forum.opennet.ru - "Уязвимости в утилите sudo, позволяющие получить права root в системе" (179)

"Уязвимости в утилите sudo, позволяющие получить права root в системе"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в утилите sudo, позволяющие получить права root в системе"	+/–
Сообщение от opennews (??), 01-Июл-25, 12:11
В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2025-32463), позволяющая любому непривилегированному пользователю выполнить код с правами root, даже если пользователь не упомянут в конфигурации sudoers. Проблеме подвержены дистрибутивы, использующие файл конфигурации /etc/nsswitch.conf, например, возможность эксплуатации уязвимости продемонстрирована в Ubuntu 24.04 и Fedora 41... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63505
Ответить \| Правка \| Cообщить модератору

Оглавление

04 01 2025 Vulnerability report sent to Todd Miller Sudo maintainer 07 05 202, Аноним (1), 12:11 , 01-Июл-25, (1) –25

В целом логичный шаг после замены дыряшечных coreutils, но да, забавно , Аноним (3), 12:13 , 01-Июл-25, (3) –11
Мудро то оно может и да, но похоже что этот вид багов вполне можно и на rust доп, Anon62513512124 (?), 12:15 , 01-Июл-25, (4) +42

Да, тут никаких переполнений буфера, use-after-free итп нет, ошибка логическая, , Alexey (??), 12:53 , 01-Июл-25, (18) +31

Сишники выдохнули с облегчением наконец-то уязвимость, которая не вызвана некор, Аноним (31), 13:37 , 01-Июл-25, (31) –11

Комментатор на opennet пишет и тут же прибегает хрусто-фанатик, жалуйющийся на к, Aliech (ok), 13:50 , 01-Июл-25, (35) +19

Растобесие оно такое , Аноним (116), 20:46 , 01-Июл-25, (116)
Это платные У них набор нарративов Стройность нарратива - не метрика Количест, Омномноном (?), 00:53 , 02-Июл-25, (148)
Разумеется в мире только два языка c c и rust Ни ocaml, ни go, ни haskell, ни, Аноним (168), 09:50 , 02-Июл-25, (168) –1
Не вижу в его словах ничего связанного с хрустом Он точно фанатик , Илья (??), 09:58 , 02-Июл-25, (172)

Так и есть Как Сишник, я счастлив , Мистер Сишник сэр (?), 15:28 , 02-Июл-25, (187)

Здесь использование юниксового легаси говна nsswitch, есть большая вероятность ч, Аноним (43), 14:27 , 01-Июл-25, (43) –2

А что будет вместо , Аноним (150), 03:21 , 02-Июл-25, (150)

Очень даже может спасти Rust прививает хорошие практики программирования Отсюд, Соль земли2 (?), 09:53 , 02-Июл-25, (169)
С другой стороны, если какой-то класс ошибок полностью предотвращён, остаётся бо, laindono (ok), 18:43 , 02-Июл-25, (194)

Не правда, по мнению opennetовцев Rust не умеет динамическую линковку, а тут баг, morphe (?), 22:19 , 01-Июл-25, (127)

Умеет https doc rust-lang org reference linkage html, Аноним (-), 09:55 , 02-Июл-25, (170) –1
Во-первых, у Rust нет стабильного ABI, что требует при его использовании переком, ptr (ok), 10:59 , 02-Июл-25, (178)

Более чем реализуемо Но разумеется не в допотопных арчах и дебианах , Аноним (168), 12:04 , 02-Июл-25, (181)

Ну да Я слышал о гентушниках, пересобиравших мир с LibreOffice, KDE и т п по н, ptr (ok), 13:29 , 02-Июл-25, (185) –1

Бинарный кеш изобретён Это кто Даже если пересобирать буквально весь софт, сотни, Аноним (168), 21:16 , 02-Июл-25, (201) +1

И чем он поможет, если необходима полная перекомпиляция Это те 5 миллиардов нас, ptr (ok), 22:28 , 02-Июл-25, (205)

И как ты это видишь Есть библиотека pub fn print_smth T Display value T , morphe (?), 17:29 , 02-Июл-25, (191)

Для начала нужна хотя бы поддержка RTTI в ABI И речь далеко не только о POD тип, ptr (ok), 21:21 , 02-Июл-25, (202)

Ну допустим для динамической диспатчеризации добавят RTTI Хотя для Rust это и н, morphe (?), 21:35 , 02-Июл-25, (203)

Но есть виртуальные таблицы и дженерики Отсюда и этот костыль https docs rs r, ptr (ok), 23:15 , 02-Июл-25, (206)

Тут программист не в звездочках заблудился а в слешах Это пофиксят в NGR NextG, IdeaFix (ok), 12:23 , 01-Июл-25, (7)
А как это поможет если sudo-rs такой же комбайн как sudo , Аноним (12), 12:37 , 01-Июл-25, (12)

Но безопасТный комбайн , Аноним (33), 13:44 , 01-Июл-25, (33) –1
Все в порядке, он не такой же Авторы заявляли что конечной их целью является по, нах. (?), 15:56 , 01-Июл-25, (58) +3

Ну, разработчики doas не смогли и этого , User (??), 16:41 , 01-Июл-25, (68)

А они и не спят и да, удивительно уродский синтаксис, при том что синтаксис кон, нах. (?), 17:27 , 01-Июл-25, (78) –1

Не, ну если В след за авторами предполагать, что правил у тебя будет - ну вот , User (??), 07:28 , 02-Июл-25, (154) +1

Одно с другим не связано Здесь логическая ошибка Rust никаким образом здесь не, Аноним (14), 12:46 , 01-Июл-25, (14) +1
Этот баг вызван не ошибкой в работе с памятью Тут rust никак не помог бы , Andrey (??), 12:47 , 01-Июл-25, (16) –1
Безопасная работа с памятью как-то обезопасит от детских ошибок с выбором не т, YetAnotherOnanym (ok), 16:31 , 01-Июл-25, (65)
Тут раст не причём Вообще не по делу комментарий, Аноним (116), 20:53 , 01-Июл-25, (118)

Я начинаю видеть некоторую мудрость людей из OpenBSD, породивших doas , Ананимус (?), 12:12 , 01-Июл-25, (2) +9

Да, doas рулит, а для рядовых задач и вовсе хватает su , IMBird (ok), 12:25 , 01-Июл-25, (9) +11

Как бы это сказать su _принципиально_ не подходит для задач, отличных от одн, User (??), 07:40 , 02-Июл-25, (155)

Их мудрость в том, что вышеупомянутый косяк sudo изначально в опене не работает , Мимокрокодил (?), 18:14 , 01-Июл-25, (89) +3

Это настолько феерично, что я никогда в жизни не поверю, что это не закладка , Аноним (5), 12:17 , 01-Июл-25, (5) +9

Поражает воображение, насколько ВСЁ дырявое Так что согласен про закладки Инач, asd (??), 13:12 , 01-Июл-25, (26) +2
Не факт Это скорее следствие так называемой bazaar методологии разработки Вм, fidoman (ok), 13:46 , 01-Июл-25, (34) +1

И ещё отсутствия достаточного количества юнит-тестов не тестов всей программы , Аноним (74), 17:12 , 01-Июл-25, (74) –2

Абсолютная глупость , Аноним (125), 21:55 , 01-Июл-25, (125)

Ни в коем случае, сэр , Адмирал Майкл Роджерс (?), 17:00 , 01-Июл-25, (71)
Закладка, внедренная под предлогом новой фичи , Аноним (121), 21:00 , 01-Июл-25, (121)
Скажу наивность - microsoft давно владеет sudo Нынешний разработчик, Todd C Mil, name (??), 23:37 , 01-Июл-25, (140)

I also work on OpenBSD С , ога Ох, это другое , User (??), 07:43 , 02-Июл-25, (156) +1

Уязвимость - жуть Только что проверил полностью пропатченную Fedora 42 pown sh, birdie (ok), 12:17 , 01-Июл-25, (6) +4

Любая админ утилита вообще это шкатулка-разгадайка Можно напхать туда ребусов , Аноним (10), 12:29 , 01-Июл-25, (10)
Я так понимаю, что root создается внутри чрута woot, в котором сюрприз необхо, Аноним (17), 12:50 , 01-Июл-25, (17) –2

Но в песне не понял ты, увы, ни чего С , User (??), 13:00 , 01-Июл-25, (21) +3

А если все-таки попробовать включить голову и подумать с , Аноним (17), 13:53 , 01-Июл-25, (38)

да и было ли ему чем С , User (??), 14:44 , 01-Июл-25, (45) +1

chroot - это всё равно, что папку через cd сменить, он рута не изолирует от ресу, Аноним (53), 15:21 , 01-Июл-25, (53) +1

Ты хоть понимаешь, что такое chroot Откуда в пустой папке возмется mount В школ, Аноним (17), 16:50 , 01-Июл-25, (69) –2

ну так положи его туда За чем дело стало , пох. (?), 19:13 , 01-Июл-25, (100)

Сам то пробовал этот скрипт Я вот попробовал, и у меня корневая директория досту, Аноним (93), 18:50 , 01-Июл-25, (93) +1

Потому что chroot не сработал, но root выполнил зловред из папки доступной для з, Аноним (121), 21:05 , 01-Июл-25, (122)

И к чему это Мне пофиг как сработает, рут появился в руте Изначально вопрос бы, Аноним (93), 01:13 , 02-Июл-25, (149)

Молчи, смерд Мы обсуждаем идеального, метафизического таракана С Коллеги, та, User (??), 07:45 , 02-Июл-25, (157) +2

нет там chroot, ты понял неправильно , Lamerok (?), 03:24 , 02-Июл-25, (151) –1

Сколько не обновляйся все равно пользователя, извиняюсь за выражение, отымеют , Аноним (10), 12:25 , 01-Июл-25, (8) +2

по такой логике и заборы не нужны, их же перелезут кому припрёт, myster (ok), 11:20 , 02-Июл-25, (179)

Ты должен был бороться со злом, а не примкнуть к нему c Впрочем ничего ново, Аноним (-), 12:46 , 01-Июл-25, (15) –2

Есть примеры, где через подобные уязвимости своровали данные навредили инфраст, Аноним (10), 13:06 , 01-Июл-25, (24) +1

Ну вот есть такой kernel org, ага Там с годик назад выяснилось, что вот на Само, User (??), 16:39 , 01-Июл-25, (67) +1

если ключи были не беспарольные и пароль не похож на словарный, то можно плюнуть, 0xdeadbee (-), 07:54 , 02-Июл-25, (158)

https www opennet ru opennews art shtml num 61186 И так сойдет С , User (??), 08:18 , 02-Июл-25, (167)

etc os-release VERSION 24 04 2 LTS Noble Numbat sudo 1 9 15p5-3ubu, Аноним (22), 13:01 , 01-Июл-25, (22) +4
Так я не понял, если пользователя упомянуть в sudoers то он и так получает root , ё (?), 13:15 , 01-Июл-25, (27) +1

Нет Он может быть упомянут в sudoers для выполнения одной единственной команды,, Владимир (??), 13:31 , 01-Июл-25, (30)
Читайте внимательнее Это другая уязвимость - заодно исправленная , Аноним (121), 20:13 , 01-Июл-25, (108)

А в sudo-rs есть такая уязвимость , Fracta1L (ok), 13:21 , 01-Июл-25, (29) +1

Скрыто модератором, Аноним (-), 15:30 , 01-Июл-25, (55) +2
Там много других - ещё не выявленных Сложнее компилятор - больше непредсказуемо, Аноним (121), 20:17 , 01-Июл-25, (109) –5

Вдобавок, могу привести такой тезис Зачем Вы показываете мне этот открытый код,, Аноним (121), 20:54 , 01-Июл-25, (119)

а как там run0 поживает , Аноним (32), 13:40 , 01-Июл-25, (32)

Приближается к run1 А дальше синхронизация с нумерацией версий systemd , Аноним (33), 14:15 , 01-Июл-25, (40)
Уже давно везде внедрён Правда создавали её в первую очередь для systemd-run, а, vlad1.96 (ok), 17:10 , 01-Июл-25, (73)

Ты что-то путаешь, потому что run0 это как раз обёртка над systemd-run с интегра, morphe (?), 20:18 , 01-Июл-25, (111) +1

Гремучая смесь , Аноним (121), 21:41 , 01-Июл-25, (124)
первую же мою попытку применения run0 dnf на последнем 10 клоне красношляпы прес, Анониматор (?), 07:57 , 02-Июл-25, (159)

Значит политики неправильные Для run0 даже правила не нужны особо сложные, пото, morphe (?), 20:15 , 02-Июл-25, (197)

Ты правЯ почему-то был абсолютно уверен, что это часть systemd-run, vlad1.96 (ok), 12:18 , 02-Июл-25, (184)

Жесть, детская уязвимость которую может эксплойтнуть любой школьник и поставляет, Аноним (36), 13:50 , 01-Июл-25, (36)

Это с какими всеми В дебиане такого нет Да и во фряхе тожеж , 1 (??), 16:25 , 01-Июл-25, (63)

Супергерой,спасающий мир от свежего софта, опять успел вовремя в целом, конечно, нах. (?), 17:46 , 01-Июл-25, (82)
Во фре была похожая уязвимость лет 10 назад в ftpd , Alex_K (??), 23:56 , 01-Июл-25, (141)

Да уж знатный фейл Запускать что-то с привилегиями root не из соответствующих к, Аноним (121), 20:19 , 01-Июл-25, (112) –2

Не первая ошибка, только никто от sudo не отказался после прошлой ошибки Как, Аноним (-), 13:51 , 01-Июл-25, (37)

Ну я начал планомерно выпиливать после sudoedit К сожалению, на мультиюзерных хо, нах. (?), 18:37 , 01-Июл-25, (91) +1
Принцип - зачем использовать дополнительно потенциально уязвимое ПО, если можно , Аноним (121), 20:23 , 01-Июл-25, (113)
Я сейчас раскрою тебе секрет Только ты никому не говори Если ты сделаешь su, п, Аноним (-), 23:03 , 01-Июл-25, (134)

Скрыто модератором, Аноним (-), 23:29 , 01-Июл-25, (138) –1

Да всем по современный ИТ любой, на любой ОС, хоть open-source, хоть корпорат, Витюшка (?), 14:35 , 01-Июл-25, (44)

Всего лишь следствие капитализма и корпоративизации отрасли Изначально айти был, Аноним (50), 15:14 , 01-Июл-25, (50) +4

Можно парочку ссылок того, что вы считаете лучшими практиками А то я столько сп, Аноним (83), 17:47 , 01-Июл-25, (83)

Это где-то нет стандарта кодирования В котором все и прописывается, а кто не со, Аноним (125), 22:20 , 01-Июл-25, (128)

В смысле где-то нет Речь же шла не о случайных стандартах кодирования, которы, Аноним (177), 10:52 , 02-Июл-25, (177)

Что-то 17 мая там коммиты подозрительно закончились Хотя до этого активненько ш, Аноним (83), 17:40 , 01-Июл-25, (80)

Автор закончил s школу s университет , Совершенно другой аноним (?), 18:45 , 01-Июл-25, (92) +2

да, я тоже хотел написать - экзамены же ж в школах Если б университет - наоборот, нах. (?), 18:54 , 01-Июл-25, (95)

так и чего не написал, раз экзамены , 12yoexpert (ok), 20:45 , 02-Июл-25, (200)

This project was initiated by IRIT and sponsored by both IRIT and Airbus PROTECT, Витюшка (?), 23:26 , 01-Июл-25, (137) +1

А, от оно чего Про phd-то я и не подумал вот это я понимаю, как стонхендж - на , пох. (?), 17:31 , 02-Июл-25, (193)

На первое время можно бинарник sudo удалить спрятать , Аноним (48), 15:06 , 01-Июл-25, (48)

в нормальных дистрах уже обнова приехала, Аноним (101), 19:32 , 01-Июл-25, (101)

не приехалаhttps bugs gentoo org show_bug cgi id CVE-2025-32463, 12yoexpert (ok), 00:14 , 02-Июл-25, (145)

Тебе же говорят, в нормальных дистрибутивахhttps mirror yandex ru mirrors manj, larutarg (ok), 08:06 , 02-Июл-25, (162) –2

cat etc hosts 124 grep yandex 124 wc -l32, 12yoexpert (ok), 20:43 , 02-Июл-25, (199)

Ну спасибо убунта, при том это уже не в первый раз То им sudoedit какой-то спич, Аноним (-), 15:14 , 01-Июл-25, (49) +1
Элегантная дыра, Омном (?), 15:23 , 01-Июл-25, (54)
sudo invalid option -- R по-видимому это ненужное-ненужно добавлено только в р, нах. (?), 16:09 , 01-Июл-25, (59)
А знаете, в чём причина вот таких косяков А причина - нарушение Unix way , когд, Александр (??), 16:22 , 01-Июл-25, (62) +3

Это цена эволюции Вспомни динозавров , 1 (??), 16:28 , 01-Июл-25, (64) –1
нет она изначально была очень неудачной и тяпляперами написанной Ну им можно п, нах. (?), 17:21 , 01-Июл-25, (75) +2

Никто никому ничего не должен Единственная причина, почему люди до сих пор не п, Аноним (168), 19:56 , 01-Июл-25, (104)

Да, sudo доверия нет, но от openbsd шников я 100 ожидаю таких же проблем, так ч, Аноним (43), 16:33 , 01-Июл-25, (66) –1

Ну они вряд ли затолкают в doas поддержку chroot с nsswitch , Ананимус (?), 16:58 , 01-Июл-25, (70)

кто бы мог им помешать Ты в курсе где харчуется автор sudo nsswitch, если что,, нах. (?), 17:24 , 01-Июл-25, (77)

Да я бы вообще ничему не доверял даже памяти, см когнитивные искажения Там толь, Разум (?), 18:05 , 01-Июл-25, (88)

Глазам тоже не стоит доверять Читал, что глаз видит и передает в мозг только ча, Аноним (121), 20:49 , 01-Июл-25, (117)

Гы какая прелесть , YetAnotherOnanym (ok), 17:04 , 01-Июл-25, (72)
А зачем пользователю нужны привилегии рута Установку, настройку, обновление - вс, Аноним (76), 17:21 , 01-Июл-25, (76)

Ну у меня, например, стоит запуск openvpn от моего пользователя через sudo без п, Аноним (83), 17:54 , 01-Июл-25, (84)

а зачем тебе openvpn от рута Это же не дырявый положительно globalprotect , Разум (?), 18:04 , 01-Июл-25, (87) –1

От непривилегированного пользователя не запускалось Вроде Точно не скажу, наст, Аноним (146), 00:40 , 02-Июл-25, (146)

А зачем пользователю рутовая консоль Установку, настройку, обновление - всё мож, Аноним (43), 20:33 , 01-Июл-25, (114)
Ну вот понимаешь - этих самых пользователей , или, вернее, администраторов бы, User (??), 08:03 , 02-Июл-25, (160)

Коллеги, а как зайти на сервер-нахерн-был-ненужен но вот - Там старый рутовый , пох. (?), 10:19 , 02-Июл-25, (174) +1

Опять в однопользовательской локалхостной системе что-то ломается когда хостов и, Аноним (81), 17:43 , 01-Июл-25, (81) –1
Хотя делов то, поставил систему и удалил sudo, а ещё под root ом сделать chmod u, Аноним (85), 18:00 , 01-Июл-25, (85) –1

root на каждый чих требуется в линуксах , Аноним (99), 19:06 , 01-Июл-25, (99) –2

Технологией File CAP можно обойтись Аккуратным DAC Это современному сыстемды на, Аноним (103), 19:50 , 01-Июл-25, (103)
Влажную уборку комнаты проводить надо регулярно А если серьёзно, то чем вы там з, Аноним (85), 21:57 , 01-Июл-25, (126)

Ну вообще конечно да - видел я место, где интерактивный вход пользователя в с, User (??), 08:07 , 02-Июл-25, (163) +1

Причём здесь место работы У меня именно на домашнем компе sudo удалён лично мно, Аноним (195), 19:20 , 02-Июл-25, (195)

Да при том, что на твой комп всем пофиг от слова совсем Хоть с перфокарт упра, User (??), 20:33 , 02-Июл-25, (198) –1

Вот для чего стоит попробовать создать нейросеть, так для выявления таких ошибок, Разум (?), 18:03 , 01-Июл-25, (86) +1

Не осилят Они обработку ошибок одной функции не могут написать так, что бы прид, Аноним (125), 22:28 , 01-Июл-25, (129)

А я напоминаю, что эта уязвимость локальная, то есть на уровне проникшего в хату, Аноним (90), 18:28 , 01-Июл-25, (90)

Дык если бы сосед а тут мимкрокодил, 1 (??), 12:14 , 02-Июл-25, (182) +1
ну как бы если подтвердится пока на моих системах не получалось что это таки р, пох. (?), 17:22 , 02-Июл-25, (190)

Как же замечательно на бсд-подобных системах с doas Продолжайте использовать со, Аноним (94), 18:53 , 01-Июл-25, (94) –2

На bsd системах только используется sudo И на openbsd, да-да Потому что к open, Аноним (43), 20:34 , 01-Июл-25, (115)

лучше использовать дырявый эксплойт от редхата, замаскированный под утилиту для , Аноним (132), 22:57 , 01-Июл-25, (132) –1

Так в дефолтной настройке всё хорошо Проблема только у нетакусиков , Онаним443 (?), 18:59 , 01-Июл-25, (97) –2

Уязвимости в утилите sudo, позволяющие получить права root в..., Аноним (94), 19:02 , 01-Июл-25, (98)

Вообще считаю, что sudo в базовой системе это дичь какая-то, продвинутая убунтои, nebularia (ok), 19:49 , 01-Июл-25, (102)

Только в однопользовательских системах , Аноним (168), 19:57 , 01-Июл-25, (105)

Добавить кого-то в sudoers - отдать ему рута Ничто не мешает сделать дальше что, nebularia (ok), 20:08 , 01-Июл-25, (106)

Вот чем хороши старые прожжёные эникейщики - 0 знаний, 100 уверенности Нет эт, Аноним (168), 20:18 , 01-Июл-25, (110) +3

и тут мы вспоминает selinux с его MAC, Аноним (121), 21:23 , 01-Июл-25, (123) –1
Ну сорри если у тебя окно контекста составляет одно предложение Я дальше явно н, nebularia (ok), 23:14 , 01-Июл-25, (135)

Кому не надо - удалит, ага , User (??), 08:10 , 02-Июл-25, (164)
Что надо настраивать Как только вы добавляете нового пользователя в группу sudo, Аноним (168), 09:57 , 02-Июл-25, (171)

И как часто такой функционал востребован на какой-нибудь убунточке Как ты полаг, Аноним (-), 08:04 , 02-Июл-25, (161) –1

Ну, предполагаю, что примерно 100 корпоративных инсталляций, да Т е примерно , User (??), 08:13 , 02-Июл-25, (166)
Мне не нужно, значит никому не нужно - типичная логика тыжпрограммиздов с опенне, Аноним (168), 12:03 , 02-Июл-25, (180)

Может быть это и так Но ты не ответил на вопрос каков процент инсталляций дейс, Аноним (-), 17:29 , 02-Июл-25, (192)

Не может быть, а так и есть Сам по себе процент не будет говорить вообще ни о чё, Аноним (168), 20:09 , 02-Июл-25, (196)

Причем в этих системах всем наплевать на увизгвимости в суду - их wsl и так в бе, пох. (?), 10:22 , 02-Июл-25, (175)

Как же неудачно Только добавили закладку, а её сразу нашли Ничего, в следующий, Syndrome (ok), 20:12 , 01-Июл-25, (107) +3
че то ссыкотно, красношляпка на 4 дня обновление инфраструктуры делает и из за э, anonymous (??), 22:31 , 01-Июл-25, (131) –1
В debian 12 уже исправлено Вообще sudo не использую, Аноним (133), 23:00 , 01-Июл-25, (133) +1

trixie опять запаздывает от остальных , Аноним (121), 23:21 , 01-Июл-25, (136)

run0 замечательная замена sudo и намного безопасней, Аномалии (?), 23:34 , 01-Июл-25, (139)

ложь, 12yoexpert (ok), 00:06 , 02-Июл-25, (142)

Нет sudo - нет проблем Не стесняюсь залогиниться рутом, если чего надо поадмини, Аноним (143), 00:06 , 02-Июл-25, (143) +2

Ну, заадминь там себе Remmina если такой умный Даже интересно как вы такие в ни, Аноним (176), 10:36 , 02-Июл-25, (176)

а ещё нужен gcc , Андрей (??), 05:43 , 02-Июл-25, (153)

Собери на другом компе и создай arхивчик, 1 (??), 12:17 , 02-Июл-25, (183)

Переходим на run0 В secureblue только его и используют , Аноним (-), 10:00 , 02-Июл-25, (173)
Позволю себе процитировать croco Если вы из-под аккаунта с одними полномочиями о, Аноним (186), 14:21 , 02-Июл-25, (186) –1

Его надо не цитировать, а забыть как кошмар В юниксе исторически почти всё требу, Аноним (168), 15:45 , 02-Июл-25, (188) +1

как и в винде - админа просто там есть удобный и довольно надежный механизм пр, пох. (?), 17:10 , 02-Июл-25, (189)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в утилите sudo, позволяющие получить права root в..." –25 +/–

Сообщение от Аноним (1), 01-Июл-25, 12:11

04/01/2025: Vulnerability report sent to Todd Miller (Sudo maintainer).
07.05.2025 В Ubuntu 25.10 решено задействовать аналог sudo, написанный на Rust https://opennet.ru/63197-ubuntu
В Ubuntu оказывается неспроста начали менять sudo на  sudo-rs.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в утилите sudo, позволяющие получить права root в..." –11 +/–

Сообщение от Аноним (3), 01-Июл-25, 12:13

В целом логичный шаг после замены дыряшечных coreutils, но да, забавно.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в утилите sudo, позволяющие получить права root в..." +42 +/–

Сообщение от Anon62513512124 (?), 01-Июл-25, 12:15

Мудро то оно может и да, но похоже что этот вид багов вполне можно и на rust допустить

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Уязвимости в утилите sudo, позволяющие получить права root в..." +31 +/–

Сообщение от Alexey (??), 01-Июл-25, 12:53

Да, тут никаких переполнений буфера, use-after-free итп нет, ошибка логическая, никакой язык программирования от этого не спасёт

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в утилите sudo, позволяющие получить права root в..." –11 +/–

Сообщение от Аноним (31), 01-Июл-25, 13:37

Сишники выдохнули с облегчением: наконец-то уязвимость, которая не вызвана некорректной работой с памятью! И раст объявляется автоматически плохим, потому что "именно от этой уязвимости бы не спас". Вот такой вот полет сишной мысли.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в утилите sudo, позволяющие получить права root в..." +19 +/–

Сообщение от Aliech (ok), 01-Июл-25, 13:50

Комментатор на opennet пишет:
>  Да, тут никаких переполнений буфера, use-after-free итп нет, ошибка логическая, никакой язык программирования от этого не спасёт
и тут же прибегает хрусто-фанатик, жалуйющийся на каких-то сишников, который теперь выдыхают слишком свободно:
> Сишники выдохнули с облегчением: наконец-то уязвимость, которая не вызвана некорректной работой с памятью! И раст объявляется автоматически плохим, потому что "именно от этой уязвимости бы не спас". Вот такой вот полет сишной мысли.
Анон совсем не сектант, видящий везде атаку на своё божество, единственно верный ЯП rust, да... Не сектант!

Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (116), 01-Июл-25, 20:46

Растобесие оно такое.

Ответить | Правка | Наверх | Cообщить модератору

148. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Омномноном (?), 02-Июл-25, 00:53

Это платные. У них набор нарративов. Стройность нарратива - не метрика. Количество - метрика.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

168. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (168), 02-Июл-25, 09:50

>Анон совсем не сектант, видящий везде атаку на своё божество, единственно верный ЯП rust, да... Не сектант!
Разумеется в мире только два языка c/c++ и rust. Ни ocaml, ни go, ни haskell, ни java, ни кучи других языков попросту не существует. А если Idris или ATS вспомнить, то сишников вообще инфаркт хватит.
>и тут же прибегает хрусто-фанатик, жалуйющийся на каких-то сишников, который теперь выдыхают слишком свободно:
Правильно и делает. Поскольку сишник выдыхающий свободно - это сишник, активно препятствующий развитию типизации. Если о том, чтобы использовать беззнаковые числа в качестве указателей плохо, уже даже крестовики начали, то вот идея, что строка не годится для файловых путей и тем более для корней файловой системы - вот тут уже загвоздка.
Вот вам самый простейший пример:
Eio_main.run (fun env -> Eio.Path.read_dir (Eio.Path.(Eio.Stdenv.cwd env / "../")))
Данный код прямо в рантайме проверит, есть ли возможность писать по данному пути, и выкинет ошибку, так как осуществляется выход за границы разрешённой облоасти. Попрошу заметить, что данную проверку с помощью символических ссылок вы не обойдёте. Да, здесь есть куда расти, но кодеры на ocaml уже сделали важнейший шаг вперёд, который сишники не сделали и за полвека - догадались перестать использовать сырые строки. Но сишники хотят плодить баги, ибо у них даже строк до сих пор нет, что уже о специальных типах говорить.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

172. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Илья (??), 02-Июл-25, 09:58

> хрусто-фанатик
Не вижу в его словах ничего связанного с хрустом. Он точно фанатик?

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

187. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Мистер Сишник сэр (?), 02-Июл-25, 15:28

Так и есть. Как Сишник, я счастлив.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

43. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Аноним (43), 01-Июл-25, 14:27

Здесь использование юниксового легаси говна nsswitch, есть большая вероятность что в новом софте такая дрянь не будет поддерживаться и проблемы не будет.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

150. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (150), 02-Июл-25, 03:21

А что будет вместо?

Ответить | Правка | Наверх | Cообщить модератору

169. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Соль земли2 (?), 02-Июл-25, 09:53

Очень даже может спасти. Rust прививает хорошие практики программирования. Отсюда и логику проще увидеть. Я бы ещё функциональщину рассмотрел, Haskell там...

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

194. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от laindono (ok), 02-Июл-25, 18:43

С другой стороны, если какой-то класс ошибок полностью предотвращён, остаётся больше времени для поиска и предотвращения ошибок из других классов. Помимо этого наличие встроенного мощного анализатора и прочей инфраструктуры так же помогает в отлавливании ошибок. Даже такие штуки, как единый стиль форматирования кода, вносят свою лепту.
Так что при сравнимых трудозатратах, код на Rust будет содержать меньше логических ошибок. Возможно на языках вроде Haskell в этом плане ситуация ещё лучше, там нужно быть аутистом высшего порядка, что в свою очередь является порогом входа. Это работает и в другую сторону. Языки вроде JavaScript в среднем содержат большее число логических ошибок и для подобных языков обязательно нужны средства вроде сборки мусора. Среднее качество этих программистов ниже и вероятность, с которой они начнут портить память, стремится к единице.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

127. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от morphe (?), 01-Июл-25, 22:19

> Мудро то оно может и да, но похоже что этот вид багов
> вполне можно и на rust допустить
Не правда, по мнению opennetовцев Rust не умеет динамическую линковку, а тут баг как раз с ней
Шах и мат, эксперты.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

170. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (-), 02-Июл-25, 09:55

> не умеет динамическую линковку
Умеет.
https://doc.rust-lang.org/reference/linkage.html

Ответить | Правка | Наверх | Cообщить модератору

178. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от ptr (ok), 02-Июл-25, 10:59

Во-первых, у Rust нет стабильного ABI, что требует при его использовании перекомпиляции всей системы и всех установленных в ней приложений при выходе новой версии компилятора, что на практике не реализуемо. Но C ABI он поддерживает. Само собой, как только начинается C ABI, сразу заканчивается встроенный в Rust механизм безопасной работы с памятью.
Во-вторых, даже в случае Rust ABI, в его текущем виде, при динамическом связывании нет поддержки дженериков.
Во-третьих, баг не с динамическим связыванием, а с алгоритмом его использования.
К сожалению, сообщество Rust очень мало уделяет внимание этой проблеме. Пожалуй, только разработчики Rеdox озабочены этой проблемой. В первую очередь Anhad Singh, за что я ему очень благодарен. Но его решение всё же является костылем через C ABI, а не средством, предоставляемым компилятором.

Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

181. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (168), 02-Июл-25, 12:04

>и всех установленных в ней приложений при выходе новой версии компилятора, что на практике не реализуемо.
Более чем реализуемо. Но разумеется не в допотопных арчах и дебианах.

Ответить | Правка | Наверх | Cообщить модератору

185. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от ptr (ok), 02-Июл-25, 13:29

Ну да. Я слышал о гентушниках, пересобиравших мир с LibreOffice, KDE и т.п. по несколько суток. Естественно, обычны были ситуации, когда оно просто так не собиралось. Сколько процентов таких пользователей?
И точно знаю, что больше половины населения планеты скачивать по сотне гигабайт кем-то пересобранных всех своих приложений с системой каждые три месяца позволить себе не могут. Это не считая того, что подавляющее большинство поставщиков программного обеспечения, включая компьютерные игры, пересобирать и распространять свои продукты бесплатно не станут. Особенно с учетом того, что переход на новую версию Rust компилятора и stdlib часто приводит к необходимости правки кода.

Ответить | Правка | Наверх | Cообщить модератору

201. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Аноним (168), 02-Июл-25, 21:16

>Я слышал о гентушниках
Бинарный кеш изобретён.
>больше половины населения планеты
Это кто?
>скачивать по сотне гигабайт кем-то пересобранных всех своих приложений
Даже если пересобирать буквально весь софт, сотни гигабайт не будет. Посмотрите на размер ISO образов, там даже восьми гигабайт за раз нет.
>с системой каждые три месяца позволить себе не могут
Для условной убунты или дебиана, замораживающих версии на весь релиз это вообще никак не повлияет.
>Это не считая того, что подавляющее большинство поставщиков программного обеспечения, включая компьютерные игры, пересобирать и распространять свои продукты бесплатно не станут.
nix давным давно изобретён, когда несколько библиотек сосуществуют без ручного вмешательства.
>Особенно с учетом того, что переход на новую версию Rust компилятора и stdlib часто приводит к необходимости правки кода.
У раста давным давно изобретены editions. Хватит людей вводить в заблуждение.
Рекомендую, хотя бы изредка смотреть в календарь. 1970-ые давно прошли.

Ответить | Правка | Наверх | Cообщить модератору

205. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от ptr (ok), 02-Июл-25, 22:28

>>Я слышал о гентушниках
> Бинарный кеш изобретён.
И чем он поможет, если необходима полная перекомпиляция?
>>больше половины населения планеты
> Это кто?
Это те ~5 миллиардов населения планеты, которые не имеют доступа к широкополосному интернету. Поинтересуйтесь тарифами на мобильный интернет хотя бы в РФ. А к проводному интернету в РФ имеют доступ менее 40 миллионов человек. Тоже явно меньше половины населения страны.
>>скачивать по сотне гигабайт кем-то пересобранных всех своих приложений
> Даже если пересобирать буквально весь софт, сотни гигабайт не будет. Посмотрите на
> размер ISO образов, там даже восьми гигабайт за раз нет.
Вы пользуетесь исключительно голой системой? У той же Ubuntu 24.04 размер репозитория больше 2ТБ. Со сторонними репозиториями будет на порядок больше.
А на NAS у сына только дистрибутивы игр уже в 4 ТБ не помещаются.
Особенно интересно узнать, что Вы предлагаете делать с программными продуктами, которые необходимы в работе, но уже давно не поддерживаются по причине прекращения деятельности их производителя? Закупать новый МРТ за 100 миллионов рублей только потому, что в какой-то системной библиотеке обнаружена уязвимость, а поставщик свой софт уже пару лет как не обновляет?
Ваш призыв к столь глобальному вендор-локу уж очень сильно противоречит идеологии opennet.
> nix давным давно изобретён, когда несколько библиотек сосуществуют без ручного вмешательства.
Исключительно благодаря стандартизированному C ABI. Вы вообще понимаете разницу, между сменой версии библиотеки и глобальному изменению ABI во всей системе и всех приложениях?

>>Особенно с учетом того, что переход на новую версию Rust компилятора и stdlib часто приводит к необходимости правки кода.
> У раста давным давно изобретены editions. Хватит людей вводить в заблуждение.
Редакции редакциями, а крейты - крейтами. Ошибки и уязвимости даже в stdlib исправляются исключительно в новых версиях. Не говоря уже о прочих крейтах.
Вы вообще на Rust ведете разработку или только теоритезируете? Мне, как минимум, дважды в год приходится вносить правки в свой код из-за необходимости переходить на новые версии крейтов.
Последний сюрприз был в Rust 1.85, когда core::ffi::c_char из i8 превратился в u8.

Ответить | Правка | Наверх | Cообщить модератору

191. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от morphe (?), 02-Июл-25, 17:29

> Во-вторых, даже в случае Rust ABI, в его текущем виде, при динамическом связывании нет поддержки дженериков.
И как ты это видишь?
Есть библиотека:
pub fn print_smth<T: Display>(value: &T) {
  println!("{value}");
}
pub fn init() {
  print_smth("The library has been initialized");
}
Библиотеку собрали, print_smth для нужд библиотеки мономорфизировало для &str
Внешний пользователь хочет передать в этот метод u32
Вопрос - откуда в этой библиотеке возьмётся мономорфизация print_smth для u32?

Ответить | Правка | К родителю #178 | Наверх | Cообщить модератору

202. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от ptr (ok), 02-Июл-25, 21:21

> И как ты это видишь?
Для начала нужна хотя бы поддержка RTTI в ABI. И речь далеко не только о POD типах.
В Rust сейчас нет способа указать, для каких типов должен быть скомпилирован код в динамически загружаемой библиотеке. И нет встроенных средств рефлексии, чтобы во время выполнения выяснить, какие типы поддерживаются в динамически загружаемой библиотеки. Крейт rtti в данном случае лишь костыль.

Ответить | Правка | Наверх | Cообщить модератору

203. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от morphe (?), 02-Июл-25, 21:35

> Для начала нужна хотя бы поддержка RTTI в ABI. И речь далеко
> не только о POD типах.
Ну допустим для динамической диспатчеризации добавят RTTI (Хотя для Rust это и не нужно, у тебя же нет иеархии классов)
Что делать со статической? И какое это отношение имеет к генерик типам (шаблонам в случае плюсов)?

Ответить | Правка | Наверх | Cообщить модератору

206. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от ptr (ok), 02-Июл-25, 23:15

> Хотя для Rust это и не нужно, у тебя же нет иеархии классов
Но есть виртуальные таблицы и дженерики. Отсюда и этот костыль https://docs.rs/rtti/latest/rtti/
Или этот https://docs.rs/vtable/latest/vtable/
> какое это отношение имеет к генерик типам
Читйте внимательней:
>> для каких типов должен быть скомпилирован код в динамически загружаемой библиотеке.
>> И нет встроенных средств рефлексии, чтобы во время выполнения выяснить,
>> какие типы поддерживаются в динамически загружаемой библиотеки.
В рамках идеологии Rust вполне реализуема поддержка дженериков в динамически загружаемой библиотеке, пусть и с ограничением не только на реализованные трейты, но и на типы, для которых будет скомпилирован код. Причем, с развитым RTTI можно поддерживать не только POD типы, но и структуры и перечисления, налагая определенные требования на присутствие только некоторых полей или типов в них.
Этой истории не первый год. Например, два года назад определенные попытки предпринимались joshtriplett в виде эксперимента с crabi https://github.com/rust-lang/rfcs/pull/3470
Но воз и ныне там (
> шаблонам в случае плюсов
Шаблоны в C++ превращаются в боль на крупных проектах, когда малейшая правка требует многочасовой перекомпиляции всего кода. Поэтому я веду речь не о шаблонах, а об аналоге Itanium ABI для Rust.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от IdeaFix (ok), 01-Июл-25, 12:23

Тут программист не в звездочках заблудился а в слешах. Это пофиксят в NGR (NextGenRust), пока же раст как обычно бессилен. Программист победил.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

12. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (12), 01-Июл-25, 12:37

А как это поможет если sudo-rs такой же комбайн как sudo?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

33. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (33), 01-Июл-25, 13:44

Но безопасТный комбайн.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимости в утилите sudo, позволяющие получить права root в..." +3 +/–

Сообщение от нах. (?), 01-Июл-25, 15:56

Все в порядке, он не такой же.
Авторы заявляли что конечной их целью является поддержка дефолтного конфига популярных дистрибутивов.
А там root = (ALL) ALL
и больше ничего нет.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

68. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от User (??), 01-Июл-25, 16:41

Ну, разработчики doas не смогли и этого...

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от нах. (?), 01-Июл-25, 17:27

А они и не спят!
(и да, удивительно уродский синтаксис, при том что синтаксис конфига это единственное достоинство как раз sudo, и даже описание его есть в виде, готовом к скармливанию в транслятор. Но нет, надо было вот то череззадничное нечитаемое в принципе притащить.)

Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от User (??), 02-Июл-25, 07:28

> А они и не спят!
> (и да, удивительно уродский синтаксис, при том что синтаксис конфига это единственное
> достоинство как раз sudo, и даже описание его есть в виде,
> готовом к скармливанию в транслятор. Но нет, надо было вот то
> череззадничное нечитаемое в принципе притащить.)
Не, ну если (В след за авторами) предполагать, что правил у тебя будет - ну вот ДВА (И те - дефолтные) - то жить наверное можно; а вот портянка этого вперемешку - боль, конечно. Еще и нет возможности из conf.d правила заинклудить ансибляторам на радость, ага.
Хотя - кто крупный haproxy крутил - такого не боится ).

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Аноним (14), 01-Июл-25, 12:46

Одно с другим не связано. Здесь логическая ошибка. Rust никаким образом здесь не помог бы.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Andrey (??), 01-Июл-25, 12:47

Этот баг вызван не ошибкой в работе с памятью. Тут rust никак не помог бы.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

65. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от YetAnotherOnanym (ok), 01-Июл-25, 16:31

"Безопасная работа с памятью" как-то обезопасит от детских ошибок с выбором не того файла?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

118. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (116), 01-Июл-25, 20:53

> В Ubuntu оказывается неспроста начали менять sudo на  sudo
Тут раст не причём. Вообще не по делу комментарий

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Уязвимости в утилите sudo, позволяющие получить права root в..." +9 +/–

Сообщение от Ананимус (?), 01-Июл-25, 12:12

Я начинаю видеть некоторую мудрость людей из OpenBSD, породивших doas.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в утилите sudo, позволяющие получить права root в..." +11 +/–

Сообщение от IMBird (ok), 01-Июл-25, 12:25

Да, doas рулит, а для рядовых задач и вовсе хватает su.

Ответить | Правка | Наверх | Cообщить модератору

155. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от User (??), 02-Июл-25, 07:40

> Да, doas рулит, а для рядовых задач и вовсе хватает su.
Как бы это сказать... su _принципиально_ не подходит для задач, отличных от "однопользовательских локалхостов" по причине невозможности гранулярного управления полномочиями и отсутствию какого-либо вменяемого аудита.
doas в этом плане несколько лучше - но малопригодный для автоматизированной работы синтаксис или хотя бы отсутствие возможности заинклудить свои правила из отдельного файлика в conf.d изрядно портят впечатления.

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимости в утилите sudo, позволяющие получить права root в..." +3 +/–

Сообщение от Мимокрокодил (?), 01-Июл-25, 18:14

Их мудрость в том, что вышеупомянутый косяк sudo изначально в опене не работает в виду отсутствия условий для этого :)

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

5. "Уязвимости в утилите sudo, позволяющие получить права root в..." +9 +/–

Сообщение от Аноним (5), 01-Июл-25, 12:17

Это настолько феерично, что я никогда в жизни не поверю, что это не закладка.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в утилите sudo, позволяющие получить права root в..." +2 +/–

Сообщение от asd (??), 01-Июл-25, 13:12

Поражает воображение, насколько ВСЁ дырявое..
Так что согласен про закладки. Иначе, нужно быть полными лохами, чтобы за столько десятилетий не закрыть их все, раз уж пишешь этот софт с умным.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от fidoman (ok), 01-Июл-25, 13:46

Не факт. Это скорее следствие так называемой "bazaar" методологии разработки. Вместо того, чтобы пользоваться системными либами, оно само тупо лезет в этот файл. А поскольку это, как водится, делается "напролом" - вот и косяки прут косяками.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

74. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Аноним (74), 01-Июл-25, 17:12

И ещё отсутствия достаточного количества юнит-тестов (не тестов всей программы). На языках типа C/C++ это делается сложнее чем языках без управления памяти. А значит часто забивают.

Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (125), 01-Июл-25, 21:55

> На языках типа C/C++ это делается сложнее чем языках без управления памяти.
Абсолютная глупость.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Адмирал Майкл Роджерс (?), 01-Июл-25, 17:00

Ни в коем случае, сэр.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

121. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (121), 01-Июл-25, 21:00

Закладка, внедренная под предлогом новой фичи.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

140. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от name (??), 01-Июл-25, 23:37

Скажу наивность - microsoft давно владеет sudo. Нынешний разработчик, Todd C Miller, является иноагентом ^W^W давно понял в чем суть опенсорца и получает финансирование от мелкомягких. Причем опенбсдшники это давно поняли и выкатили doas. Тут закладка, тут не ошибка.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

156. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от User (??), 02-Июл-25, 07:43

> Скажу наивность - microsoft давно владеет sudo. Нынешний разработчик, Todd C Miller,
> является иноагентом ^W^W давно понял в чем суть опенсорца и получает
> финансирование от мелкомягких. Причем опенбсдшники это давно поняли и выкатили doas.
> Тут закладка, тут не ошибка.
"I also work on OpenBSD"(С), ога. Ох, это другое!

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в утилите sudo, позволяющие получить права root в..." +4 +/–

Сообщение от birdie (ok), 01-Июл-25, 12:17

Уязвимость - жуть.
Только что проверил полностью пропатченную Fedora 42:
./pown.sh
woot!
[root@zen /]# id
uid=0(root) gid=0(root) groups=0(root),39(video),63(audio),1010(testuser) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Жаль, нет такой для Android.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (10), 01-Июл-25, 12:29

Любая админ утилита вообще это шкатулка-разгадайка. Можно напхать туда "ребусов" как такой условный пароль до рут данной утилиты и эксплуатировать для себя.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Аноним (17), 01-Июл-25, 12:50

>./pown.sh
>woot!
>[root@zen /]# id
Я так понимаю, что root создается внутри чрута woot, в котором (сюрприз!) необходимо иметь права записи и удаления. Т.е. для поднятия привелегий требуется уже иметь их.
Как обычно очередной академический "сферический конь".

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

21. "Уязвимости в утилите sudo, позволяющие получить права root в..." +3 +/–

Сообщение от User (??), 01-Июл-25, 13:00

"Но в песне не понял ты, увы, ни...чего"(С)

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (17), 01-Июл-25, 13:53

А если все-таки попробовать включить голову и подумать (с)

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от User (??), 01-Июл-25, 14:44

"... да и было ли ему чем?"(С)

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Аноним (53), 01-Июл-25, 15:21

chroot - это всё равно, что папку через cd сменить, он рута не изолирует от ресурсов системы от слова совсем. После чрута в пустую папку (только с нужными файликами для взлома жепы), делаете mount -t devfs devfs /dev и получаете доступ ко всем девайсам подключенным к системе.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

69. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Аноним (17), 01-Июл-25, 16:50

>После чрута в пустую папку ... делаете mount
Ты хоть понимаешь, что такое chroot? Откуда в пустой папке возмется mount?
В школу, за парту.

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от пох. (?), 01-Июл-25, 19:13

>>После чрута в пустую папку ... делаете mount
> Ты хоть понимаешь, что такое chroot? Откуда в пустой папке возмется mount?
ну так положи его туда!
За чем дело стало?

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Аноним (93), 01-Июл-25, 18:50

Сам то пробовал этот скрипт?
Я вот попробовал, и у меня корневая директория доступна под рутом

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

122. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (121), 01-Июл-25, 21:05

Потому что chroot не сработал, но root выполнил зловред из папки доступной для записи пользователю.

Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (93), 02-Июл-25, 01:13

И к чему это? Мне пофиг как сработает, рут появился в руте. Изначально вопрос был chroot, который я вообще не заметил в скрипте

Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимости в утилите sudo, позволяющие получить права root в..." +2 +/–

Сообщение от User (??), 02-Июл-25, 07:45

> И к чему это? Мне пофиг как сработает, рут появился в руте.
> Изначально вопрос был chroot, который я вообще не заметил в скрипте
"Молчи, смерд! Мы обсуждаем идеального, метафизического таракана!"(С)
Коллеги, так сколько там лап у животного? Аристотель писал, что 8...

Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Lamerok (?), 02-Июл-25, 03:24

нет там chroot, ты понял неправильно.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

8. "Уязвимости в утилите sudo, позволяющие получить права root в..." +2 +/–

Сообщение от Аноним (10), 01-Июл-25, 12:25

Сколько не обновляйся все равно пользователя, извиняюсь за выражение, отымеют

Ответить | Правка | Наверх | Cообщить модератору

179. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от myster (ok), 02-Июл-25, 11:20

по такой логике и заборы не нужны, их же перелезут кому припрёт

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Аноним (-), 01-Июл-25, 12:46

> позволяющая любому непривилегированному пользователю выполнить код с правами root
Ты должен был бороться со злом, а не примкнуть к нему!..  (c)
Впрочем ничего нового)
В ляликсе уже сколько утилит и разных способов, а вот и ныне тем.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Аноним (10), 01-Июл-25, 13:06

Есть примеры, где через подобные "уязвимости" своровали данные/навредили инфраструктуре.
Не в сферическом вакууме это все не работает. Т.е. в реальном мире никто не будет локально прописывать ребусы, чтобы завладеть своим же серваком))
Это все уже давно устарело.. а данные копятся уже в облачных хранилищах, где манипуляции с вашими данными никак не зависят. есть ли какой то эксплоит или нет.
Т.е. те же облачные сервисы это удаленная ОС. А на локальный корень Вашего ПК им абсолютно равнодушно.

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от User (??), 01-Июл-25, 16:39

Ну вот есть такой kernel.org, ага. Там с годик назад выяснилось, что вот на Самом Главном Сервере через интерактивный ssh тусовалось 100500 дiдов и у пары из них вот ключики того-с. Утекали-с.

Ответить | Правка | Наверх | Cообщить модератору

158. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от 0xdeadbee (-), 02-Июл-25, 07:54

если ключи были не беспарольные и пароль не похож на словарный, то можно плюнуть.

Ответить | Правка | Наверх | Cообщить модератору

167. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от User (??), 02-Июл-25, 08:18

> если ключи были не беспарольные и пароль не похож на словарный, то
> можно плюнуть.
https://www.opennet.dev/opennews/art.shtml?num=61186
"И так сойдет!"(С)

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в утилите sudo, позволяющие получить права root в..." +4 +/–

Сообщение от Аноним (22), 01-Июл-25, 13:01

/etc/os-release:VERSION="24.04.2 LTS (Noble Numbat)"
sudo           1.9.15p5-3ubuntu5.24.04.1 amd64
...
sudo: you are not permitted to use the -R option with woot
...
сп#здели

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от ё (?), 01-Июл-25, 13:15

Так я не понял, если пользователя упомянуть в sudoers то он и так получает root. А без упоминания sudo, из под этого пользователя, запустить не получится?

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Владимир (??), 01-Июл-25, 13:31

Нет. Он может быть упомянут в sudoers для выполнения одной единственной команды, а не для root доступа.

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (121), 01-Июл-25, 20:13

Читайте внимательнее. Это другая уязвимость - заодно исправленная.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

29. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Fracta1L (ok), 01-Июл-25, 13:21

А в sudo-rs есть такая уязвимость?

Ответить | Правка | Наверх | Cообщить модератору

55. Скрыто модератором +2 +/–

Сообщение от Аноним (-), 01-Июл-25, 15:30

Растовые утилиты никому не интересны.

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимости в утилите sudo, позволяющие получить права root в..." –5 +/–

Сообщение от Аноним (121), 01-Июл-25, 20:17

Там много других - ещё не выявленных. Сложнее компилятор - больше непредсказуемости. Ассемблерный листинг программ, написанных на Rust читать, анализировать, проверять намного сложнее. чем GCC.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

119. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (121), 01-Июл-25, 20:54

Вдобавок, могу привести такой тезис: Зачем Вы показываете мне этот открытый код, если за компилятор стоит непонятный backend?

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (32), 01-Июл-25, 13:40

а как там run0 поживает?

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (33), 01-Июл-25, 14:15

Приближается к run1. А дальше синхронизация с нумерацией версий systemd.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от vlad1.96 (ok), 01-Июл-25, 17:10

Уже давно везде внедрён. Правда создавали её в первую очередь для systemd-run, а не для прямого использования

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

111. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от morphe (?), 01-Июл-25, 20:18

Ты что-то путаешь, потому что run0 это как раз обёртка над systemd-run с интеграцией polkit для поднятия привилегий, и она предназначена для людей (она даже tty в красный перекрашивает)

Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (121), 01-Июл-25, 21:41

Гремучая смесь.

Ответить | Правка | Наверх | Cообщить модератору

159. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Анониматор (?), 02-Июл-25, 07:57

первую же мою попытку применения run0 dnf на последнем 10 клоне красношляпы пресёк selunux.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

197. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от morphe (?), 02-Июл-25, 20:15

> первую же мою попытку применения run0 dnf на последнем 10 клоне красношляпы
> пресёк selunux.
Значит политики неправильные. Для run0 даже правила не нужны особо сложные, потому что это не suid, и работает он намного проще с точки зрения безопасности

Ответить | Правка | Наверх | Cообщить модератору

184. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от vlad1.96 (ok), 02-Июл-25, 12:18

Ты прав
Я почему-то был абсолютно уверен, что это часть systemd-run

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

36. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (36), 01-Июл-25, 13:50

Жесть, детская уязвимость которую может эксплойтнуть любой школьник и поставляется со всеми серверами мира. Расчехлили еще один бэкдор красношляпы.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от 1 (??), 01-Июл-25, 16:25

Это с какими "всеми" ? В дебиане такого нет ! Да и во фряхе тожеж.

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от нах. (?), 01-Июл-25, 17:46

Супергерой,спасающий мир от свежего софта, опять успел вовремя?
(в целом, конечно, для sudo НУЖЕН такой супергерой)

Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Alex_K (??), 01-Июл-25, 23:56

Во фре была похожая уязвимость лет 10 назад в ftpd.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

112. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Аноним (121), 01-Июл-25, 20:19

Да уж знатный фейл. Запускать что-то с привилегиями root не из соответствующих каталогов.
Где были эти "миллионы глаз"?

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

37. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (-), 01-Июл-25, 13:51

Не первая ошибка, только... никто от sudo не отказался после прошлой ошибки. Как-то не удобно. До сих пор есть множество сценариев и рекомендаций использовать sudo вместо su. И я пока особо не видел где-то сценариев для настройки/установки чего-либо где бы sudo заменили на run0 или sudo-rs. Впрочем алиас никогда не поздно сделать.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от нах. (?), 01-Июл-25, 18:37

> Не первая ошибка, только... никто от sudo не отказался после прошлой ошибки.
Ну я начал планомерно выпиливать после sudoedit.
К сожалению, на мультиюзерных хостах от него не получится отказаться. А площадь атаки уменьшить стоит. Поэтому вероятно таки придется везде ставить самодельный пакет с минимумом включенных при сборке вреднофич.
> Впрочем алиас никогда не поздно сделать.
неработающий. Потому что обе под[д]елки несовместимы ни по синтаксису, ни по возможностям.

Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (121), 01-Июл-25, 20:23

Принцип - зачем использовать дополнительно потенциально уязвимое ПО, если можно обойтись без него.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

134. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (-), 01-Июл-25, 23:03

> я пока особо не видел где-то сценариев для настройки/установки чего-либо где бы sudo заменили на run0 или sudo-rs.
Я сейчас раскрою тебе секрет. Только ты никому не говори. Если ты сделаешь su, перед началом сценария, а потом из всех команд сценария удалишь sudo, то всё просто магически сработает.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

138. Скрыто модератором –1 +/–

Сообщение от Аноним (-), 01-Июл-25, 23:29

>> Я сейчас раскрою тебе секрет. Только ты никому не говори. Если ты сделаешь su, перед началом сценария, а потом из всех команд сценария удалишь sudo, то всё просто магически сработает.
Читать научись для начала.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Витюшка (?), 01-Июл-25, 14:35

Да всем по...современный ИТ (любой, на любой ОС, хоть open-source, хоть корпоративный) это дырка на дырке. Нет времени думать, нужно делать фичи.
Однако есть и нормальные альтернативы - https://github.com/LeChatP/RootAsRole
RootAsRole. Ой, на Rust 😱😱😱

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в утилите sudo, позволяющие получить права root в..." +4 +/–

Сообщение от Аноним (50), 01-Июл-25, 15:14

Всего лишь следствие капитализма и корпоративизации отрасли. Изначально айти была академической, но слишком молодой, чтобы выработать лучшие практики. Сейчас же лучшие практики есть, но в угоду kpi и прочей дряни, что на качество кода забивают.
Иными словами, принцип неопределенности: либо медленно и качественно, либо быстро и плохо.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (83), 01-Июл-25, 17:47

> Сейчас же лучшие практики есть
Можно парочку ссылок того, что вы считаете лучшими практиками? А то я столько споров видел, когда обе стороны считали, что именно их практика - лучшая. А по факту просто способ сидеть и 90% времени тратить на рефакторинг, по сути сводящийся к "мне так читабельнее, а кто против - неправ".

Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (125), 01-Июл-25, 22:20

Это где-то нет стандарта кодирования? В котором все и прописывается, а кто не соответствует - депремируется и правит код...

Ответить | Правка | Наверх | Cообщить модератору

177. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (177), 02-Июл-25, 10:52

В смысле "где-то нет"? Речь же шла не о случайных стандартах кодирования, которые, да, есть везде. И везде свои. Речь шла о "лучших практиках". Лучшие - они для всех одинаковые. И вероятно, хотя бы с минимальной аргументацией "лучшести".

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (83), 01-Июл-25, 17:40

> Однако есть и нормальные альтернативы - https://github.com/LeChatP/RootAsRole
Что-то 17 мая там коммиты подозрительно закончились. Хотя до этого активненько шло.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

92. "Уязвимости в утилите sudo, позволяющие получить права root в..." +2 +/–

Сообщение от Совершенно другой аноним (?), 01-Июл-25, 18:45

Автор закончил [s]школу[/s] университет.

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от нах. (?), 01-Июл-25, 18:54

да, я тоже хотел написать - экзамены же ж в школах.
Если б университет - наоборот, было бы экстенсивное развитие, чуваку ж надо на собеседованиях показать свой шитхаб.
Ну ладно, может поступит куда и сделает из него курсовик.

Ответить | Правка | Наверх | Cообщить модератору

200. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от 12yoexpert (ok), 02-Июл-25, 20:45

так и чего не написал, раз экзамены?

Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Витюшка (?), 01-Июл-25, 23:26

This project was initiated by IRIT and sponsored by both IRIT and Airbus PROTECT through an industrial PhD during 2022 and 2025
IRIT Computer Science Research Institute of Toulouse
Финансирование/грант/PhD закончился.
Но насколько я помню там всё сделано (3.0.0 версия).

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

193. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от пох. (?), 02-Июл-25, 17:31

А, от оно чего. Про phd-то я и не подумал.
> Но насколько я помню там всё сделано (3.0.0 версия).
вот это я понимаю, как стонхендж - на тысячелетия.
Не то что этот Тодд, каждые пол-года что-то доделывает.
(это вот все потому что он кандидатскую не написал!)

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (48), 01-Июл-25, 15:06

На первое время можно бинарник sudo удалить/спрятать.

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (101), 01-Июл-25, 19:32

в нормальных дистрах уже обнова приехала

Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от 12yoexpert (ok), 02-Июл-25, 00:14

не приехала
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2025-32463

Ответить | Правка | Наверх | Cообщить модератору

162. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от larutarg (ok), 02-Июл-25, 08:06

Тебе же говорят, в нормальных дистрибутивах
https://mirror.yandex.ru/mirrors/manjaro/stable/core/x86_64/...

Ответить | Правка | Наверх | Cообщить модератору

199. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от 12yoexpert (ok), 02-Июл-25, 20:43

$ cat /etc/hosts | grep yandex | wc -l
32

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Аноним (-), 01-Июл-25, 15:14

> любому непривилегированному пользователю выполнить код с правами root,
> даже если пользователь не упомянут в конфигурации sudoers
Ну спасибо убунта, при том это уже не в первый раз. То им sudoedit какой-то спичил - и тоже рута всем раздавал, теперь это.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Омном (?), 01-Июл-25, 15:23

Элегантная дыра

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от нах. (?), 01-Июл-25, 16:09

sudo: invalid option -- 'R'
по-видимому это ненужное-ненужно добавлено только в распоследних убунтах. И вероятно надо его выпилить отовсюду вместе с -h

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в утилите sudo, позволяющие получить права root в..." +3 +/–

Сообщение от Александр (??), 01-Июл-25, 16:22

А знаете, в чём причина вот таких косяков?
А причина - нарушение "Unix way", когда разрабатываются простые утилиты для простых задач. Изначально sudo разрабатывалась как простая утилита, но потом под тяжестью фич стала совершенно непростой

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от 1 (??), 01-Июл-25, 16:28

Это цена эволюции ... Вспомни динозавров.

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимости в утилите sudo, позволяющие получить права root в..." +2 +/–

Сообщение от нах. (?), 01-Июл-25, 17:21

> Изначально sudo разрабатывалась как простая утилита,
нет. она изначально была очень неудачной и тяпляперами написанной. Ну им можно простить, в 80е все так делали.
А с тех пор как ей в одно жало стал распоряжаться тяпляпер Тодд (кстати, угадайте где еще он подвизается) там вообще все стало плохо (т.е. с девяностых аж - но я видел код до того, тоже был не айс). Плагины какие-то, какой-то нахрен ненужный sudoedit и так далее. Походу ему очень нужны бабки, а за поддержку несломанного не капает.
А теперь вон и вовсе - добавил новую фичу с детской ошибкой. Сброс привиллегий должен всегда быть ПЕРВОЙ же операцией после chroot - по-моему это должны вбивать в голову еще на подготовительном факультете или в кружке "программирование хеловротов под юникс", с демонстрацией сотни примеров как это бывает, когда сделали неправильно (там и sshd отметился в свое время и еще дофига подобного).

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

104. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (168), 01-Июл-25, 19:56

>Сброс привиллегий должен всегда быть ПЕРВОЙ же операцией после chroot - по-моему это должны вбивать в голову еще на подготовительном факультете или в кружке "программирование хеловротов под юникс"
Никто никому ничего не должен. Единственная причина, почему люди до сих пор не перешли на условный idris/ats - возможность писать абсолютно любой говнокод и не переживать об этом.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (43), 01-Июл-25, 16:33

Да, sudo доверия нет, но от openbsd'шников я 100% ожидаю таких же проблем, так что doas - не замена. Не понятно чем теперь пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Ананимус (?), 01-Июл-25, 16:58

> Да, sudo доверия нет, но от openbsd'шников я 100% ожидаю таких же
> проблем, так что doas - не замена. Не понятно чем теперь
> пользоваться.
Ну они вряд ли затолкают в doas поддержку chroot с nsswitch.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от нах. (?), 01-Июл-25, 17:24

кто бы мог им помешать? Ты в курсе где харчуется автор sudo?
(nsswitch, если что, обрабатывает libc. Просто она не рассчитана на запуск от рута в untrusted окружении - понадобился sudo чтобы этого добиться.)

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Разум (?), 01-Июл-25, 18:05

Да я бы вообще ничему не доверял даже памяти, см когнитивные искажения. Там только про память больше 20 штук (где 20 число с потолка).

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

117. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (121), 01-Июл-25, 20:49

Глазам тоже не стоит доверять. Читал, что глаз видит и передает в мозг только часть картинки. Остальное (периферию) "додумывает" мозг. Вспоминается фильм "Вечное сияние чистого разума", где фирма стирала память о человеке, через воздействие на узлы, отвечающие за память об этом человек. Делала это фирма, когда человек спал. Таким образом, через воздействие на мозг во сне возможно искажение картинки, которую видит человек. )

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от YetAnotherOnanym (ok), 01-Июл-25, 17:04

> файл /etc/nsswitch.conf загружался в контексте нового корневого каталога, а не системного каталога
Гы... какая прелесть!

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (76), 01-Июл-25, 17:21

А зачем пользователю нужны привилегии рута?
Установку, настройку, обновление - все можно выполнить в рутовой консоли.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (83), 01-Июл-25, 17:54

Ну у меня, например, стоит запуск openvpn от моего пользователя через sudo без пароля. То есть я хочу, чтобы у меня спрашивало пароль рута для установки/обновления софта, но НЕ для запуска впн. Но за 20 лет похожих кейсов было штук 5 максимум.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Разум (?), 01-Июл-25, 18:04

а зачем тебе openvpn от рута? Это же не дырявый положительно globalprotect.

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (146), 02-Июл-25, 00:40

От непривилегированного пользователя не запускалось. Вроде. Точно не скажу, настраивал последний раз уже лет пять назад.

Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (43), 01-Июл-25, 20:33

> Установку, настройку, обновление - все можно выполнить в рутовой консоли.
А зачем пользователю рутовая консоль? Установку, настройку, обновление - всё можно выполнить в консоли пользователя. Почему это удобнее - потому что не нужно дополнительно настраивать окружение рута (от шелла до .vimrc), и история не размазывается по пользователю и руту.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

160. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от User (??), 02-Июл-25, 08:03

> А зачем пользователю нужны привилегии рута?
> Установку, настройку, обновление - все можно выполнить в рутовой консоли.
Ну вот понимаешь - этих самых "пользователей", или, вернее, "администраторов" бывает больше одного. Есть вот "отдел инфраструктуры", который отвечает за VM+ОС, есть "отдел поддержки ИС" - который ведает собственно тем полезным, что в этой ИС вертится, у ИС есть СУБД, за которую отвечают вот вообще DBA - а где-то рядом гордо реет ИБ, которым "А можно всех посмотреть?!" ("Зойчем?!" они сами не знают, но ТАК ПОЛОЖЕНО).
И вот у всех этих нет, даже не товарищей, а отделов - есть определенная текучка кадров - и вот как ты себе представляешь замену пароля root'а при увольнении Уаси из "поддержки производственных систем" и как будешь отвечать на вопросы "А что Уася делал на этих серверах в последние две недели?" от г-д из ИБ (Доступ у них, напомню, есть - но лапки, лапки...) - я лично не знаю, но надеюсь HR тебе их не задаст.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

174. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от пох. (?), 02-Июл-25, 10:19

"Коллеги, а как зайти на сервер-нахерн-был-ненужен.но.вот? - Там старый рутовый пароль! - Я пробовал, не пускает! - Не тот старый, а тот который до увольнения Васи в позапрошлом году! - А я тогда ж еще не работал! - Ща, найду пришлю. - А, ооок."
И разумеется все эти пароли и ключи кучкой под ковриком (под десятком ковриков, на каждого по два), потому что запомнить и один такой невозможно, а с позапрошлого года их накопилось с десяток. И при аварии их надо вбивать быстро, пока она не эскалировалась до начальства.
И да, иногда еще хочется дать возможность техподдержке что-то посмотреть и может даже перезапустить, но не rm -rf / набрать.

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (81), 01-Июл-25, 17:43

Опять в однопользовательской локалхостной системе что-то ломается когда хостов или пользователей нужно больше одного. Новость-то в чём?

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (85), 01-Июл-25, 18:00

Хотя делов то, поставил систему и удалил sudo, а ещё под root'ом сделать chmod u-s /bin/su. Права root пользователю ни к чему, а рутовские дела делаются больше всего при установке, больше они не нужны.

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Аноним (99), 01-Июл-25, 19:06

root на каждый чих требуется в линуксах.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (103), 01-Июл-25, 19:50

Технологией File CAP можно обойтись. Аккуратным DAC.
Это современному сыстемды надо root.
А лет 15 назад ещё были лимоны GNU/Linux с изолированным init, который сам мониторитл пользовательские события и выключал перегружал комп.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (85), 01-Июл-25, 21:57

Влажную уборку комнаты проводить надо регулярно.
А если серьёзно, то чем вы там занимаетесь в Линуксе, что надо регулярно под root'ом заходить?
У меня это несколько дней за целый год: обновления. Ну и когда только поставил, то /etc/fstab и всякие подобные конфиги под root'ом правятся, проги нужные ставятся и всё.

Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

163. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от User (??), 02-Июл-25, 08:07

> Влажную уборку комнаты проводить надо регулярно.
> А если серьёзно, то чем вы там занимаетесь в Линуксе, что надо
> регулярно под root'ом заходить?
> У меня это несколько дней за целый год: обновления. Ну и когда
> только поставил, то /etc/fstab и всякие подобные конфиги под root'ом правятся,
> проги нужные ставятся и всё.
Ну вообще конечно "да" - видел я место, где "интерактивный вход пользователя в систему" являлся "значительным нарушением информационной безопасности" и требовал вот прям отдельного расследования с заполнением соответствующих актов в процессе - но работать ТАК умеют\могут не только лишь все.

Ответить | Правка | Наверх | Cообщить модератору

195. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (195), 02-Июл-25, 19:20

Причём здесь место работы? У меня именно на домашнем компе sudo удалён лично мною, а на /bin/su sticky bit поставлен в ноль (чтобы нельзя было из под пользователя выполнить su -).
На работе же если пользователю позволяется лезть в админку, то лучше по достижении минимально необходимого для лёгкого поиска работы опыта сразу же увольняться и искать нормальную работу.

Ответить | Правка | Наверх | Cообщить модератору

198. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от User (??), 02-Июл-25, 20:33

> Причём здесь место работы? У меня именно на домашнем компе sudo удалён
> лично мною, а на /bin/su sticky bit поставлен в ноль (чтобы
> нельзя было из под пользователя выполнить su -).
Да при том, что на твой комп всем пофиг от слова "совсем". Хоть с перфокарт управляй - никто слова дурного не скажет. А вот при попытке распространить сию практику могут обнаружить нюансики, ага.
> На работе же если пользователю позволяется лезть в админку, то лучше по
> достижении минимально необходимого для лёгкого поиска работы опыта сразу же увольняться
> и искать нормальную работу.
Ну, администраторы - всего лишь категория пользователей с расширенными правами, не?

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Разум (?), 01-Июл-25, 18:03

Вот для чего стоит попробовать создать нейросеть, так для выявления таких ошибок.
Правда я уверен уже создали и уже используют.

Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (125), 01-Июл-25, 22:28

Не осилят. Они обработку ошибок одной функции не могут написать так, что бы придраться не к чему было.
Ну не любят программисты ошибки обрабатывать. И делают это спустя рукава - вот нейронки и не могут это сделать нормально.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (90), 01-Июл-25, 18:28

А я напоминаю, что эта уязвимость локальная, то есть на уровне проникшего в хату соседа с молотком.

Ответить | Правка | Наверх | Cообщить модератору

182. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от 1 (??), 02-Июл-25, 12:14

Дык если бы сосед ... а тут мимкрокодил

Ответить | Правка | Наверх | Cообщить модератору

190. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от пох. (?), 02-Июл-25, 17:22

ну как бы если подтвердится (пока на моих системах не получалось) что это таки работает от юзера, отсутствующего нафиг в sudoers вообще - то любое rce от nobody автоматически перерастает в катастрофу общесерверного масштаба.
так себе в общем новость.

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

94. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Аноним (94), 01-Июл-25, 18:53

Как же замечательно на бсд-подобных системах с doas. Продолжайте использовать софт, в котором легаси идет уже с 80-ых годов, удачи.

Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (43), 01-Июл-25, 20:34

На bsd системах только используется sudo. И на openbsd, да-да. Потому что к openbsd'шным поделкам доверия не больше чем к этому вот решету.

Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (132), 01-Июл-25, 22:57

лучше использовать дырявый эксплойт от редхата, замаскированный под утилиту для получения доступа к пользователям?

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимости в утилите sudo, позволяющие получить права root в..." –2 +/–

Сообщение от Онаним443 (?), 01-Июл-25, 18:59

Так в дефолтной настройке всё хорошо? Проблема только у нетакусиков??

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (94), 01-Июл-25, 19:02

>Уязвимость проявляется в конфигурации по умолчанию и подтверждена в выпусках sudo с 1.9.14 по 1.9.17 (потенциально затрагивает все версии, начиная с 1.8.33).

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от nebularia (ok), 01-Июл-25, 19:49

Вообще считаю, что sudo в базовой системе это дичь какая-то, продвинутая убунтоидами (видите ли, сложно запомнить пароль рута). Да, она имеет свои применения (разрешить пользователям отдельные команды от рута без пароля), но в конфигурации по умолчанию полностью заменяется обычным su с паролем рута. И никакой doas не нужен.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (168), 01-Июл-25, 19:57

>но в конфигурации по умолчанию полностью заменяется обычным su с паролем рута
Только в однопользовательских системах.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от nebularia (ok), 01-Июл-25, 20:08

Добавить кого-то в sudoers - отдать ему рута. Ничто не мешает сделать дальше что угодно (при конфигурации по умолчанию). Можно просто дать пароль рута и всё.
Для более разумного использования всё равно надо настраивать, тогда же sudo можно и поставить. Нафига оно в базе?

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимости в утилите sudo, позволяющие получить права root в..." +3 +/–

Сообщение от Аноним (168), 01-Июл-25, 20:18

>Добавить кого-то в sudoers - отдать ему рута
Вот чем хороши старые прожжёные эникейщики - 0% знаний, 100% уверенности. Нет это далеко не значит, как минимум список команд можно настраивать. Правда там будет целая проблема с аргументами, но да ладно.
>Можно просто дать пароль рута и всё.
Пароль у рута один, пользователей, с повышенными правами может быть несколько. С sudo можно отозвать у одного пользователя за раз полономочия, с su - полномочия отзываются сразу у всех, так как рутовый пароль общий.
>Нафига оно в базе?
Предполагается, что софт нормально написан, а не сетка рабица.

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (121), 01-Июл-25, 21:23

и тут мы вспоминает selinux с его MAC

Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от nebularia (ok), 01-Июл-25, 23:14

Ну сорри если у тебя окно контекста составляет одно предложение. Я дальше явно написал, что это дело надо настраивать. В линуксе вообще много полезных вещей, которые надо настраивать. Но мы же не тащим всё в базовую систему? Кому надо, тот поставит и настроит.

Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

164. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от User (??), 02-Июл-25, 08:10

> Ну сорри если у тебя окно контекста составляет одно предложение. Я дальше
> явно написал, что это дело надо настраивать. В линуксе вообще много
> полезных вещей, которые надо настраивать. Но мы же не тащим всё
> в базовую систему? Кому надо, тот поставит и настроит.
Кому не надо - удалит, ага?

Ответить | Правка | Наверх | Cообщить модератору

171. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (168), 02-Июл-25, 09:57

>Я дальше явно написал, что это дело надо настраивать.
Что надо настраивать? Как только вы добавляете нового пользователя в группу sudo, всё настройка уже завершена, у двух пользователей уже два разных пароля.

Ответить | Правка | К родителю #135 | Наверх | Cообщить модератору

161. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (-), 02-Июл-25, 08:04

> Пароль у рута один, пользователей, с повышенными правами может быть несколько. С sudo можно отозвать у одного пользователя за раз полономочия, с su - полномочия отзываются сразу у всех, так как рутовый пароль общий.
И как часто такой функционал востребован на какой-нибудь убунточке? Как ты полагаешь, каков процент от общего числа инсталляций использует эту функциональность? Хотя бы 1% наберётся?
И из-за этого одного процента, 99% получают дефолтом переусложнённый, дырявый и ненужный им кусок софта.
Это антипаттерн для создания систем. Это как C, который делает 100% кода unsafe ради того 1% случаев, когда это действительно надо. Это мышление дидов из 70-х годов, от которого девелоперы unix до сих пор не могут излечиться.

Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

166. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от User (??), 02-Июл-25, 08:13

>> Пароль у рута один, пользователей, с повышенными правами может быть несколько. С sudo можно отозвать у одного пользователя за раз полономочия, с su - полномочия отзываются сразу у всех, так как рутовый пароль общий.
> И как часто такой функционал востребован на какой-нибудь убунточке? Как ты полагаешь,
> каков процент от общего числа инсталляций использует эту функциональность? Хотя бы
> 1% наберётся?
> И из-за этого одного процента, 99% получают дефолтом переусложнённый, дырявый и ненужный
> им кусок софта.
> Это антипаттерн для создания систем. Это как C, который делает 100% кода
> unsafe ради того 1% случаев, когда это действительно надо. Это мышление
> дидов из 70-х годов, от которого девелоперы unix до сих пор
> не могут излечиться.
Ну, предполагаю, что примерно 100% корпоративных инсталляций, да? Т.е. примерно "все", кто платит ).

Ответить | Правка | Наверх | Cообщить модератору

180. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (168), 02-Июл-25, 12:03

>Как ты полагаешь, каков процент от общего числа инсталляций использует эту функциональность? Хотя бы 1% наберётся?
Мне не нужно, значит никому не нужно - типичная логика тыжпрограммиздов с опеннета.

Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

192. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (-), 02-Июл-25, 17:29

> Мне не нужно, значит никому не нужно - типичная логика тыжпрограммиздов с опеннета.
Может быть это и так. Но ты не ответил на вопрос: каков процент инсталляций действительно полагается на функционал sudo так, что его нетривиально заменить на su?
Нет ответа, значит ты сам не знаешь? И заменяешь аргументы по сути на ad hominem? Нушо я могу сказать. Малаца. Гораздо интеллектуальнее чем "типичная логика тыжпрограммиздов с опенета".

Ответить | Правка | Наверх | Cообщить модератору

196. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (168), 02-Июл-25, 20:09

>Может быть это и так.
Не может быть, а так и есть.
>каков процент инсталляций действительно полагается на функционал sudo
Сам по себе процент не будет говорить вообще ни о чём. Есть школьник, поставивший gnu/linux в виртуалку поиграть, которому что su, что sudo - всё равно. Имеет смысл равняться на данного школьника или нет? А если целая школа школьников? А на админа в фирме, обслуживающего десяток заказчиков?
>Нет ответа, значит ты сам не знаешь?
Такой ответ можно дать только если в 100% случаях будет включена телеметрия.
>Нушо я могу сказать.
Ну я, например, использую, сразу на нескольких системах. Что дальше?

Ответить | Правка | Наверх | Cообщить модератору

175. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от пох. (?), 02-Июл-25, 10:22

> Только в однопользовательских системах.
Причем в этих системах всем наплевать на увизгвимости в суду - их wsl и так в безопастности, на него ходит только васян с локалхоста под виндой (а он и так рут)

Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

107. "Уязвимости в утилите sudo, позволяющие получить права root в..." +3 +/–

Сообщение от Syndrome (ok), 01-Июл-25, 20:12

Как же неудачно. Только добавили закладку, а её сразу нашли. Ничего, в следующий раз спрячут получше.

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от anonymous (??), 01-Июл-25, 22:31

че то ссыкотно, красношляпка на 4 дня обновление инфраструктуры делает и из за этого ни koji ни bodhi недоступны. Страшно очень страшно. Если бы мы знали что это такое. 4 июля как раз у супостатов главный праздник. Обожаю конспирологию.

Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Аноним (133), 01-Июл-25, 23:00

В debian 12 уже исправлено. Вообще sudo не использую

Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (121), 01-Июл-25, 23:21

trixie опять запаздывает от остальных.

Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аномалии (?), 01-Июл-25, 23:34

run0 замечательная замена sudo и намного безопасней

Ответить | Правка | Наверх | Cообщить модератору

142. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от 12yoexpert (ok), 02-Июл-25, 00:06

ложь

Ответить | Правка | Наверх | Cообщить модератору

143. "Уязвимости в утилите sudo, позволяющие получить права root в..." +2 +/–

Сообщение от Аноним (143), 02-Июл-25, 00:06

Нет sudo - нет проблем. Не стесняюсь залогиниться рутом, если чего надо поадминить.

Ответить | Правка | Наверх | Cообщить модератору

176. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (176), 02-Июл-25, 10:36

Ну, заадминь там себе Remmina если такой умный. Даже интересно как вы такие в никсах живёте без VNC...

Ответить | Правка | Наверх | Cообщить модератору

153. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Андрей (??), 02-Июл-25, 05:43

а ещё нужен gcc ?

Ответить | Правка | Наверх | Cообщить модератору

183. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от 1 (??), 02-Июл-25, 12:17

Собери на другом компе и создай arхивчик

Ответить | Правка | Наверх | Cообщить модератору

173. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от Аноним (-), 02-Июл-25, 10:00

Переходим на run0? В secureblue только его и используют.

Ответить | Правка | Наверх | Cообщить модератору

186. "Уязвимости в утилите sudo, позволяющие получить права root в..." –1 +/–

Сообщение от Аноним (186), 02-Июл-25, 14:21

Позволю себе процитировать croco:
Если вы из-под аккаунта с одними полномочиями осуществляете доступ к аккаунту с другими полномочиями, то с точки зрения безопасности компрометация первого автоматически влечёт компрометацию второго. Из этого следует, что в сеансе работы нельзя повышать полномочия. Понижать можно, повышать нельзя. Вообще нельзя, понимаете? Никаким способом. В этом плане sudo вообще попадает под категорический запрет, а su остаётся в системе (без suid-бита) для понижения полномочий при возникновении такой потребности. "Вместо" них пользоваться нельзя ничем, ssh root@localhost тоже делать нельзя. Если нужны права root'а, в систему следует изначально зайти под root'ом. Если машина локальная, то переключиться на текстовую консоль и на ней зайти. Если удалённый доступ, то ssh root@remote-host, только следует при этом понимать, что тот аккаунт, под которым вы работаете на своей рабочей станции и из-под которого делаете этот вот ssh root@somewhere, охранять надо аки зеницу ока, уж во всяком случае браузеры под ним гонять нельзя совершенно точно.
А уж как надо беречь root на такой станции — ну, можно не объяснять. Почему-то часто встречаются админы, которые уверены, что аккаунты серверов надо беречь сильно-сильно, а аккаунты на личных машинах "типа фиг с ними". Ну так вот они заблуждаются: компрометация любого аккаунта означает компрометацию всего, к чему из-под него осуществляется доступ. Компрометация личного админского ноута означает компрометацию всех серверов, которые он админит.
у меня довольно обширный опыт коллективного администрирования серверов, и я на собственном опыте знаю, что sudo совершенно не нужен (плюс к тому -- см. выше, он ещё и недопустим, притом категорически). Разумеется, сообщать пароль рута нельзя никому, пароли вообще никогда никто и никому сообщать не должен. Вообще, понимаете? Никогда, никто, никому. Человек сам себе ставит пароли и никогда их никому не говорит. Но это и не нужно, и sudo тут ни при чём.
Просто у каждого админа должен быть СВОЙ аккаунт с нулевым uid'ом. В коллективах, где работал я, обычно мы такие аккаунты называли с префиксом r_. Например, мой личный root на всех машинах назывался r_croco.
Что касается логгинга выполняемых команд -- польза от него несравнима с зияющей дырой в безопасности, которая открывается из-за наличия sudo.
А ещё -- если использовать криптоключики и authorized_keys, то можно обойтись и одним аккаунтом рута.

Ответить | Правка | Наверх | Cообщить модератору

188. "Уязвимости в утилите sudo, позволяющие получить права root в..." +1 +/–

Сообщение от Аноним (168), 02-Июл-25, 15:45

>Позволю себе процитировать croco:
Его надо не цитировать, а забыть как кошмар.
>Из этого следует, что в сеансе работы нельзя повышать полномочия.
В юниксе исторически почти всё требует root. Потом, со времением это немножко поправили, но далеко не до конца. Тот же самый ping без root прав послать не получится, потом это замаскировали через suid, а потом и через capabilities. Но сам по себе root из этого абсолютно никуда не делся.
>Если нужны права root'а, в систему следует изначально зайти под root'ом. Если машина локальная, то переключиться на текстовую консоль и на ней зайти.
Это, мягко говоря, крайне неудобно, если вы занимаетесь хоть чем-то сдожнее, чем вбиванием apt update. Как например, этот персонаж планирует писать какой-то сложный текст, типа конфига или копировать приватный ключ? Будет запускать мессенджер под рутом?
>уж во всяком случае браузеры под ним гонять нельзя совершенно точно.
А почему это только браузеры?
>у меня довольно обширный опыт коллективного администрирования серверов
Тот самый случай, когда опыт данного персонажа работает во вред. https://www.linux.org.ru/forum/talks/17863538
>Столяров эти рассказы воплотил в жизнь, начав писать CMS мечты и допустив постыднейшую ошибку в безопасности. http://stolyarov.info/node/428
>Вывод: Столяров — это классический, можно сказать, эталонный системный администратор из 90-х. Человек, который отказался развиваться, отринул курсы повышения квалификации и навсегда остался в сладком возрасте 20 лет в рамках того давно ушедшего социума, его стереотипов и правил.
>Книги Столярова — это книги 90-х, хотя они написаны через четверть века, в конце 2010-х. Это памятник эпохи начала массовой компьютеризации в России. Это надо понимать при работе с ними. Читая работы Столярова, надо давать «поправку на ветер», и всё будет хорошо.
----
>Просто у каждого админа должен быть СВОЙ аккаунт с нулевым uid'ом.
Давайте каждому админу дадим абсолютно полный доступ сразу ко всей системе.
>А ещё -- если использовать криптоключики и authorized_keys, то можно обойтись и одним аккаунтом рута.
Ещё один вредный совет. У пользователя может быть несколько ключей, как он собирается проверять, что удалены сразу все ключи? Тем более, что редактировать authorized_keys через текстовой редактор - явно не лучшая идея.
Советы данного автора - вырожденны уже на сам момент совета, даже по меркам 90-ых, не имеют практической ценности, зато являются бессмысленными ртиуалами, в перемешку с мазохизмом.

Ответить | Правка | Наверх | Cообщить модератору

189. "Уязвимости в утилите sudo, позволяющие получить права root в..." +/–

Сообщение от пох. (?), 02-Июл-25, 17:10

> В юниксе исторически почти всё требует root.
как и в винде - админа. (просто там есть удобный и довольно надежный механизм проверить что ты админ, и у тебя не увели еще сессию, а не этовотвсьо)
Потому что на самом деле этот рут - подтверждение того что тебе на самом деле можно это делать (трогать устройства, занимать привиллегированные порты и т д), а другого у нас нет.
Т.е. либо тебе доверили пароль, эквивалентный рутовому, либо процессу с которым ты работаешь доверили - запуском от имени кого-то кто такой пароль знает.
И страдать фигней совершенно незачем.
Мы не работаем постоянно от рута только затем чтоб оставались какие-то возможности контроля и логинга, и ненароком самому себе чего-нибудь не сломать. (был когда-то еще и софт ломавшийся при работе от рута, но сейчас такое 25 лет уже немодно)
Там где то и другое неважно, работай от рута, твоя wsl в безопастносте.
> Советы данного автора - вырожденны уже на сам момент совета, даже по меркам 90-ых, не
> имеют практической ценности, зато являются бессмысленными ртиуалами, в перемешку с
> мазохизмом.
+1

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в утилите sudo, позволяющие получить права root в..."	–25 +/–
Сообщение от Аноним (1), 01-Июл-25, 12:11
04/01/2025: Vulnerability report sent to Todd Miller (Sudo maintainer). 07.05.2025 В Ubuntu 25.10 решено задействовать аналог sudo, написанный на Rust https://opennet.ru/63197-ubuntu В Ubuntu оказывается неспроста начали менять sudo на sudo-rs.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимости в утилите sudo, позволяющие получить права root в..."	–11 +/–
	Сообщение от Аноним (3), 01-Июл-25, 12:13
	В целом логичный шаг после замены дыряшечных coreutils, но да, забавно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+42 +/–
	Сообщение от Anon62513512124 (?), 01-Июл-25, 12:15
	Мудро то оно может и да, но похоже что этот вид багов вполне можно и на rust допустить
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	18. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+31 +/–
	Сообщение от Alexey (??), 01-Июл-25, 12:53
	Да, тут никаких переполнений буфера, use-after-free итп нет, ошибка логическая, никакой язык программирования от этого не спасёт
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимости в утилите sudo, позволяющие получить права root в..."	–11 +/–
	Сообщение от Аноним (31), 01-Июл-25, 13:37
	Сишники выдохнули с облегчением: наконец-то уязвимость, которая не вызвана некорректной работой с памятью! И раст объявляется автоматически плохим, потому что "именно от этой уязвимости бы не спас". Вот такой вот полет сишной мысли.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+19 +/–
	Сообщение от Aliech (ok), 01-Июл-25, 13:50
	Комментатор на opennet пишет: > Да, тут никаких переполнений буфера, use-after-free итп нет, ошибка логическая, никакой язык программирования от этого не спасёт и тут же прибегает хрусто-фанатик, жалуйющийся на каких-то сишников, который теперь выдыхают слишком свободно: > Сишники выдохнули с облегчением: наконец-то уязвимость, которая не вызвана некорректной работой с памятью! И раст объявляется автоматически плохим, потому что "именно от этой уязвимости бы не спас". Вот такой вот полет сишной мысли. Анон совсем не сектант, видящий везде атаку на своё божество, единственно верный ЯП rust, да... Не сектант!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	116. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от Аноним (116), 01-Июл-25, 20:46
	Растобесие оно такое.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	148. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от Омномноном (?), 02-Июл-25, 00:53
	Это платные. У них набор нарративов. Стройность нарратива - не метрика. Количество - метрика.
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	168. "Уязвимости в утилите sudo, позволяющие получить права root в..."	–1 +/–
	Сообщение от Аноним (168), 02-Июл-25, 09:50
	>Анон совсем не сектант, видящий везде атаку на своё божество, единственно верный ЯП rust, да... Не сектант! Разумеется в мире только два языка c/c++ и rust. Ни ocaml, ни go, ни haskell, ни java, ни кучи других языков попросту не существует. А если Idris или ATS вспомнить, то сишников вообще инфаркт хватит. >и тут же прибегает хрусто-фанатик, жалуйющийся на каких-то сишников, который теперь выдыхают слишком свободно: Правильно и делает. Поскольку сишник выдыхающий свободно - это сишник, активно препятствующий развитию типизации. Если о том, чтобы использовать беззнаковые числа в качестве указателей плохо, уже даже крестовики начали, то вот идея, что строка не годится для файловых путей и тем более для корней файловой системы - вот тут уже загвоздка. Вот вам самый простейший пример: Eio_main.run (fun env -> Eio.Path.read_dir (Eio.Path.(Eio.Stdenv.cwd env / "../"))) Данный код прямо в рантайме проверит, есть ли возможность писать по данному пути, и выкинет ошибку, так как осуществляется выход за границы разрешённой облоасти. Попрошу заметить, что данную проверку с помощью символических ссылок вы не обойдёте. Да, здесь есть куда расти, но кодеры на ocaml уже сделали важнейший шаг вперёд, который сишники не сделали и за полвека - догадались перестать использовать сырые строки. Но сишники хотят плодить баги, ибо у них даже строк до сих пор нет, что уже о специальных типах говорить.
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	172. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от Илья (??), 02-Июл-25, 09:58
	> хрусто-фанатик Не вижу в его словах ничего связанного с хрустом. Он точно фанатик?
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	187. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от Мистер Сишник сэр (?), 02-Июл-25, 15:28
	Так и есть. Как Сишник, я счастлив.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	43. "Уязвимости в утилите sudo, позволяющие получить права root в..."	–2 +/–
	Сообщение от Аноним (43), 01-Июл-25, 14:27
	Здесь использование юниксового легаси говна nsswitch, есть большая вероятность что в новом софте такая дрянь не будет поддерживаться и проблемы не будет.
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	150. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от Аноним (150), 02-Июл-25, 03:21
	А что будет вместо?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	169. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от Соль земли2 (?), 02-Июл-25, 09:53
	Очень даже может спасти. Rust прививает хорошие практики программирования. Отсюда и логику проще увидеть. Я бы ещё функциональщину рассмотрел, Haskell там...
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	194. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от laindono (ok), 02-Июл-25, 18:43
	С другой стороны, если какой-то класс ошибок полностью предотвращён, остаётся больше времени для поиска и предотвращения ошибок из других классов. Помимо этого наличие встроенного мощного анализатора и прочей инфраструктуры так же помогает в отлавливании ошибок. Даже такие штуки, как единый стиль форматирования кода, вносят свою лепту. Так что при сравнимых трудозатратах, код на Rust будет содержать меньше логических ошибок. Возможно на языках вроде Haskell в этом плане ситуация ещё лучше, там нужно быть аутистом высшего порядка, что в свою очередь является порогом входа. Это работает и в другую сторону. Языки вроде JavaScript в среднем содержат большее число логических ошибок и для подобных языков обязательно нужны средства вроде сборки мусора. Среднее качество этих программистов ниже и вероятность, с которой они начнут портить память, стремится к единице.
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	127. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от morphe (?), 01-Июл-25, 22:19
	> Мудро то оно может и да, но похоже что этот вид багов > вполне можно и на rust допустить Не правда, по мнению opennetовцев Rust не умеет динамическую линковку, а тут баг как раз с ней Шах и мат, эксперты.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	170. "Уязвимости в утилите sudo, позволяющие получить права root в..."	–1 +/–
	Сообщение от Аноним (-), 02-Июл-25, 09:55
	> не умеет динамическую линковку Умеет. https://doc.rust-lang.org/reference/linkage.html
	Ответить \| Правка \| Наверх \| Cообщить модератору


	178. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от ptr (ok), 02-Июл-25, 10:59
	Во-первых, у Rust нет стабильного ABI, что требует при его использовании перекомпиляции всей системы и всех установленных в ней приложений при выходе новой версии компилятора, что на практике не реализуемо. Но C ABI он поддерживает. Само собой, как только начинается C ABI, сразу заканчивается встроенный в Rust механизм безопасной работы с памятью. Во-вторых, даже в случае Rust ABI, в его текущем виде, при динамическом связывании нет поддержки дженериков. Во-третьих, баг не с динамическим связыванием, а с алгоритмом его использования. К сожалению, сообщество Rust очень мало уделяет внимание этой проблеме. Пожалуй, только разработчики Rеdox озабочены этой проблемой. В первую очередь Anhad Singh, за что я ему очень благодарен. Но его решение всё же является костылем через C ABI, а не средством, предоставляемым компилятором.
	Ответить \| Правка \| К родителю #127 \| Наверх \| Cообщить модератору


	181. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от Аноним (168), 02-Июл-25, 12:04
	>и всех установленных в ней приложений при выходе новой версии компилятора, что на практике не реализуемо. Более чем реализуемо. Но разумеется не в допотопных арчах и дебианах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	185. "Уязвимости в утилите sudo, позволяющие получить права root в..."	–1 +/–
	Сообщение от ptr (ok), 02-Июл-25, 13:29
	Ну да. Я слышал о гентушниках, пересобиравших мир с LibreOffice, KDE и т.п. по несколько суток. Естественно, обычны были ситуации, когда оно просто так не собиралось. Сколько процентов таких пользователей? И точно знаю, что больше половины населения планеты скачивать по сотне гигабайт кем-то пересобранных всех своих приложений с системой каждые три месяца позволить себе не могут. Это не считая того, что подавляющее большинство поставщиков программного обеспечения, включая компьютерные игры, пересобирать и распространять свои продукты бесплатно не станут. Особенно с учетом того, что переход на новую версию Rust компилятора и stdlib часто приводит к необходимости правки кода.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	201. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+1 +/–
	Сообщение от Аноним (168), 02-Июл-25, 21:16
	>Я слышал о гентушниках Бинарный кеш изобретён. >больше половины населения планеты Это кто? >скачивать по сотне гигабайт кем-то пересобранных всех своих приложений Даже если пересобирать буквально весь софт, сотни гигабайт не будет. Посмотрите на размер ISO образов, там даже восьми гигабайт за раз нет. >с системой каждые три месяца позволить себе не могут Для условной убунты или дебиана, замораживающих версии на весь релиз это вообще никак не повлияет. >Это не считая того, что подавляющее большинство поставщиков программного обеспечения, включая компьютерные игры, пересобирать и распространять свои продукты бесплатно не станут. nix давным давно изобретён, когда несколько библиотек сосуществуют без ручного вмешательства. >Особенно с учетом того, что переход на новую версию Rust компилятора и stdlib часто приводит к необходимости правки кода. У раста давным давно изобретены editions. Хватит людей вводить в заблуждение. Рекомендую, хотя бы изредка смотреть в календарь. 1970-ые давно прошли.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	205. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от ptr (ok), 02-Июл-25, 22:28
	>>Я слышал о гентушниках > Бинарный кеш изобретён. И чем он поможет, если необходима полная перекомпиляция? >>больше половины населения планеты > Это кто? Это те ~5 миллиардов населения планеты, которые не имеют доступа к широкополосному интернету. Поинтересуйтесь тарифами на мобильный интернет хотя бы в РФ. А к проводному интернету в РФ имеют доступ менее 40 миллионов человек. Тоже явно меньше половины населения страны. >>скачивать по сотне гигабайт кем-то пересобранных всех своих приложений > Даже если пересобирать буквально весь софт, сотни гигабайт не будет. Посмотрите на > размер ISO образов, там даже восьми гигабайт за раз нет. Вы пользуетесь исключительно голой системой? У той же Ubuntu 24.04 размер репозитория больше 2ТБ. Со сторонними репозиториями будет на порядок больше. А на NAS у сына только дистрибутивы игр уже в 4 ТБ не помещаются. Особенно интересно узнать, что Вы предлагаете делать с программными продуктами, которые необходимы в работе, но уже давно не поддерживаются по причине прекращения деятельности их производителя? Закупать новый МРТ за 100 миллионов рублей только потому, что в какой-то системной библиотеке обнаружена уязвимость, а поставщик свой софт уже пару лет как не обновляет? Ваш призыв к столь глобальному вендор-локу уж очень сильно противоречит идеологии opennet. > nix давным давно изобретён, когда несколько библиотек сосуществуют без ручного вмешательства. Исключительно благодаря стандартизированному C ABI. Вы вообще понимаете разницу, между сменой версии библиотеки и глобальному изменению ABI во всей системе и всех приложениях? >>Особенно с учетом того, что переход на новую версию Rust компилятора и stdlib часто приводит к необходимости правки кода. > У раста давным давно изобретены editions. Хватит людей вводить в заблуждение. Редакции редакциями, а крейты - крейтами. Ошибки и уязвимости даже в stdlib исправляются исключительно в новых версиях. Не говоря уже о прочих крейтах. Вы вообще на Rust ведете разработку или только теоритезируете? Мне, как минимум, дважды в год приходится вносить правки в свой код из-за необходимости переходить на новые версии крейтов. Последний сюрприз был в Rust 1.85, когда core::ffi::c_char из i8 превратился в u8.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	191. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от morphe (?), 02-Июл-25, 17:29
	> Во-вторых, даже в случае Rust ABI, в его текущем виде, при динамическом связывании нет поддержки дженериков. И как ты это видишь? Есть библиотека: pub fn print_smth<T: Display>(value: &T) { println!("{value}"); } pub fn init() { print_smth("The library has been initialized"); } Библиотеку собрали, print_smth для нужд библиотеки мономорфизировало для &str Внешний пользователь хочет передать в этот метод u32 Вопрос - откуда в этой библиотеке возьмётся мономорфизация print_smth для u32?
	Ответить \| Правка \| К родителю #178 \| Наверх \| Cообщить модератору


	202. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от ptr (ok), 02-Июл-25, 21:21
	> И как ты это видишь? Для начала нужна хотя бы поддержка RTTI в ABI. И речь далеко не только о POD типах. В Rust сейчас нет способа указать, для каких типов должен быть скомпилирован код в динамически загружаемой библиотеке. И нет встроенных средств рефлексии, чтобы во время выполнения выяснить, какие типы поддерживаются в динамически загружаемой библиотеки. Крейт rtti в данном случае лишь костыль.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	203. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от morphe (?), 02-Июл-25, 21:35
	> Для начала нужна хотя бы поддержка RTTI в ABI. И речь далеко > не только о POD типах. Ну допустим для динамической диспатчеризации добавят RTTI (Хотя для Rust это и не нужно, у тебя же нет иеархии классов) Что делать со статической? И какое это отношение имеет к генерик типам (шаблонам в случае плюсов)?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	206. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от ptr (ok), 02-Июл-25, 23:15
	> Хотя для Rust это и не нужно, у тебя же нет иеархии классов Но есть виртуальные таблицы и дженерики. Отсюда и этот костыль https://docs.rs/rtti/latest/rtti/ Или этот https://docs.rs/vtable/latest/vtable/ > какое это отношение имеет к генерик типам Читйте внимательней: >> для каких типов должен быть скомпилирован код в динамически загружаемой библиотеке. >> И нет встроенных средств рефлексии, чтобы во время выполнения выяснить, >> какие типы поддерживаются в динамически загружаемой библиотеки. В рамках идеологии Rust вполне реализуема поддержка дженериков в динамически загружаемой библиотеке, пусть и с ограничением не только на реализованные трейты, но и на типы, для которых будет скомпилирован код. Причем, с развитым RTTI можно поддерживать не только POD типы, но и структуры и перечисления, налагая определенные требования на присутствие только некоторых полей или типов в них. Этой истории не первый год. Например, два года назад определенные попытки предпринимались joshtriplett в виде эксперимента с crabi https://github.com/rust-lang/rfcs/pull/3470 Но воз и ныне там ( > шаблонам в случае плюсов Шаблоны в C++ превращаются в боль на крупных проектах, когда малейшая правка требует многочасовой перекомпиляции всего кода. Поэтому я веду речь не о шаблонах, а об аналоге Itanium ABI для Rust.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от IdeaFix (ok), 01-Июл-25, 12:23
	Тут программист не в звездочках заблудился а в слешах. Это пофиксят в NGR (NextGenRust), пока же раст как обычно бессилен. Программист победил.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	12. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+/–
	Сообщение от Аноним (12), 01-Июл-25, 12:37
	А как это поможет если sudo-rs такой же комбайн как sudo?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	33. "Уязвимости в утилите sudo, позволяющие получить права root в..."	–1 +/–
	Сообщение от Аноним (33), 01-Июл-25, 13:44
	Но безопасТный комбайн.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Уязвимости в утилите sudo, позволяющие получить права root в..."	+3 +/–
	Сообщение от нах. (?), 01-Июл-25, 15:56
	Все в порядке, он не такой же. Авторы заявляли что конечной их целью является поддержка дефолтного конфига популярных дистрибутивов. А там root = (ALL) ALL и больше ничего нет.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору