̶е̶л̶я̶т̶ь̶ ̶с̶е̶б̶е̶  в̶ ̶н̶о̶г̶у̶ стукаться мизинцем об край тумбочки? Своей ноге вы можете делать что хотите. Но на ствол все придется получить лицензию. А вот если попробуете прострелить кому-то - то вас ждет неприятный сюрприз)) > И нашлись средства что то изменить? Отличный кнут в виде уголовки и люди сами нашли средства и на обучение, и на оплату корочки. Это не так сложно как кажется, просто на то, чтобы изменить отношение людских масс нужно время.
	Ответить | Правка | Наверх | Cообщить модератору

	128. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 11-Окт-25, 17:42
	Как круто ! Удачи !
	Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

44. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
Сообщение от Аноним (-), 09-Окт-25, 12:38
> уязвимость вызвана обращением к уже освобождённой памяти > проблема позволяет обойти sandbox-изоляцию > исследователи продемонстрировали рабочий эксплоит > ошибка оставалась незамеченной на протяжении 13 лет Просто шикарно! Сразу видно - типикАл сишечка :) Зачем нужны хитрые анбешные бекдоры, если можно "просто вот совсем ваще случайно" не проверить на null переменную?)))
Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (43), 09-Окт-25, 12:47
	> Зачем нужны хитрые анбешные бекдоры Для этого, самому анб нужны умные программисты, а для этого умную культуру программирования надо продвигать, а зачем это, если можно растить смузихлебов, вот вам и натуральные бекдоры.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (-), 09-Окт-25, 13:05
	> сли можно растить смузихлебов Получается чуваки, которые 13 лет назад сделали эту дырень, тоже были смузихлебами? Кто же тогде не смузихлебы? Диды которые еще в 80х код писали? Так они еще круче бракоделили!
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (43), 09-Окт-25, 14:50
	> Получается чуваки, которые 13 лет назад сделали эту дырень, тоже были смузихлебами? Верно подмечено, с начала массового использования С это и пошло, когда перестали писать на асм и понимать что есть память и вообще архитектура компухтера. Достаточно посмотреть на даты основания анб и использования Си. > Кто же тогде не смузихлебы? Диды которые еще в 80х код писали? Деды которые писали на асм - не смузихлебы - очевидно ведь. > Так они еще круче бракоделили! А вы думали я сишников тут выгораживать буду? кхе, кхе, кхе. Программисту не нужны "ваши" знания какого-либо ЯП, он придумывает алгоритм (описывает его), а вот уже инженер по выч. технике имплементирует его под ту или иную аппаратную архитектуру зная ее как свои два пальца. Где эти ваши аппаратные инженера? За еду во всяких интелах работают? Где хотя бы один аппаратный инженер, который скажет, что "чушь собачья вся ваша эта софтверная изоляция". Короче, опять кино про мере, устал смотреть (твердить).
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
	Сообщение от Аноним (66), 09-Окт-25, 16:45
	Надо пользовать написанное на более нормальных языках. Хотя бы https://www.opennet.dev/opennews/art.shtml?num=60808
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	80. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	+/–
	Сообщение от Stanislavvv (ok), 09-Окт-25, 19:21
	> Проект написан на языке C# с ядром хранения на C++ Не то чтобы я против, но в случае C++ слишком многое зависит от программистов, а не от языка. Примерно как в ругаемой тут сишечке, если не больше. Но мысль богатая, согласен. Как минимум, там СИЛЬНО лучше репликация.
	Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимости в Redis и Valkey, позволяющие выполнить код на се..."	–1 +/–
Сообщение от Аноним (81), 09-Окт-25, 19:22
> CVSS score 10 из 10 100 из 10 - какая разница, всё равно эти цифры уже ничего не значат. Про то, что это не уязвимость antirez писал 10 лет назад.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема