forum.opennet.ru - "Уязвимость в Glibc, затрагивающая статически собранные suid-файлы с dlopen" (37)

"Уязвимость в Glibc, затрагивающая статически собранные suid-файлы с dlopen"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Glibc, затрагивающая статически собранные suid-файлы с dlopen"	+/–
Сообщение от opennews (??), 20-Май-25, 00:35
В стандартной Си-библиотеке Glibc выявлена уязвимость (CVE-2025-4802), позволяющая добиться выполнения кода с привилегиями другого пользователя, выставляемыми при запуске приложений с флагом suid. Опасность проблемы сводят на нет условия при которых она проявляется - разработчики Glibc на смогли найти не одной suid-программы к которой была бы применима найденная уязвимость. При этом не исключено, что в обиходе могут использоваться собственные suid-прогрммы, удовлетворяющие условиям совершения атаки... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63269
Ответить \| Правка \| Cообщить модератору

Оглавление

когда уже выпилят этот сломанный статический nss и dlopen Он никогда не работае, Аноним (1), 00:35 , 20-Май-25, (1) +6

Можно пример, на каком моменте вы ловите segfault , openssh_user (ok), 07:51 , 20-Май-25, (8) –2

Это известный баг - когда nss от другой libc - такое блюдо надо уметь готовить , fi (ok), 09:26 , 20-Май-25, (10) +1

Левин небось за это повышение получил Может даже старлея дали , Аноним (36), 18:50 , 20-Май-25, (36)

Так он её выпилил как раз потому, что она нигде не используется Очень похоже, ч, Аноним (38), 20:06 , 20-Май-25, (38)

usr lib x86_64-linux-gnu libc so 6GNU C Library Debian GLIBC 2 36-9 deb12u, Аноним (42), 23:22 , 20-Май-25, (42)

Удивительно что для статической сборки кто-то использует glibc, разве это не кил, Аноним (17), 11:50 , 20-Май-25, (17) +1

В посте выше ссылка на сайт со статическими билдами и там зачем-то glibc а поми, Аноним (42), 23:24 , 20-Май-25, (43)

А теперь коронный номер - поза фантомас в очках на аэроплане , Аноним (-), 01:36 , 20-Май-25, (2) +11

Скорее уж Товарищ милиционер, а вот если залезть на шкаф и воооот така вооооот , Жироватт (ok), 13:58 , 20-Май-25, (26) +1

лучше бы запретили бы статическую сборку и не е и бы мозги, Xasd9 (?), 03:26 , 20-Май-25, (3) –10

зачем, когда можно её починить, а не пихать туда сомнительные вещи , Аноним (1), 04:10 , 20-Май-25, (4) +3
Статическая сборка хороша тем, что приложение использует меньше физической памят, adolfus (ok), 09:34 , 20-Май-25, (11) –4

Не неси чушь SO либы в юнискосых системах расшарены, т е библиотека загружаетс, Аноним (12), 09:57 , 20-Май-25, (12) +5

Зато с статической линковкой работает LTO А с шареными либами - нет Нужно ли lt, Аноним (-), 12:28 , 20-Май-25, (22) +3

Ну как бы логично, нет На то они и шареные , Аноним (12), 12:32 , 20-Май-25, (23)

Конечно логично, я же об этом и написал Но то, что оно не пашет это недостаток э, Аноним (-), 12:48 , 20-Май-25, (25)

Если логика вашей программы настолько сильно упирается в скорость вызова какой-т, Аноним (31), 14:37 , 20-Май-25, (31) +1

Так не пойдёт Байты всё равно надо откуда-то прочитать Количество байт от мето, Аноним (34), 16:57 , 20-Май-25, (34)

Ничего вы по памяти не сэкономите Загруженная ранее so будет отображена полнос, adolfus (ok), 22:23 , 20-Май-25, (41)

Сам ты чушь На лекции, поди, не ходил, а билет списал на троечку Загружены и го, adolfus (ok), 22:05 , 20-Май-25, (40)

Извиняюсь, но как раз динамическая сборка нужна, чтобы динамический линковщик пр, Соль земли2 (?), 10:56 , 20-Май-25, (14) +4
Статическая сборка хороша как минимум тем, что приложение будет более-менее гара, Аноним (15), 10:57 , 20-Май-25, (15)

Но шмель об этом не знает и продолжает летать , Аноним (12), 11:37 , 20-Май-25, (16) +5

Да, до момента появления сообщения 171 у вас so версии 2 11, а нужно 2 10 18, Аноним (15), 12:12 , 20-Май-25, (18) +1

В Линуксе без проблем поставить рядом 2 10 и 2 11, без хелла , Аноним (21), 12:25 , 20-Май-25, (21) +1

Во-первых, и с хелпом проблема Во-вторых, уже в этот момент концепция разделяем, Аноним (15), 12:37 , 20-Май-25, (24)
Только в nixos и guix sd Во всех остальных случаях начинаются танцы с контейнер, Аноним (34), 14:14 , 20-Май-25, (29)

Спешу вас расстроить, достаточно компилировать програмы с более точной версией б, Аноним (31), 14:43 , 20-Май-25, (32)

О титан, не слишком ли тяжёл небосвод, не устал ли его держать Согласен, что сде, Аноним (34), 17:01 , 20-Май-25, (35)
И насколько хорошо это работает мы можем посмотреть в том числе и по сабжевой но, Аноним (36), 19:06 , 20-Май-25, (37)

Да-да, особенно когда на каком-то копродистре вроде деба тебе срочно нужно обнов, Аноним (-), 12:25 , 20-Май-25, (20) –1

и там гарантированно не будет работать ресолвинг, Аноним (42), 23:28 , 20-Май-25, (44)

Эм, а какого года выпуска у вас железо Интерактивные приложения постоянно что-то, Аноним (34), 14:12 , 20-Май-25, (28)

Человек наверное под виндой сидит, где кэш файловой системы по ощущениям постоян, Аноним (31), 14:44 , 20-Май-25, (33)

Спасибо, для статической сборки уже нужен musl , Аноним (34), 10:47 , 20-Май-25, (13)
Подрабатываете в НСА , OpenEcho (?), 12:18 , 20-Май-25, (19)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +6 +/–

Сообщение от Аноним (1), 20-Май-25, 00:35

когда уже выпилят этот сломанный статический nss и dlopen? Он никогда не работает и только проблемы создаёт, Обычно бинарники собирают статически не чтобы из них dlopen делать.
Статический ffmpeg на дебиане вообще сегфолтится при попытке ресолвинга, очень полезно!!!

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." –2 +/–

Сообщение от openssh_user (ok), 20-Май-25, 07:51

Можно пример, на каком моменте вы ловите segfault?

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +1 +/–

Сообщение от fi (ok), 20-Май-25, 09:26

Это известный баг - когда nss от другой libc -  такое блюдо надо уметь готовить.
Но что странно - так то что ссылаются на
2017-12-19  Dmitry V. Levin  <ldv@altlinux.org>
        * elf/dl-load.c (is_trusted_path): Remove.
        (fillin_rpath): Remove check_trusted argument and its use,
        all callers changed.
кто-то внес "оптимизацию" )))))

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (36), 20-Май-25, 18:50

Левин небось за это повышение получил. Может даже старлея дали.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (38), 20-Май-25, 20:06

Так он её выпилил как раз потому, что она нигде не используется. Очень похоже, что кто-то с помощью нейросетки пытается поднять себе KPI, внося тормоза в нормальный код.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (42), 20-Май-25, 23:22

~$  /usr/lib/x86_64-linux-gnu/libc.so.6
GNU C Library (Debian GLIBC 2.36-9+deb12u9) stable release version 2.36.
Запустить  ffmpeg-7.0.2-amd64-static отсюда:
https://johnvansickle.com/ffmpeg/
и попытаться сделать любой сетевой запрос, как-то связанный с nss, например подать ссылку с любым доменом на вход приводит к сегфолту. На других версиях обычно был не сегфолт, а просто ресолвинг не работал.
Претензия в том, что в статический билд вообще попадает динамическая загрузка nss. Вместо этого должен быть либо стаб, либо фоллбэк, поддерживающий какую-то минимальную конфигурацию

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

17. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +1 +/–

Сообщение от Аноним (17), 20-Май-25, 11:50

Удивительно что для статической сборки кто-то использует glibc, разве это не киллер фичи компактных реализаций uclibc и musl.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

43. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (42), 20-Май-25, 23:24

В посте выше ссылка на сайт со статическими билдами и там зачем-то glibc (а помимо прочего ещё и x11 влинкован).

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +11 +/–

Сообщение от Аноним (-), 20-Май-25, 01:36

> затрагивающая статически собранные suid-файлы с dlopen
А теперь коронный номер - поза "фантомас в очках на аэроплане".

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +1 +/–

Сообщение от Жироватт (ok), 20-Май-25, 13:58

Скорее уж "Товарищ милиционер, а вот если залезть на шкаф и воооот така вооооот выгнуть восьмёркой шею, то можно увидеть в бинокль голых девок в бане на том конце улицы! Примите меры!".

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." –10 +/–

Сообщение от Xasd9 (?), 20-Май-25, 03:26

лучше бы запретили бы статическую сборку и не е***и бы мозги

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +3 +/–

Сообщение от Аноним (1), 20-Май-25, 04:10

зачем, когда можно её починить, а не пихать туда сомнительные вещи?

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." –4 +/–

Сообщение от adolfus (ok), 20-Май-25, 09:34

Статическая сборка хороша тем, что приложение использует меньше физической памяти и работает быстрее. Каждая .so независимо от реального размера загружаемого содержимого требует, минимум, три собственных страницы физической памяти, а статическая ровно столько, сколько занимает сама библиотека. Первый вызов функции из .so требует некоторого дополнительного времени на некотороые системные действия, что особенно заметно в интерактивных приложениях, котороые во время инициализации интерфейса выполняют десятки вызовов. Выглядит это как тормоза и достигают эти тормоза нескольких секунд.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +5 +/–

Сообщение от Аноним (12), 20-Май-25, 09:57

> приложение использует меньше физической памяти
Не неси чушь. SO либы в юнискосых системах расшарены, т.е. библиотека загружается ровно один раз даже если ее использует 100 программ.
В отличие от статической линковки, лол.
> некоторого дополнительного времени
> некотороые системные действия
А, сори, у нас тут эксперт в треде. Чему я удивляюсь...

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +3 +/–

Сообщение от Аноним (-), 20-Май-25, 12:28

> библиотека загружается ровно один раз даже если ее использует 100 программ.
Зато с статической линковкой работает LTO. А с шареными либами - нет.
Нужно ли lto или лучше пару мегабайт сэкономить - каждый решает сам.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (12), 20-Май-25, 12:32

> Зато с статической линковкой работает LTO. А с шареными либами - нет.
Ну как бы логично, нет? На то они и шареные.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (-), 20-Май-25, 12:48

> Ну как бы логично, нет? На то они и шареные.
Конечно логично, я же об этом и написал.
Но то, что оно не пашет это недостаток этого самого шаренья. Просто все так расписывают преимущества shared libs, как будто у них нет недостатков.
А вот мне не жалко небольшого увеличения размера аппы ради небольшого увеличения производительности.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +1 +/–

Сообщение от Аноним (31), 20-Май-25, 14:37

Если логика вашей программы настолько сильно упирается в скорость вызова какой-то функции из другой библиотеки, а не в IO, например, то либо статично компилируйтесь с этой библиотекой, либо чините компиляцию / меняйте компилятор.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (34), 20-Май-25, 16:57

>Если логика вашей программы настолько сильно упирается в скорость вызова какой-то функции из другой библиотеки, а не в IO, например, то либо статично компилируйтесь с этой библиотекой
Так не пойдёт. Байты всё равно надо откуда-то прочитать. Количество байт от метода линковки зависит слабо, и условный бинарник на 100 Мб всё равно не будет прочитан мгновенно, по сравнению с динамически слинкованным

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от adolfus (ok), 20-Май-25, 22:23

Ничего вы по памяти не сэкономите. Загруженная ранее .so будет отображена полностью в ваше адресное пространство, даже если вы из нее используете маленькую функцию. Это в отношени кода. Плюс у вас будет отображение секций инициализированных данных и неинициализированных, даже если функция, которую вы вызываете, их не использует. Именно поэтому вместе с .so нормальные пакеты предоставляют .a, собранные из мелких объектных модулей, ни на какие другие не ссылающиеся. Это для тех, кто понимает, что такое динамическое связывание и чем оно отличается от статического.
Я пишу, в основном, математику и если заказчик не возражает, использую gsl, которую сам компилирую и собираю как в .so, так и в .a, так что разницу в призводительности и в отношении свободной памяти в куче (malloc) чувствую непосредственно.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

40. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от adolfus (ok), 20-Май-25, 22:05

Сам ты чушь. На лекции, поди, не ходил, а билет списал на троечку.
Загружены и готовы к динамическому связыванию только системные общие библиотеки, котороые лежат в /usr/{lib64|lib}. Приложения, идущие со всем своим, которые ставятся в /opt, /usr/local/, и разного родо chroot'нутые, типа libreoffice и прочих slickedit, maple, matlab, mentоr graphics и прочих проприетарных, стартуют каждый раз на абсолютно голом месте, загружают и инициализируют все свои .so при первом вызове какой-нибудь функции из них. При этом каждая функция, к которой обращается приложение первый раз, отдельно настраивается в PLT и инициализируется при первом ее вызове. Инициализация обычно используется для создания ссылок на ресурсы и их инициализации, например, мьютексов, совместно используемой памяти, что требует смены контекста и, соответственно, времени.
Иди повтори лекцию, которую ты прогулял. Заодно и русский подучи, чурка неграмотная.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

14. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +4 +/–

Сообщение от Соль земли2 (?), 20-Май-25, 10:56

> Статическая сборка хороша тем, что приложение использует меньше физической памяти и работает быстрее.
Извиняюсь, но как раз динамическая сборка нужна, чтобы динамический линковщик при открытии библиотеки взял уже загруженный в shared памяти файл библиотеки.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

15. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (15), 20-Май-25, 10:57

Статическая сборка хороша как минимум тем, что приложение будет более-менее гарантированно работать, вот это её главный плюс. Идея разделяемых библиотек в линуксе с треском провалилась, в винде оно как-то криво-косо, но работает.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

16. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +5 +/–

Сообщение от Аноним (12), 20-Май-25, 11:37

> Идея разделяемых библиотек в линуксе с треском провалилась
"Но шмель об этом не знает и продолжает летать..."

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +1 +/–

Сообщение от Аноним (15), 20-Май-25, 12:12

Да, до момента появления сообщения «у вас .so версии 2.11, а нужно 2.10» (или наоборот). Снапы с флатпаками от хорошей жизни выросли, видимо?

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +1 +/–

Сообщение от Аноним (21), 20-Май-25, 12:25

В Линуксе без проблем поставить рядом 2.10 и 2.11, без хелла.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (15), 20-Май-25, 12:37

Во-первых, и с хелпом проблема. Во-вторых, уже в этот момент концепция разделяемых библиотек похерена.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (34), 20-Май-25, 14:14

Только в nixos и guix sd. Во всех остальных случаях начинаются танцы с контейнерами, и прочим и прочим

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

32. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (31), 20-Май-25, 14:43

Спешу вас расстроить, достаточно компилировать програмы с более точной версией библиотеки, которая вам нужна, а не "о, новая фича в 2.16, но всё равно буду линковаться с libcrap-2.so". Ничто не мешает положить в систему обе версии файла. На крайняк можно через переменные окружения в другую папку настроить (если бинарь нет возможности перекомпилировать правильно), либо и правда другой mount namespace сделать, если и так хотите заизолировать что-то.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (34), 20-Май-25, 17:01

О титан, не слишком ли тяжёл небосвод, не устал ли его держать?
Согласен, что сделать можно, только мало кто делает. Тот же appimage у меня из коробки не запустился, так как какой-то библиотеки у меня не оказалось. Хотя казалось бы

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (36), 20-Май-25, 19:06

> На крайняк можно через переменные окружения в другую папку настроить
И насколько хорошо это работает мы можем посмотреть в том числе и по сабжевой новости. И нет, проблемы танцевать красиво с «другими папками», неймспейсами, небом и аллахом нет. Проблема есть в том, что эти танцы надоели ещё пятнадцать лет тому назад, если не все двадцать, и судя по набирающим популярность флатпакам, аппимиджам и снапу — не только мне одному.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

20. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." –1 +/–

Сообщение от Аноним (-), 20-Май-25, 12:25

> "Но шмель об этом не знает и продолжает летать..."
Да-да, особенно когда на каком-то копродистре вроде деба тебе срочно нужно обновить что-то чтобы исправить бесячий баг или дыру, а дебилианцы не считают это проблемой.
И вот тогда начинается веселье.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

44. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (42), 20-Май-25, 23:28

и там гарантированно не будет работать ресолвинг

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

28. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (34), 20-Май-25, 14:12

>Выглядит это как тормоза и достигают эти тормоза нескольких секунд
Эм, а какого года выпуска у вас железо?
>что особенно заметно в интерактивных приложениях
Интерактивные приложения постоянно что-то вызывают. Очень маловероятно, что приложение с нуля загрузится в память целиком, со всеми иконками библиотеками и прочим
>котороые во время инициализации интерфейса выполняют десятки вызовов
Почему десятки? Вот смотрите, типовой современный сайт на php вызывает тысячи, может даже десятки тысяч файлов на один запрос. И вы всех этих тысяч файлов не увидите, для вас это займёт ну может сотню милисекунд. Так почему десктопные приложения у вас тогда тормозят несколько секунд?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

33. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (31), 20-Май-25, 14:44

Человек наверное под виндой сидит, где кэш файловой системы по ощущениям постоянно выключен.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от Аноним (34), 20-Май-25, 10:47

Спасибо, для статической сборки уже нужен musl.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

19. "Уязвимость в Glibc, затрагивающая статически собранные suid-..." +/–

Сообщение от OpenEcho (?), 20-Май-25, 12:18

> лучше бы запретили бы статическую сборку и не е***и бы мозги
Подрабатываете в НСА ?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+6 +/–
Сообщение от Аноним (1), 20-Май-25, 00:35
когда уже выпилят этот сломанный статический nss и dlopen? Он никогда не работает и только проблемы создаёт, Обычно бинарники собирают статически не чтобы из них dlopen делать. Статический ffmpeg на дебиане вообще сегфолтится при попытке ресолвинга, очень полезно!!!
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	–2 +/–
	Сообщение от openssh_user (ok), 20-Май-25, 07:51
	Можно пример, на каком моменте вы ловите segfault?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+1 +/–
	Сообщение от fi (ok), 20-Май-25, 09:26
	Это известный баг - когда nss от другой libc - такое блюдо надо уметь готовить. Но что странно - так то что ссылаются на 2017-12-19 Dmitry V. Levin <ldv@altlinux.org> * elf/dl-load.c (is_trusted_path): Remove. (fillin_rpath): Remove check_trusted argument and its use, all callers changed. кто-то внес "оптимизацию" )))))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (36), 20-Май-25, 18:50
	Левин небось за это повышение получил. Может даже старлея дали.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (38), 20-Май-25, 20:06
	Так он её выпилил как раз потому, что она нигде не используется. Очень похоже, что кто-то с помощью нейросетки пытается поднять себе KPI, внося тормоза в нормальный код.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (42), 20-Май-25, 23:22
	~$ /usr/lib/x86_64-linux-gnu/libc.so.6 GNU C Library (Debian GLIBC 2.36-9+deb12u9) stable release version 2.36. Запустить ffmpeg-7.0.2-amd64-static отсюда: https://johnvansickle.com/ffmpeg/ и попытаться сделать любой сетевой запрос, как-то связанный с nss, например подать ссылку с любым доменом на вход приводит к сегфолту. На других версиях обычно был не сегфолт, а просто ресолвинг не работал. Претензия в том, что в статический билд вообще попадает динамическая загрузка nss. Вместо этого должен быть либо стаб, либо фоллбэк, поддерживающий какую-то минимальную конфигурацию
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	17. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+1 +/–
	Сообщение от Аноним (17), 20-Май-25, 11:50
	Удивительно что для статической сборки кто-то использует glibc, разве это не киллер фичи компактных реализаций uclibc и musl.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	43. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (42), 20-Май-25, 23:24
	В посте выше ссылка на сайт со статическими билдами и там зачем-то glibc (а помимо прочего ещё и x11 влинкован).
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+11 +/–
Сообщение от Аноним (-), 20-Май-25, 01:36
> затрагивающая статически собранные suid-файлы с dlopen А теперь коронный номер - поза "фантомас в очках на аэроплане".
Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+1 +/–
	Сообщение от Жироватт (ok), 20-Май-25, 13:58
	Скорее уж "Товарищ милиционер, а вот если залезть на шкаф и воооот така вооооот выгнуть восьмёркой шею, то можно увидеть в бинокль голых девок в бане на том конце улицы! Примите меры!".
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	–10 +/–
Сообщение от Xasd9 (?), 20-Май-25, 03:26
лучше бы запретили бы статическую сборку и не е***и бы мозги
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+3 +/–
	Сообщение от Аноним (1), 20-Май-25, 04:10
	зачем, когда можно её починить, а не пихать туда сомнительные вещи?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	–4 +/–
	Сообщение от adolfus (ok), 20-Май-25, 09:34
	Статическая сборка хороша тем, что приложение использует меньше физической памяти и работает быстрее. Каждая .so независимо от реального размера загружаемого содержимого требует, минимум, три собственных страницы физической памяти, а статическая ровно столько, сколько занимает сама библиотека. Первый вызов функции из .so требует некоторого дополнительного времени на некотороые системные действия, что особенно заметно в интерактивных приложениях, котороые во время инициализации интерфейса выполняют десятки вызовов. Выглядит это как тормоза и достигают эти тормоза нескольких секунд.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	12. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+5 +/–
	Сообщение от Аноним (12), 20-Май-25, 09:57
	> приложение использует меньше физической памяти Не неси чушь. SO либы в юнискосых системах расшарены, т.е. библиотека загружается ровно один раз даже если ее использует 100 программ. В отличие от статической линковки, лол. > некоторого дополнительного времени > некотороые системные действия А, сори, у нас тут эксперт в треде. Чему я удивляюсь...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+3 +/–
	Сообщение от Аноним (-), 20-Май-25, 12:28
	> библиотека загружается ровно один раз даже если ее использует 100 программ. Зато с статической линковкой работает LTO. А с шареными либами - нет. Нужно ли lto или лучше пару мегабайт сэкономить - каждый решает сам.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (12), 20-Май-25, 12:32
	> Зато с статической линковкой работает LTO. А с шареными либами - нет. Ну как бы логично, нет? На то они и шареные.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (-), 20-Май-25, 12:48
	> Ну как бы логично, нет? На то они и шареные. Конечно логично, я же об этом и написал. Но то, что оно не пашет это недостаток этого самого шаренья. Просто все так расписывают преимущества shared libs, как будто у них нет недостатков. А вот мне не жалко небольшого увеличения размера аппы ради небольшого увеличения производительности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+1 +/–
	Сообщение от Аноним (31), 20-Май-25, 14:37
	Если логика вашей программы настолько сильно упирается в скорость вызова какой-то функции из другой библиотеки, а не в IO, например, то либо статично компилируйтесь с этой библиотекой, либо чините компиляцию / меняйте компилятор.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (34), 20-Май-25, 16:57
	>Если логика вашей программы настолько сильно упирается в скорость вызова какой-то функции из другой библиотеки, а не в IO, например, то либо статично компилируйтесь с этой библиотекой Так не пойдёт. Байты всё равно надо откуда-то прочитать. Количество байт от метода линковки зависит слабо, и условный бинарник на 100 Мб всё равно не будет прочитан мгновенно, по сравнению с динамически слинкованным
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от adolfus (ok), 20-Май-25, 22:23
	Ничего вы по памяти не сэкономите. Загруженная ранее .so будет отображена полностью в ваше адресное пространство, даже если вы из нее используете маленькую функцию. Это в отношени кода. Плюс у вас будет отображение секций инициализированных данных и неинициализированных, даже если функция, которую вы вызываете, их не использует. Именно поэтому вместе с .so нормальные пакеты предоставляют .a, собранные из мелких объектных модулей, ни на какие другие не ссылающиеся. Это для тех, кто понимает, что такое динамическое связывание и чем оно отличается от статического. Я пишу, в основном, математику и если заказчик не возражает, использую gsl, которую сам компилирую и собираю как в .so, так и в .a, так что разницу в призводительности и в отношении свободной памяти в куче (malloc) чувствую непосредственно.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	40. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от adolfus (ok), 20-Май-25, 22:05
	Сам ты чушь. На лекции, поди, не ходил, а билет списал на троечку. Загружены и готовы к динамическому связыванию только системные общие библиотеки, котороые лежат в /usr/{lib64\|lib}. Приложения, идущие со всем своим, которые ставятся в /opt, /usr/local/, и разного родо chroot'нутые, типа libreoffice и прочих slickedit, maple, matlab, mentоr graphics и прочих проприетарных, стартуют каждый раз на абсолютно голом месте, загружают и инициализируют все свои .so при первом вызове какой-нибудь функции из них. При этом каждая функция, к которой обращается приложение первый раз, отдельно настраивается в PLT и инициализируется при первом ее вызове. Инициализация обычно используется для создания ссылок на ресурсы и их инициализации, например, мьютексов, совместно используемой памяти, что требует смены контекста и, соответственно, времени. Иди повтори лекцию, которую ты прогулял. Заодно и русский подучи, чурка неграмотная.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	14. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+4 +/–
	Сообщение от Соль земли2 (?), 20-Май-25, 10:56
	> Статическая сборка хороша тем, что приложение использует меньше физической памяти и работает быстрее. Извиняюсь, но как раз динамическая сборка нужна, чтобы динамический линковщик при открытии библиотеки взял уже загруженный в shared памяти файл библиотеки.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	15. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (15), 20-Май-25, 10:57
	Статическая сборка хороша как минимум тем, что приложение будет более-менее гарантированно работать, вот это её главный плюс. Идея разделяемых библиотек в линуксе с треском провалилась, в винде оно как-то криво-косо, но работает.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	16. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+5 +/–
	Сообщение от Аноним (12), 20-Май-25, 11:37
	> Идея разделяемых библиотек в линуксе с треском провалилась "Но шмель об этом не знает и продолжает летать..."
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+1 +/–
	Сообщение от Аноним (15), 20-Май-25, 12:12
	Да, до момента появления сообщения «у вас .so версии 2.11, а нужно 2.10» (или наоборот). Снапы с флатпаками от хорошей жизни выросли, видимо?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+1 +/–
	Сообщение от Аноним (21), 20-Май-25, 12:25
	В Линуксе без проблем поставить рядом 2.10 и 2.11, без хелла.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (15), 20-Май-25, 12:37
	Во-первых, и с хелпом проблема. Во-вторых, уже в этот момент концепция разделяемых библиотек похерена.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (34), 20-Май-25, 14:14
	Только в nixos и guix sd. Во всех остальных случаях начинаются танцы с контейнерами, и прочим и прочим
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	32. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (31), 20-Май-25, 14:43
	Спешу вас расстроить, достаточно компилировать програмы с более точной версией библиотеки, которая вам нужна, а не "о, новая фича в 2.16, но всё равно буду линковаться с libcrap-2.so". Ничто не мешает положить в систему обе версии файла. На крайняк можно через переменные окружения в другую папку настроить (если бинарь нет возможности перекомпилировать правильно), либо и правда другой mount namespace сделать, если и так хотите заизолировать что-то.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в Glibc, затрагивающая статически собранные suid-..."	+/–
	Сообщение от Аноним (34), 20-Май-25, 17:01
	О титан, не слишком ли тяжёл небосвод, не устал ли его держать? Согласен, что сделать можно, только мало кто делает. Тот же appimage у меня из коробки не запустился, так как какой-то библиотеки у меня не оказалось. Хотя казалось бы
	Ответить \| Правка \| Наверх \| Cообщить модератору