在rsync项目的CVE-2024-12084发布后的几个小时内,站点可靠性工作人员和系统管理员争先恐后地重建和修补所有系统,以修复 rsync 守护进程中基于堆的缓冲区溢出,从而使攻击者能够执行-of-bounds 在有线协议中写入格式不正确的校验和。这是因为受影响的组件是用 C 语言编写的,而 C 语言是唯一经常发生这些漏洞的编程语言。程序员艾萨克·丹尼尔王子 (Prince Isac Daniel) 表示:“这是一场可怕的悲剧,但有时这些事情就会发生,而任何人都无法阻止它们。”他呼应了数十万程序员的说法,这些程序员使用的是世界上 90% 的人都使用的唯一语言。内存安全漏洞在过去50年里时有发生,其项目出现安全漏洞的可能性是其20倍。 “这很遗憾,但我们能做什么?如果程序员不想以稳健的方式编写代码,我们真的无能为力来防止内存安全漏洞的发生。”截至发稿时,世界上唯一一种在过去八年中每季度定期发生一到两次此类漏洞的编程语言的用户将自己和他们的处境称为“无助”。
原文: https://xeiaso.net/shitposts/no-way-to-prevent-this/CVE-2024-12084/