https://www.opennet.ru/openforum/vsluhforumID3/136900.html В стандартной Си-библиотеке Glibc выявлена уязвимость (CVE-2025-4802), позволяющая добиться выполнения кода с привилегиями другого пользователя, выставляемыми при запуске приложений с флагом suid. Опасность проблемы сводят на нет условия при которых она проявляется - разработчики Glibc на смогли найти не одной suid-программы к которой была бы применима найденная уязвимость. При этом не исключено, что в обиходе могут использоваться собственные suid-прогрммы, удовлетворяющие условиям совершения атаки...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63269<br> https://www.opennet.ru/openforum/vsluhforumID3/136900.html#53 Wed, 28 May 2025 07:15:46 GMT это вопрос к сборщику ffmpeg, есть и libnss_*.a<br><br>Я решал эту проблему через chroot - но то был демон, ему было полезно. Не видит .so , то и не грузит.<br><br>возможно правка /etc/nsswitch.conf поможет. <br> https://www.opennet.ru/openforum/vsluhforumID3/136900.html#52 Fri, 23 May 2025 11:34:22 GMT &gt;[оверквотинг удален]<br>&gt; Эм, а какого года выпуска у вас железо?<br><br>HP Zbook c 32 Гбайт ОЗУ и ПП-диском.<br>&gt;&gt;что особенно заметно в интерактивных приложениях <br>&gt; Интерактивные приложения постоянно что-то вызывают. Очень маловероятно, что приложение <br>&gt; с нуля загрузится в память целиком, со всеми иконками библиотеками и <br>&gt; прочим <br>&gt;&gt;котороые во время инициализации интерфейса выполняют десятки вызовов <br>&gt; Почему десятки? Вот смотрите, типовой современный сайт на php вызывает тысячи, может <br>&gt; даже десятки тысяч файлов на один запрос. <br><br>Сайт кеширует в памяти содержимое всех этих мелких файлов и выгружает их только тогда, когда нужно освободить физическую память под более насущные задачи. По крайней мере, кешируются все индексы, мелкие таблицы, типа LUT ("справочники") и все страницы баз данных, к которым были недавние обращения, если они "не мешают".<br>&gt; И вы всех этих тысяч файлов не увидите, для вас это займёт ну может сотню <br>&gt; милисекунд. Так почему десктопные приложения у вас тогда тормозят несколько секу https://www.opennet.ru/openforum/vsluhforumID3/136900.html#51 Fri, 23 May 2025 10:57:29 GMT &gt; Статическая сборка хороша как минимум тем, что приложение будет более-менее гарантированно <br>&gt; работать, вот это её главный плюс. Идея разделяемых библиотек в линуксе <br>&gt; с треском провалилась, в винде оно как-то криво-косо, но работает.<br><br>В никсах нет "разделяемых" библиотек, но есть совместно используемые объекты (shared object), которые иногда называются "общие библиотеки".<br><br> https://www.opennet.ru/openforum/vsluhforumID3/136900.html#50 Fri, 23 May 2025 10:49:13 GMT &gt;&gt; Статическая сборка хороша тем, что приложение использует меньше физической памяти и работает быстрее.<br>&gt; Извиняюсь, но как раз динамическая сборка нужна, чтобы динамический линковщик при открытии <br>&gt; библиотеки взял уже загруженный в shared памяти файл библиотеки.<br><br>Динамическая сборка годится только тогда, когда общая библиотека используется несколькими программами и в этом случае память, возможно, экономится. Кто-то первый загрузил и остальные уже используют загруженное, отображая библиотеку в свое адресное пространство. <br>"Единоличное" же использование общих библиотек одним приложением не имеет особого смысла, поскольку кроме этого приложения никакое другое этими библиотеками пользоваться не может и этому приложению в любом случае придется всякий раз их загружать и привязывать. <br><br> https://www.opennet.ru/openforum/vsluhforumID3/136900.html#49 Wed, 21 May 2025 08:34:14 GMT &gt; когда уже выпилят этот сломанный статический nss и dlopen<br>&gt; разработчики Glibc не смогли найти ни одной suid-программы, к которой была бы применима найденная уязвимость<br><br>когда начнут находить, тогда может кто и профинансирует выпиливание.<br> https://www.opennet.ru/openforum/vsluhforumID3/136900.html#47 Tue, 20 May 2025 21:26:25 GMT &gt; Зато с статической линковкой работает LTO. А с шареными либами - нет. <br>&gt; Нужно ли lto или лучше пару мегабайт сэкономить - каждый решает сам. <br><br>Как бы тебе сказать то? Вгрузить в RAM 10 инстансов кутей, допустим, никак не пару мегабайт экономии будет. Вот 200 мегов RAM - это еще может быть.<br> https://www.opennet.ru/openforum/vsluhforumID3/136900.html#46 Tue, 20 May 2025 20:36:10 GMT Снапы с флетпаками выросли сугубо от хорошей жизни менеджера, который ничего лучше не смог придумать.<br>Впрочем, линковка к точной версии библиотеки не спасёт от конфликта символов внутри процесса.<br>Если в windows линковка происходит к dllname.dll:funcname, то в линуксах просто к funcname или в лучшем случае к funcname:SYMVER... что не исключает возможности как одинаковых funcname, так и одинаковых funcname:SYMVER в разных процессах...<br> https://www.opennet.ru/openforum/vsluhforumID3/136900.html#45 Tue, 20 May 2025 20:32:19 GMT Пакетные менеджеры мешают т.к не умеют ставить одновременно 2 разных минорных весрии.<br>В gentoo это кое-как решается preserved-libs, но он используется только в случае обновления библиотеки на более новую. Рач же сносит старую библиотеку при обновлении даже когда она используется, сводя всю ценность линковки к точной версии на нет<br> https://www.opennet.ru/openforum/vsluhforumID3/136900.html#44 Tue, 20 May 2025 20:28:29 GMT и там гарантированно не будет работать ресолвинг<br>