URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 136833
[ Назад ]
Исходное сообщение
"Уязвимость в GNU screen, позволяющая выполнить код с правами root"
Отправлено opennews , 12-Май-25 23:52 
В консольном оконном менеджере (мультиплексоре терминалов) GNU screen, предоставляющем многооконный интерфейс в консоли, выявлено  5 уязвимостей. Наиболее опасная проблема  (CVE-2025-23395) позволяет получить права root в системе. Исправление выключено в состав сегодняшнего выпуска screen 5.0.1...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63226

Содержание
Сообщения в этом обсуждении
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Витюшка , 12-Май-25 23:52 
Некорректное использование функции strncpy()...
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 12-Май-25 23:59 
приводящее к аварийному завершению при выполнении специально оформленных команд.

Вы же вроде в расте как раз такое и любите - чуть что - сразу паника (аварийное завершение)

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено НяшМяш , 13-Май-25 00:17 
А вы в сяшечке всё так же любите игнорировать предыдущие 4 уязвимости, лишь бы растовиков попинать. Почитал описание функции strncpy и за голову схватился - словосочетание "behavior undefined" встречается аж 3 раза. Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой, ничего при этом не испортив, чем как сяшечники звучно оподливившись в шаровары.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Нуину , 13-Май-25 00:48 
> Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой

Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки на корню.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Rev , 13-Май-25 02:14 
Да-да, только никто этого не делает :(
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 08:10 
> Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки на корню

Убрать ошибку на корню - это юзать нормальный язык вместо С.

Но это ж надо уметь делать выводы из полувека наступаней на грабли...

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 11:11 
широкая душа краев не видит
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Нуину , 13-Май-25 01:18 
> Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой,

Ну, судя по тому, что никто не использует rustscreen или что-то подобное, похоже растовщики по прежнему наворачиваются с подробным стектрейсом и ошибкой.

>  ничего при этом не испортив

Да, сложно испортить код, которого нет.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 09:21 
Молодой человек не слышал про Zellij?
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 10:01 
Не трать зря время. По расту методичка такая: на нём ничего не написано, а если что-то и написано, то это безоговорочно какая-то смешная или ненужная ерунда для пацанят на электроскутерах.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено _kp , 13-Май-25 01:53 
Так есть и другие способы работы со строками, даже не в C++, но и в С, и в том числе на микроконтроллерах.
А тащить бородатые "стандартные функции", которые на каждый чих надо обкладывать проверками, но на это  все равно где нибудь забьют, так себе стиль.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено анонимммм , 13-Май-25 07:17 
Стандартные строковые функции - идеальны. Делают ровно то, что заявляют. Если не хочется обкладывать код проверками, то эти проверки придётся интегрировать в сами функции, которые тем не менее придётся обкладывать проверками.

"Так себе стиль" - просто норма жизни. Без проверок нельзя.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено 12yoexpert , 13-Май-25 02:30 
у тебя уродский кот, вообще не смешной, стрёмный и скучный
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 02:43 
ноль саморефлексии
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 03:48 
КоКом тебе лещщща за котика!!
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Оно ним , 13-Май-25 03:00 
А из предыдущих четырёх раст бы защитил от одной - с состоянием гонки. А остальные точно так же и в расте были бы.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 06:26 
Behavior undefined, это нормально для системного языка программирования. Ненормально когда люди проектирующие язык программирования пытаются полностью устранить Behavior undefined.

Behavior undefined - это просто объективное явление, его невозможно полностью устранить. И наличие в языке behavior undefined, не делает язык автоматически плохим. Вам надо уметь гибко мыслить, шаблонное мышление, это плохо.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено anonymous , 13-Май-25 08:23 
> Behavior undefined, это нормально для системного языка программирования

Ага. Допускаешь ошибку и у тебя удаляет все файлы из корня. Почему? Потому что поведение неопределено - компилятор что хочет, то и делает.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 08:32 
По-хорошему, следует признаться себе, что никаких «строк» (в нормальном понимании) в сишечке нет, и избегать библиотечных функций str* как огня.
Но — зачем напрягаться. Что дедам было хорошо, и нам сгодится.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено 12yoexpert , 13-Май-25 10:51 
или уроки учи, str* ты наш
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено YetAnotherOnanym , 13-Май-25 09:36 
> растовиков попинать

"А нас-то за що?"
Вы первые начали.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 10:48 
Начали что?
Наложили любителям дыряшек полные штаны CVE))?
Придумали недостандарт где даже два числа нельзя сложить без UB/УГ ?

Вот не надо на нас вешать всех собак))

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено 12yoexpert , 13-Май-25 10:53 
вот в т.ч. из-за подобных комментов раст всегда и будет языком для клоунов и веб-синьоров
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 00:30 
>> приводящее к аварийному завершению при выполнении специально оформленных команд.
>> Bad strncpy() Use Leads to Crashes when Sending Commands
> Вы же вроде в расте как раз такое и любите - чуть что - сразу паника (аварийное завершение)

Я расстрою очередного (к)експерта, но panic - это _контролируемое_ завершение программой самой себя, в случае непредвиденной (или осознанно проигнорированной погроммистом) ошибки-ситуации.

А не вот это вот любимое Настоящими Погроммистами "мы тут немного попортили память за пределами буфера, вследствии чего код далее делал незнамо что, пока не прилетел SIGABRT" ...

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 01:50 
Дак ведь SIGABRT тоже на сишке написан (в ядре), что не нравится то?
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено _kp , 13-Май-25 02:00 
> panic - это _контролируемое_ завершение..

Но не всегда уместное. А вне десктопа и совсем не уместное.

> немного попортили память за пределами буфера

тут не ручной перезапуск уместен, а замена ПО требуется.
Ну, можно же и на Си нормально работь со строками, без неандертальских функций и тупых строковых буферов. Ну, ладно, хотя бы  в коде не требующего сверхбыстродействия.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 03:27 
> А вне десктопа и совсем не уместное.

Ты всё перепутал. Это как раз на десктопе таким пугать пользователя нельзя. А на сервере я как раз хочу чтобы упало, а не тихонько неизвестно как то ли работало, то ли память портило. Как падения софта мониторить давно придумали и решили сотней разных способов. А вот как мониторить порчу памяти до сих пор не договорились.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 03:55 
Идея паники понятна, но аноним попался на незнании ОС ни Сижки: sukabrt это тебе он сегфоулт, он швыряется тоже по пурпоузу, как и эксепшен этот ваш панический. Если словил аборт это как раз самое контролируемое что ни на есть
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Соль земли , 13-Май-25 10:20 
Крашнуться, то есть срочно завершиться - это наилучшее поведение при непредусмотренной работе программы. Так ты быстрее всего поймёшь, что что-то не так.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 00:30 
>> нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта

Диды бы такого не допустили...

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 01:01 
Больше кодеров с гпт!
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 01:39 
> нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта

И на хрена было выпускать ветку screen 5.0? Не устраивает ветка 4.9 пишите свою новую на Rust или Go

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 01:41 
На расте уже всё давно написано, GNU screen не нужен.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 08:42 
Напомним, screen - проект GNU. Негоже им переписывать на языке, фронтенд которого gccrs ещё не готов.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 03:56 
Диды допустили
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено крокодил мимо.. , 13-Май-25 01:01 
просто оставлю это здесь..
https://undeadly.org/cgi?action=article;sid=20090712190402
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено sena , 13-Май-25 01:04 
> нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта

То есть диды написали тонны сишного кода в ГНУ/Линуксах и уходят, а сопровождать его вместо них некому.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Нуину , 13-Май-25 01:15 
> То есть диды написали тонны сишного кода в ГНУ/Линуксах и уходят

А где там в gnu screen тонна кода?

> а сопровождать его вместо них некому.

Получается некому, а те, кто могут, не хотят. Об этом яжфин говорил, что проблема есть в сопровождающих.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено sena , 13-Май-25 01:25 
> Об этом яжфин говорил, что проблема есть в сопровождающих.

Тогда все эти мансы с растом обретают иной смысл - просто Торвальдс хочет привлечь к разработке молодёжь, а она в си не умеет и не хочет. Ну и скандал, борьба, революция, всё это тоже важно для привлечения молодёжи.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Нуину , 13-Май-25 01:35 
> Тогда все эти мансы с растом обретают иной смысл - просто Торвальдс хочет привлечь к разработке молодёжь, а она в си не умеет и не хочет. Ну и скандал, борьба, революция, всё это тоже важно для привлечения молодёжи.

Я думаю там замешаны конторы, у которых ставка на раст. У них профит простой: нужны дешевые разрабы.

> а она в си не умеет и не хочет.

Справедливости ради молодёжь много чего не умеет не хочет. А нет, умеют писать жручие и тормозные поделия на электроне.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено _kp , 13-Май-25 02:06 
Если проблемы не было, а в предпоследней версии появилась, то или молодежь самовыражалась, ведь нигде так часто, как в открытых проектах буфера не переполняются, отвечать то за писанину не надо, или даже сделано сознательно, рустофилами, для нагнетания вони о переполнении буферов.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 05:39 
> сделано сознательно, рустофилами, для нагнетания вони о переполнении буферов.

Растовики sroot сишникам в штаны?

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Карлос Сношайтилис , 13-Май-25 09:59 
> или даже сделано сознательно, рустофилами, для нагнетания вони о переполнении буферов

Сишники уже смирились с невозможностью писать нормальный код, но от инфантилизма так и не избавились: теперь виноваты растоманы!

Сюрреалистичненько

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Карлос Сношайтилис , 13-Май-25 10:21 
> Я думаю там замешаны конторы, у которых ставка на раст. У них профит простой: нужны дешевые разрабы.

Для дешёвых разрабов нужен низкой порог входа и превышение предложения над спросом. В расте ни того ни другого не наблюдается.
Скорее гошка, но даже там рынок не насыщен исчо.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено 12yoexpert , 13-Май-25 02:28 
меня больше тревожит, что некоторые "не умеют в русский язык"
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 03:57 
Почем тебя это тревожет
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 09:55 
> а она в си не умеет и не хочет

И совершенно правильно делает. Оно им надо, в кучах дедовского г… копаться?

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено sena , 13-Май-25 10:54 
>> а она в си не умеет и не хочет
> И совершенно правильно делает. Оно им надо, в кучах дедовского г… копаться?

Понять можно, простить - никогда. :)

Надо писать научный труд "отсутствие преемственности в айти". :)

На самом деле, если Торвальдс молодёжи не наберёт, то Линукс тихонечко умрёт, да и многие другие важные свободные проекты тоже.


"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 11:05 
> Понять можно, простить - никогда. :)

Деда ответ (с) )))

> Надо писать научный труд "отсутствие преемственности в айти". :)

Интересно, писал ли кто-то подобное в стиле "молодежь не хочет ухаживать за лошадками! им подавай эти новомодные автомобили!!!
А ведь лошадка это не бездушная железка, у нее есть характер, она умеет фыркать, кушать вкусняшки и пахнуть навозом!"

> На самом деле, если Торвальдс молодёжи не наберёт, то Линукс тихонечко умрёт,

Не умрет.
Есть корпорации у которых наемные рабочие, которые будут делать то, что им скажут.
Правда тогда в ядре код от "индивидуалов" будет вообще около нуля, а не процентов 10 как сейчас.

> да и многие другие важные свободные проекты тоже.

Если на них забили и они умерли - значит не настолько и важные.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено sena , 13-Май-25 11:19 
> Есть корпорации у которых наемные рабочие, которые будут делать то, что им
> скажут.

Ты переоцениваешь возможности корпов, даже бабло не всемогуще. Если разрабов способных разобраться в сишечке не будет, то их не будет, сколько бабла не вливай.

Всё что корпы смогут сделать в этом случае - найти новый молодой проект с молодым условным Торвальдсом и вложиться в его поддержку.

Но я думаю старый Торвальдс смекнул что к чему и возможно он успеет омолодить состав, хотя и не факт.

> Если на них забили и они умерли - значит не настолько и
> важные.

Ну в принципе да, так и есть. Монолит не нужен.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 10:59 
> То есть диды написали тонны сишного кода в ГНУ/Линуксах

Угу.

> и уходят

чудовищная безответственность!

> а сопровождать его вместо них некому.

А ты бы хотел ковыряться в старых жигулях как дед на выходных?
Или лучше взять и заняться чем-то более интересным?

Я уже молчу что качество того кода мягко говоря отстойное, судя по кол-ву дыр и тяп-ляпов в стиле "мамой клянусь тут не будет переполнения".

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Krtek , 13-Май-25 01:24 
>они так и не смогли подготовить исправления для всех уязвимостей

Всё, что нужно знать о GNU.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 01:40 
Zellij, tab-rs.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 01:45 
> сотрудникам SUSE пришлось подготовить некоторые патчи самостоятельно. По мнению проводивших аудит исследователей, нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта и не способны полностью разобраться в выявленных проблемах безопасности.

А нынешний сопровождающий — это alexander_naumov@opensuse.org ведь? Они там меж собой в suse договориться не могут даже?

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 04:07 
Не суди строго: должно быть бро открыл олдскульную кодовую базу и у него глаза потекли, моментально окислился
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 03:01 
Роллинг это быстрые фиксы с одной стороны и новые вулны с другой.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 06:09 
> только в ветке screen 5.0.0, которая поставляется в Fedora Linux, Arch Linux,
> NetBSD, OpenBSD и Alpine.

Спасибо этим господам что побегали для нас по минному полю и разминировали прямо его своими тушками :)

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 06:25 
Им спасибо, а мы продолжим юзать tmux в роли терминал-мультиплексора
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 06:29 
Ну в дебилиановском кале мамонта такого уж точно нет.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 06:28 
Вангую растаманы щас перепишут на Rscreen.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 08:35 
Как обычно, у проектов GNU код низкого качества. Ничего хорошего от этой конторки ждать нельзя.

Лучше пользоваться TMUX. У него фич больше, конфиг вменяемый. Сделано людьми для людей.

"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено name , 13-Май-25 08:56 
Врети - в BSD tmux вместо скрина! А GNU пора закопать на свалке истории как что-то нелепое и в лучших традициях неудавшееся.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 10:15 
Ну вот и сиди на своём tmux, а нам на GNU screen хорошо.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 09:21 
Коммунисты в комментариях хоронят GNU. Вот умора!
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 09:48 
Как обычно гнутые, пока другие имеют и hdr и 4к, эти фиксят чио работало
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 10:38 
В KDE уже есть HDR. Это просто луддиты, которые против прогресса.
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Соль земли , 13-Май-25 10:10 
В Debian без setuid/setgid. Но как же он тогда работает? Дебьяновская магия!
"Уязвимость в GNU screen, позволяющая выполнить код с правами..."
Отправлено Аноним , 13-Май-25 11:01 
Про NetBSD какая-то ложь. В pkgsrc есть две версии: pkgsrc/misc/screen и pkgsrc/misc/screen4. Первая (без цифры в названии) это 5я версия, но ни одна из них не входит в состав базовой системы.