116 подписчиков
curl, лично для меня, был и есть самый "человечный" опенсорс проект. Всё благодаря его автору, Даниэлю Стенбергу, который не только тянет сам проект, но и ведёт очень честный блог. К примеру, девятого числа он опубликовал предупреждение, что есть две CVE (CVE-2023-38545 и CVE-2023-38546), одну из которых он сам расценивает как серьёзный залёт и уходит срочно фиксить. Уровень залёта таков, что он даже не стал разглашать, что именно сломалось и для каких версий, кроме общих слов про уязвимость тянущуюся несколько лет. А учитывая, что libcurl есть примерно везде, круто напряглось ощутимое количество людей.
Однако наступило 11 число, Даниэль выпустил новую версию и раскрыл все подробности. Оказалось, что ошибка была в переполнении буфера кучи и вела к возможности выполнения произвольного кода. На поднявшийся бубнёж, что как же такой уважаемый специалист допустил такую детскую ошибку, которая лежала на видном месте почти четыре года, он ответил буквально так: да, я накосячил, да мне стыдно, но я всего лишь человек. И дальше размышления на тему, что пишу как умею на старой версии С, потому что переход на новую версию\язык для одного разработчика – задача практически невозможная. И что он продолжит писать на С. А если кому такой расклад не нравится, то недовольные всегда могут начать писать код самостоятельно. Опенсорс же....
Мировой мужик, конечно.
А курл обновите, да. Прям не затягивайте.
1 минута
12 октября 2023