Comments 21
Большое вам спасибо за проделанную работу, я очень рад, моё нытьё победило хD
Я в чате фрисвича бросил ссылку, пусть почитают.
Я в чате фрисвича бросил ссылку, пусть почитают.
Ну в этот раз проверка впрок видимо не пошла. freeswitch.com/viewticket.php?tid=631922&c=2aE0TgEH
Не сразу понял, что тред идёт снизу вверх. Странный форум.
М-да, печально. Раз уж так тревожатся о безопасности, непонятно что им мешает использовать хотя бы Cppcheck. Некоторые из ошибок в статье он точно находит.
М-да, печально. Раз уж так тревожатся о безопасности, непонятно что им мешает использовать хотя бы Cppcheck. Некоторые из ошибок в статье он точно находит.
Очень странные чуваки…
Вы сделали достаточно объемную работу по проверку кода, а им тон не понравился.
Вообще не ожидал, что кто-то так будет реагировать на ваши проверки. Правда, на мой субъективный взгляд — это пока самый плохой проект по качеству кода из тех, о которых вы писали.
Даже интересно стало, какой процент команд негативно реагирует на вашу работу?
Вы сделали достаточно объемную работу по проверку кода, а им тон не понравился.
Вообще не ожидал, что кто-то так будет реагировать на ваши проверки. Правда, на мой субъективный взгляд — это пока самый плохой проект по качеству кода из тех, о которых вы писали.
Даже интересно стало, какой процент команд негативно реагирует на вашу работу?
Редко, но бывает. Думаю, процентов 5.
Я Браену и Антону письмо напишу мы работали вместе когда то над парой вещей, я не знаю что он там выпендриватся, обычно вполне адекватный человек
На самом деле вполне адекватный ответ. Почему бы и не дать им сначала пофиксить баги? Вдруг что-то реально скомпрометирует безопасность проекта? Достаточно логичное требование, которое всегда ставят в таких ситуациях.
Представьте, кто-то выложил exploit про account takeover для Facebook, и ваш аккаунт украден. Будете ли вы рады, что это произошло и его выложили раньше чем баг пофиксили?)
Представьте, кто-то выложил exploit про account takeover для Facebook, и ваш аккаунт украден. Будете ли вы рады, что это произошло и его выложили раньше чем баг пофиксили?)
Это бессмысленно. Это ведь не специальный аудит, выполненный на заказ с помощью тайного инструментария. Это работа, которую мог проделать любой человек.
А теперь смотрите. Есть два типа людей. Тем, кто хочет найти дыру в FreeSWITCH и использовать её. И тем кому пофиг на это. Те кто хотел, уверен уже давно прошустрили исходники с помощью PVS-Studio и массой других подобных инструментов, нашли дыру и радуются в тайне. Способ искать уязвимости с помощью статических анализаторов кода общеизвестен. Так что наша публикация никакой пользы не принесёт тем, кто интересуется. А тем кому всё равно, есть там дыры или нет, прочитают с интересом и продолжат заниматься своими делами.
Статья ровным счетом не представляет никакой опасности для проекта с точки зрения безопасности. А ждать чего-то не имеет никакого смысла. Я же вижу, как некоторые наши баги, открытые нами в статьях, весят незакрытыми месяцами, так как некритичны. И что нам теперь ждать всех? К тому моменту статья «скиснет» и будет неактуально и услышим комментарии «зачем вы проверяли старую версию».
А теперь смотрите. Есть два типа людей. Тем, кто хочет найти дыру в FreeSWITCH и использовать её. И тем кому пофиг на это. Те кто хотел, уверен уже давно прошустрили исходники с помощью PVS-Studio и массой других подобных инструментов, нашли дыру и радуются в тайне. Способ искать уязвимости с помощью статических анализаторов кода общеизвестен. Так что наша публикация никакой пользы не принесёт тем, кто интересуется. А тем кому всё равно, есть там дыры или нет, прочитают с интересом и продолжат заниматься своими делами.
Статья ровным счетом не представляет никакой опасности для проекта с точки зрения безопасности. А ждать чего-то не имеет никакого смысла. Я же вижу, как некоторые наши баги, открытые нами в статьях, весят незакрытыми месяцами, так как некритичны. И что нам теперь ждать всех? К тому моменту статья «скиснет» и будет неактуально и услышим комментарии «зачем вы проверяли старую версию».
Конечно не хочу защищать их, но фрисвич один из самый стабильных софтсвичей сейчас, развитие которого идет вперед.
Внимание. Кто-то использует недостаток системы тикетов и пишет теперь там от нашего имени. Причем глупости. Видимо я неудачно привёл ссылку. Прошу прощения и прошу так не хулиганить.
> Таким образом, в 'status' сохраняется результат логической операции, а не результат функции switch_core_session_recv_dtmf().
Видимо так и задумано же. Хотя код ужасен просто. Ещё и goto.
Видимо так и задумано же. Хотя код ужасен просто. Ещё и goto.
Я отнюдь не программист (дай бог скриптик напишу на перле или баше для своих нужд).
30 сентября сего года уязвимость нашли:
В данном анализе есть что нибудь о ней?
30 сентября сего года уязвимость нашли:
The JSON parser in freeswitch versions prior to 1.6.2 and 1.4.23 suffer from a heap overflow vulnerability. packetstormsecurity.com/files/133781/freeswitch-Heap-Overflow.html
В данном анализе есть что нибудь о ней?
Видимо нет. Хочу пояснить. Проверяя проекты, мы не стараемся выявить какую-то уязвимость. Мы стараемся показать, как анализатор находит разнообразнейшие ошибки, скрывающиеся в коде. Некоторые из них могут оказаться уязвимостями, но мы скорее всего про это не догадаемся и опишем это как «опечатка», а не как «дырка». :) Просто чтобы говорить о уязвимостях, надо хорошо понимать проект. Для нас каждый проект новый, да и специализируемся мы именно на ошибках и повседневном использовании.
Пожалуйста, кто нибудь уже пофиксите отправку русских длинных СМС. Мой BR уже 3 месяца висит. Кроме русскоязычных это я так понимаю это никому не нужно. Тем более что оно уже сделано в репе альтлинукса, надо лишь перенести патч в проект фрисвича.
Sign up to leave a comment.
Алло! Это FreeSWITCH? Тогда мы проверим вас