Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива"	+/–
Сообщение от opennews (?), 21-Окт-25, 23:11
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы,  но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64093
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+37 +/–
Сообщение от Аноним (2), 21-Окт-25, 23:15
Это успех, я считаю! Кто со мной согласен - ставим плюсик
Ответить | Правка | Наверх | Cообщить модератору

	4. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+9 +/–
	Сообщение от Tron is Whistling (?), 21-Окт-25, 23:22
	Не просто плюсик, а ++ - два плюсика.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–3 +/–
	Сообщение от Anonimbus (?), 21-Окт-25, 23:27
	С плюсом-плюсом XD
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
	Сообщение от Грустный (?), 22-Окт-25, 00:33
	Наконец-то хорошая новость.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+8 +/–
Сообщение от Аноним (6), 21-Окт-25, 23:24
Вы не понимаете! Это другое!
Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–2 +/–
	Сообщение от Аноним (15), 21-Окт-25, 23:37
	А ты зоркий. Молодец, заметил - именно что другое. А то бы налетели сейчас местные сишники-ПравильныеПогромисты... Никаких тебе выходов за пределы буфера, обращения к освобожденной памяти или двойного освобождения памяти... Ну, именно того, от чего и должен спасать раст. А просто "логическая" ошибка. От которой никто не обещал (и не мог) защитить. Не в той позиции что-то там в файле считали и не проверили. Ну это те самые гугловско-майкрософтовские оставшиеся "30% ошибок", которые уже только напряжением мозгов нужно избегать.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+6 +/–
	Сообщение от Аноним (24), 21-Окт-25, 23:57
	В новости ошибка работы с памятью. Да, ошибка не с оперативной памятью. Так выход за границы массива это логическая ошибка или нет? Если программист на Си ошибётся в размере массива, то это одно, а когда на rust ошибка с размером в структуре данных, то это другое? Нет, дружочек, это одного рода проблемы. Да, rust спасает от ошибок с оперативной памятью, с этим спорить не буду.
	Ответить | Правка | Наверх | Cообщить модератору

	34. Скрыто модератором	–1 +/–
	Сообщение от morphe (?), 22-Окт-25, 00:08
	> В новости ошибка работы с памятью. В новости ошибка с неправильной интерпретацией спецификации В файле стоит Заголовок ustar:   размер этого файла 0 байт Заголовок PAX:   размер этого файла 20мбайт Старая реализация приоритетной считала значение из ustar, читала 0 байт файла, и дальше читала вложенный tar как содержимое основного tar файла А должна была читать PAX, и пропускать 20мбайт как содержимое файла Спека говно, и точно таким же образом обсираются все реализации tar которые PAX не поддерживают. PAX является якобы обратно совместимым, поскольку данные от него пропускаются легаси реализациями, однако он может содержать в себе копию размера, от чего и возможны такие конфликты
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (15), 22-Окт-25, 00:13
	> Так выход за границы массива это логическая ошибка или нет? Если программист на Си ошибётся в размере массива Чисто казуистический прием. Разницу-то в ошибках вы (да все остальные) всё равно поняли ;)  Да, да, старая проблема при холиварах на этом сайте: как же обозвать все эти разные ошибки. Но тут уже более распространено мнение/определение, что есть ошибки работы с памятью (те 70% о которых гугл распинался), а есть остальные, "логические" (вот как раз когда не то или не оттуда считали или введенное значение на допустимость значений не проверили или когда уставший сонный программист знаки больше с меньше перепутал). > Если программист на Си ошибётся в размере массива, то это одно, а когда на rust ошибка с размером в структуре данных, то это другое? Это просто офигенно другое! И если ты этого честно не понимаешь (сомневаюсь в этом), то ты просто профнепригоден. > Нет, дружочек, это одного рода проблемы Не дружок ты мне пока, а тролль. И это очень разного рода проблемы.
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	66. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (24), 22-Окт-25, 00:59
	> а есть остальные, "логические" (вот как раз когда не то или не оттуда считали или введенное значение на допустимость значений не проверили или когда уставший сонный программист знаки больше с меньше перепутал). Так выход за границы массива – это буквально всё, что вы перечислили. Считали неопределённые данные. Не проверили границу. Уставший сонный программист запутался в инкременте в цикле for.
	Ответить | Правка | Наверх | Cообщить модератору

	69. Скрыто модератором	+/–
	Сообщение от Витюшка (?), 22-Окт-25, 01:20
	Уровень кекспертизы подоспел. У вас есть буфер с содержимым "слово" из 5 символов. По спецификации нужно прочитать третью букву "о", вы этого не поняли и прочитали букву в. Где здесь ошибка работы с памятью и где выходит за границы массива?
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (15), 22-Окт-25, 01:30
	>> > а есть остальные, "логические" (вот как раз когда не то или не оттуда считали или введенное значение на допустимость значений не проверили или когда уставший сонный программист знаки больше с меньше перепутал). > Так выход за границы массива – это буквально всё, что вы перечислили. И тут врёте и всё перекручиваете. Говорю же, казуистика. Брехня. >Считали данные не с того места. Где тут выход за пределы массива? Я может потом просто захочу создать массив на это считанное откуда-то число элементов. Считал какие-то данные - не значит что полез в массив  по смещению или без проверки сложил значение с указателем, как в сишечке. > Не проверили границу. Где там про проверку _границ_ написано? Сами слово добавили и сами обвиняете? Допустимость значений - это типа "остаток на счете должен быть больше либо равен нулю". Где здесь граница? Да и в расте ты так просто и "незаметно", как в си, не выйдешь за границу массива. > Уставший сонный программист запутался в инкременте в цикле for. и не будешь лишний раз инкрементами в циклах баловаться - в большинстве случаев просто итераторами пробежишься и никуда за границы массива не вывалишься.
	Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

	74. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (74), 22-Окт-25, 02:00
	А может то, а может сё... Всё юлите, ну-ну.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–1 +/–
	Сообщение от Аноним (80), 22-Окт-25, 02:25
	>Так выход за границы массива это логическая ошибка или нет? В новости ничего не говорится о выходе за границы массива, Rust от такого защищает. >Если программист на Си ошибётся в размере массива То будет порча памяти. >а когда на rust ошибка с размером в структуре данных Порчи памяти не будет. Вы не сможете прочитать/записать в чужую память, только в свою. >то это другое? Да, другое. В случае сишной уязвимости, при распаковке можно было бы вызвать условный curl | bash, здесь - только переписать файлы.
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	86. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (24), 22-Окт-25, 03:27
	> В случае сишной уязвимости, при распаковке можно было бы вызвать условный curl | bash Нельзя. С чего бы? Если речь только про ошибку при обработке данных, а не ошибке работы с ram.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+3 +/–
	Сообщение от Аноним (25), 21-Окт-25, 23:58
	> оставшиеся "30% ошибок", которые уже только напряжением мозгов нужно избегать Ну раз напряжением мозгов, то софт на расте точно обречён. Ибо в него и привлекают-то лишь всякими "вам больше не нужно думать о размере буферов и указателях", а основная масса растофанов прекращает читать на слове "думать".
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	87. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Ruslan (??), 22-Окт-25, 03:54
	Так это же замечательно, что какой-то инструмент позволяет не думать о том, что к делу не относится и сосредоточиться на прикладной задаче. Необходимость байтодрочерства и прочих ручных управлениях всем, чем можно, пошло от общей убогости компьютерных технологий прошлого (да и нынешнего), а не потому, что это исходно и хотели делать изобретая ЭВМ...
	Ответить | Правка | Наверх | Cообщить модератору

	92. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (92), 22-Окт-25, 04:54
	Вот сосредоточиться на прикладной задаче чет не получается.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+2 +/–
	Сообщение от Аноним (6), 22-Окт-25, 00:16
	На другой тип ошибок нужен еще один ЯП!
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	52. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–1 +/–
	Сообщение от Аноним (52), 22-Окт-25, 00:34
	Может, Zig?
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (90), 22-Окт-25, 04:31
	Хороший вариант. Вон, в Редоксе на него драйвера переписывают.
	Ответить | Правка | Наверх | Cообщить модератору

	50. Скрыто модератором	+1 +/–
	Сообщение от Аноним (52), 22-Окт-25, 00:33
	Ну да, ну да, а растоманы не научились размеры считать.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

9. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+7 +/–
Сообщение от Аноним (6), 21-Окт-25, 23:26
А сколько багов остаются незамеченными тупо из-за того, что раст вынуждает писать нечитаемую лапшу и раздувать изначально компактный код в несколько раз
Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (15), 21-Окт-25, 23:43
	нечитаемая она для местных сишников. А кто вкатился в эту тему и какое-то время  в этом варился - заявляют, что всё прекрасно читается и понимается. Дело привычки. А техдир гугла еще и заявляет что команды, разрабатывающие проекты на расте, в два раза продуктивнее команд сиплюсплюсников. Предположу, что командная работа с "нечитаемой лапшой" не могла бы быть в два раза продуктивнее "абсолютно понятных" божественных плюсов.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
	Сообщение от Аноним (6), 21-Окт-25, 23:59
	Ты даже не понимаешь о чем речь, сразу видно что вкатился и варился. Когда даже книжный алгоритм приходится перелопачивать так, что он становится сам на себя не похож. Сколько из-за таких выкрутасов в коде возникает логических ошибок, невозможно и представить. Пока нормальные люди пишут код так, чтобы он был легко читаем и понятен, такие как ты варятся и вкатываются и навязывают остальным свои шизоидные извращения. Необходимы клиники для реабилитации, а еще лучше принудительные работы не связанные с компьютерами
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–3 +/–
	Сообщение от Аноним (-), 22-Окт-25, 00:17
	>  нормальные люди пишут код так, чтобы он был легко читаем и понятен Ага, видели мы тот код "от нормальных людей" Как тебе функция-портянка на 1000+ строк кода? https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... Естественно с кучей кала в виде goto - нормальной обработки ошибок ведь не завезли... И ведь это ядро! Его же пишут профи)) > Необходимы клиники для реабилитации, а еще лучше принудительные работы не связанные с компьютерами А принудительная стререлизация, ну чтобы уже на 100% как faшики, будет?
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+2 +/–
	Сообщение от Аноним (6), 22-Окт-25, 00:45
	На расте функция конечно будет не 1000 строк, размер функций же от ЯП зависит
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (92), 22-Окт-25, 00:59
	Функцию на тысячу строк можно на любом языке написать, если что. Понимать подобный код на Rust будет также сложно как на C с goto, поскольку только в Rust и regex смысл строки может кардинально измениться всего из-за одного символа. Неудивительно, что без ИИ с ним не разобраться.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	83. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от morphe (?), 22-Окт-25, 02:55
	> поскольку в Rust смысл строки может кардинально > измениться всего из-за одного символа. А теперь приведи хоть один пример когда такое может произойти
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (85), 22-Окт-25, 03:24
	> Естественно с кучей кала в виде goto - нормальной обработки ошибок ведь > не завезли... Вот интересно, обработка ошибок по твоему она магическая какая-то или ей занимается отдельный код? Настоящий кал - это как раз запихать в ядро код обработчиков ошибок. Задумайся почему в ядре даже стандартных библиотек нет.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	45. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (45), 22-Окт-25, 00:27
	> Когда даже книжный алгоритм приходится перелопачивать так, что он становится сам на себя не похож. Из этой фразы любому программисту видно, что ты алгоритм заучил, а не понял. Что однозначно определяет тебя как кодера на одном языке, которому никакая клиника уже не поможет.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	56. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (6), 22-Окт-25, 00:38
	Мне видно что ты читать не умеешь или какие-то ограничения в мыслительном аппарате, хз. Это где-то в первом классе у детей спрашивают про что пословица "без труда не вытащишь и рыбку из пруда" и они отвечают "про рыбку"
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (15), 22-Окт-25, 00:32
	Так а что же ты про техдира гугла не завернул? Вот же он наверное лох, похоже из клиники для реабилитации выступал. Ну или его подло обманули агенты раста с метриками разработки, подло оболгав плюсовиков. Но я конечно поверю тебе, а не ему. > Ты даже не понимаешь о чем речь, сразу видно что вкатился и варился К твоему сожалению, правда совсем-совсем немного, понимаю. Года три назад, не зная языка, "не вкатываясь", просто взяв примеры кода и подправив их под себя, сделал себе утилитку, работающую с внешними ресурсами (отчеты с биржи стягивает). _Почти_ всё там было понятно и аккуратно. Но да, язык учить надо. Сложное так просто не напишешь. Впрочем, как и на си.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	57. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+2 +/–
	Сообщение от Аноним (6), 22-Окт-25, 00:39
	Для тебя гугл образец компетентности? С этого тебе надо было начинать
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (15), 22-Окт-25, 01:05
	> Для тебя гугл образец компетентности? По сравнению с экспертами с опеннета? Конечно! Просто небо и земля. Даже под землей, глубоко. Причем не гугл под землей. Просто тем, что создал (и купил/доработал) гугл, я пользуюсь ежедневно и много. А твоими поделками - совмневаюсь. Ну может одной-двумя (вдруг ты разработчик какого-нибудь постгреса). > С этого тебе надо было начинать У тебя обида на гугл? Не взяли на работу? Слишком для них умный?
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (6), 22-Окт-25, 01:14
	А тебя взяли, поэтому ты им вылизываешь? Или ты думаешь в гугле индусы лучше индусов из микрософта?
	Ответить | Правка | Наверх | Cообщить модератору

	72. Скрыто модератором	+/–
	Сообщение от Аноним (15), 22-Окт-25, 01:38
	> А тебя взяли, поэтому ты им вылизываешь? Не, куда мне, сирому и убогому. Без иронии. Я (бывший) простой быдлокодер, который когда-то раньше json'ы на яве в ораклы перекладывал. > Или ты думаешь в гугле индусы лучше индусов из микрософта? Я думаю, что и те и те индусы примерно одинаковы и ЗНАЧИТЕЛЬНО, прям конкретно, лучше подавляющего большинства местных Настоящих Погромистов. Но отдельные местные посетители может и заткнут за пояс тамошнего среднего (отобранного не по знакомству!) индуса.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (15), 22-Окт-25, 02:00
	> А тебя взяли, поэтому ты им вылизываешь? Не, куда мне, сирому и убогому. Без иронии. Я (бывший) простой манкикодер, который когда-то раньше json'ы на яве в ораклы перекладывал. > Или ты думаешь в гугле индусы лучше индусов из микрософта? Я думаю, что и те и те индусы примерно одинаковы и ЗНАЧИТЕЛЬНО, прям конкретно, лучше подавляющего большинства местных Настоящих Погромистов. Но отдельные местные посетители может и заткнут за пояс тамошнего среднего (отобранного не по знакомству!) индуса.
	Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

	70. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
	Сообщение от Аноним (70), 22-Окт-25, 01:21
	Коллеги, сорри, ворвусь. Бросайте Вы эти гугл поделки. Корпорация бобра скатилась: 1) пугл движок - мертво, как и весь современный тырнет. Ибо копирайтинг, дорвеи, вот это все + не заинтересованность/неиндексирование ъ текстов. Ибо нет в них вышеперечисленного 2) андроид дврявый, где пугл уже секурность поддерживает методом неясности/сокрытия. Авось крякеры не увидят, потому мы не выложим фиксы. Смешно. 3) их им не справляется с ответами даже в синергии с их же движком. >У тебя обида на гугл? Не взяли на работу? Слишком для них умный? Не. Я вообще безработный нищyk, мое презрение к ним базируется на идеологической платформе + анализе объективной реальности. Когда были лидерами и не хамели пользовал, не без греха. Как стали наглеть, звиняйте. В общем падет и этот бастион. Цест ла вие.
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

	73. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (15), 22-Окт-25, 01:56
	> Бросайте Вы эти гугл поделки. Корпорация бобра скатилась Вот тут согласен. Скатилась и скатывается в самый (эппловский) ад. Но технарей там знающих-понимающих достаточно, с чем спорит господин выше. > 1) пугл движок - мертво, как и весь современный тырнет. Ибо копирайтинг, дорвеи, вот это все + не заинтересованность/неиндексирование ъ текстов Да, стало хуже. А еще ангажированность у них у всех ("и у наших и у ваших") - против просьб властей не попрешь. Грустно. >>У тебя обида на гугл? Не взяли на работу? Слишком для них умный? >Не. Я вообще безработный нищyk Простите, если задело, не вам адресовалось. Но и я, и наверное большинство из нас тут, как и Вы, тоже далеко не Крёзы. Такие здесь не сидят. > Когда были лидерами и не хамели пользовал, не без греха. Я больше по инерции пользуюсь. Привык. Но их техническую компетенцию высмеивать - как-то недалЁко. Особенно огульно всё высмеивать - "индусы...". Один мой знакомый, работая в прошлом на международную галеру, нарадоваться не мог на техзадания от своего руководителя, индуса - все было подробно и конкретно расписано, садись и делай. При малейших вопросах с ТЗ тот быстро разбирался и правил. Потом индус ушел на повышение, а вместо него назначили руководителя из "белой страны", привилегированной. Стало - хоть увольняйся. > Как стали наглеть, звиняйте. Вот кучу плюсов Вам. В точку. Опять же, грустно. > В общем падет и этот бастион Ага, селяви накажет и их и нас.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Медведь (ok), 22-Окт-25, 02:33
	> А кто вкатился в эту тему и какое-то время  в этом варился - заявляют, что всё прекрасно читается и понимается. Дело привычки. А техдир гугла еще и заявляет что команды, разрабатывающие проекты на расте, в два раза продуктивнее команд сиплюсплюсников. А еще у использующих раст, нет, даже только думающих о расте, рассасываются шрамы, проходит энурез и зубы становятся гладкими и шелковистыми. Честно-честно!
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	23. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–4 +/–
	Сообщение от Аноним (15), 21-Окт-25, 23:56
	>  и раздувать изначально компактный код в несколько раз и вдогонку, из соседней новости, про принятие в ядро Linux 6.18 реализации Binder IPC для Android, написанная на Rust: "...Несмотря на продвинутые возможности и поддержку объектов со сложной семантикой владения, драйвер на Rust получился меньше варианта на Си - 5.5 против 5.8 тысяч строк кода." Ну т.е. после этого нам _очень_ интересно твое "икспертное" мнение. Ты наверное много программ написал сразу в двух вариантах - на си и на расте, чтобы сравнить и выдать свои ценные замечания, верно? Ведь верно?
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	27. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+5 +/–
	Сообщение от Аноним (6), 22-Окт-25, 00:01
	Сотни других неудобных примеров мы конечно проигнорируем, да?
	Ответить | Правка | Наверх | Cообщить модератору

	37. Скрыто модератором	+/–
	Сообщение от Аноним (-), 22-Окт-25, 00:12
	Эти сотни (а чего не тысячи?) примеров сейчас с вами в одной комнате? Может вы их таки озвучите?
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–4 +/–
	Сообщение от Аноним (15), 22-Окт-25, 00:33
	Эти "сотни других неудобных примеров" только в Вашей голове? Откуда сотни примеров, если Вы и Ваши соратники утверждаете, что на расте вообще ничего не написано?
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	59. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (6), 22-Окт-25, 00:41
	Ничего не пишут, только переписывают
	Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+2 +/–
Сообщение от morphe (?), 21-Окт-25, 23:31
> Проблема вызвана тем, что уязвимые библиотеки при распаковке файлов вместо вычисления смещения на основе размера из расширенного заголовка PAX, брали размер из устаревшего заголовка ustar. При нулевом значении размера в заголовке ustar, идущее за ним содержимое файла обрабатывалось как корректный блок TAR-заголовков для следующего файла. Т.е проблема в том что спецификацию расширили не пойми как, включив несколько размеров для одного и того же файла, и интерпретация спеки на Rust выбрала из двух размеров не тот. Остаётся вопрос почему размер из PAX должен иметь приоритет, ведь теперь проблема может быть обратной - реализации TAR без поддержки PAX будут читать архивы иначе чем исправленная версия.
Ответить | Правка | Наверх | Cообщить модератору

	16. Скрыто модератором	+/–
	Сообщение от Аноним (16), 21-Окт-25, 23:38
	Legacy? Не, не слышал. Конечно же, виновата спека, а не святые растоманы.
	Ответить | Правка | Наверх | Cообщить модератору

	53. Скрыто модератором	+/–
	Сообщение от morphe (?), 22-Окт-25, 00:36
	> Legacy? Не, не слышал. Конечно же, виновата спека, а не святые растоманы. Так легаси точно так же этот PAX не читают и точно так же обосрутся как и реализация на Rust)
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+2 +/–
	Сообщение от Аноним (-), 22-Окт-25, 00:22
	> спецификацию расширили не пойми как Там всё ещё интереснее. Этих форматов tar было как собак нерезаных. Когда POSIX решил это дело стандартизовать, он взял два формата ustar и PAX и объединил их в один. Это не расширение, это просто какой-то толпоиппизм. Я как-то думал написать реализацию tar в образовательных целях, в рамках ознакомления с каким-то очередным язычком программирования (а заодно и с tar ознакомиться), и забил именно из-за того, что разбираться со всеми этими завихрениями дидовского мышления не было никакого желания. Но за этим, на самом деле, прячется целая дидовская философия: работает, не трожь. Вместо того, чтобы сделать по уму, они пытаются сделать так, чтобы ничего не делать. Ну, точнее, пытались. Сейчас они наверное все на пенсии уже. Продолжают пытаться ничего не делать. > Остаётся вопрос почему размер из PAX должен иметь приоритет На этот вопрос ответить определённо я не могу, увы. Меня не хватило на то, чтобы изучить историю вопроса. Но это намекает на вероятный ответ (тавтологию): если для понимания современного положения дел надо изучать историю вопроса, значит это легаси, где решения определяются не здравым смыслом, а броуновским движением истории, где стандарты не создают реальность, а фиксируют её такой, какая она есть. Отливают её в граните, чтобы и потомкам наших потомков досталось бы.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	48. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (48), 22-Окт-25, 00:32
	>Т.е проблема в том что спецификацию расширили не пойми как Так и думал, опять диды-сишники виноваты. Расходимся, дело раскрыто. Раст как всегда показал себя молодцом, сишники опозорены.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

13. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
Сообщение от Аноним (70), 21-Окт-25, 23:33
Вот и я говорю, виновен ли хбокс в том, что мои дети сталкиваясь при прохождении игорей с трудностями кричат: папа помоги! Казалось бы, причём тут раст, безопасность, ЕГЭ, воспитание, вау импульсы, превозмогание... В хбоксе (си) ли дело!? Вот в чем вопрос(ц)
Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором	+3 +/–
Сообщение от Аноним (18), 21-Окт-25, 23:41
Ну, это просто доказывает что программисты тупые. Какой язык им не дай, уязвимости из за неправильного подсчета они все равно умудрятся сделать. А шуму то было, мол на расте уязвимостей вообще быть не может, щас как заживем, ух!
Ответить | Правка | Наверх | Cообщить модератору

	21. Скрыто модератором	+1 +/–
	Сообщение от Аноним (15), 21-Окт-25, 23:47
	> А шуму то было, мол на расте уязвимостей вообще быть не может Это от вас, сишников, этот шум. Из раза в раз. От растовиков шум - не будет _только ошибок работы с памятью_ (если не пользоваться ансейфом), а не "всех-всех-всех ошибок". И их, ошибок по памяти, таки пока что-то не наблюдается в товарных количествах, как на божественном.
	Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
Сообщение от Аноним (20), 21-Окт-25, 23:46
Вот видите! Вот такими и должны быть баги, логическими ошибками, а не позорным переполнением буфера
Ответить | Правка | Наверх | Cообщить модератору

	82. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
	Сообщение от Медведь (ok), 22-Окт-25, 02:39
	> Вот видите! Вот такими и должны быть баги, логическими ошибками, а не позорным переполнением буфера Ффух, мне даже как-то легче стало. Так вот какими они должны быть -- баги на расте! Если я в программе на C сделаю баг как на расте -- можно? Или это будет опять позорный дыряшечный дидовский баг? Или такие баги разрешено делать только на расте, а всем остальным -- ни-ни, не трогай, это на новый год... ой, то есть для раста? Короче, можно полную инструкцию, какими должны быть правильные баги?
	Ответить | Правка | Наверх | Cообщить модератору

	94. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (20), 22-Окт-25, 05:45
	Объясняю, почему так вышло - потому что в программе на Си такой баг тоже будет. Но прежде, чем поймать его, вы будете ловить переполнения буффера, двойное освобождение и прочие подобные баги памяти, и только потом логические. А тут вот ловятся сразу уже логические баги. Экономия времени
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (-), 22-Окт-25, 06:41
	Во-первых, все баги которые могут случится на чистом Си хорошо документированы и описаны. Кто пишет на чистом Си, и реально желает избежать багов, тот их избежит. Вина в не внимательности и торопливости. >А тут вот ловятся сразу уже логические баги. Экономия времени Дело не в характере ошибок, делов их в количестве. Не думаю, что общее количество ошибок на Расте меньше, чем в Си.
	Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
Сообщение от ProfessorNavigator (ok), 22-Окт-25, 00:01
Не, ребят, сегодня не ваш день. Сначала предатели, пардон, производители процессоров вместе с Линусом в спину ударили, а теперь - вот))
Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (24), 22-Окт-25, 00:02
	Можно подробнее, пожалуйста?
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от ProfessorNavigator (ok), 22-Окт-25, 00:03
	> Можно подробнее, пожалуйста? https://www.opennet.dev/opennews/art.shtml?num=64091
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
	Сообщение от Аноним (24), 22-Окт-25, 00:04
	Спасибо.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (-), 22-Окт-25, 00:09
	Так и не ваш тоже opennet.ru/opennews/art.shtml?num=64092 Вы же не будете сравнивать какую-то либу с ядром. ЗЫ: а чего в ту тему не заглянули, проффесор? сказать нечего было?
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

	38. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
	Сообщение от ProfessorNavigator (ok), 22-Окт-25, 00:13
	> Так и не ваш тоже opennet.ru/opennews/art.shtml?num=64092 > Вы же не будете сравнивать какую-то либу с ядром. Спасибо, посмеялся)) Не, не поможет ;) > ЗЫ: а чего в ту тему не заглянули, проффесор? сказать нечего было? Потроллить на сон грядущий ;) Не всё ж вам развлекаться))
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–2 +/–
	Сообщение от Аноним (-), 22-Окт-25, 00:21
	> Спасибо, посмеялся)) Не, не поможет ;) Конечно не поможет. Если человек ставит в один ряд ядро линукс и какую-то либу от дилетантов.. то это многое о нем говорит) > Потроллить на сон грядущий Получилось весьма уныло. Может лучше про коммунизм? Та щиза хотя бы веселее звучит!
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+1 +/–
	Сообщение от ProfessorNavigator (ok), 22-Окт-25, 00:31
	> Конечно не поможет. > Если человек ставит в один ряд ядро линукс и какую-то либу от > дилетантов.. то это многое о нем говорит) Снова посмеялся)) Не пытайтесь вырулить, говорю ж - не поможет)) Вам производители процессоров такую свинью подложили, прям загляденье. >> Потроллить на сон грядущий > Получилось весьма уныло. Но вы ж стриггерились - значит уже нормально ;)
	Ответить | Правка | Наверх | Cообщить модератору

31. Скрыто модератором	–1 +/–
Сообщение от Аноним (-), 22-Окт-25, 00:04
Ой, как будто кто-то сейчас пользуется таким древним овном как TAR? Оно появилось более 40 лет назад.
Ответить | Правка | Наверх | Cообщить модератору

	33. Скрыто модератором	+/–
	Сообщение от ProfessorNavigator (ok), 22-Окт-25, 00:08
	> Ой, как будто кто-то сейчас пользуется таким древним овном как TAR? > Оно появилось более 40 лет назад. Архивы кода по умолчанию с GitHub в tar.gz отдаются))
	Ответить | Правка | Наверх | Cообщить модератору

	36. Скрыто модератором	+/–
	Сообщение от Аноним (-), 22-Окт-25, 00:11
	> Архивы кода по умолчанию с GitHub в tar.gz отдаются)) Эм... нет, это вы у себя что-то нахимичили с настройками. По умолчанию отдается zip. github.com/torvalds/linux Download ZIP Проверьте сами.
	Ответить | Правка | Наверх | Cообщить модератору

	54. Скрыто модератором	+1 +/–
	Сообщение от Аноним (52), 22-Окт-25, 00:37
	Раст обделался с перепмсыванием, значит, tar ненужен! Л - логика.
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

55. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	–3 +/–
Сообщение от Аноним (48), 22-Окт-25, 00:37
Сишникам совсем уже делать нечего. Нашли микроскопическую ошибку и раздули из этого целую "уязвимость". Удалите новость, опеннет, не позорьтесь.
Ответить | Правка | Наверх | Cообщить модератору

	58. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (52), 22-Окт-25, 00:39
	Нееет, выделите новость 20-м шрифтом.
	Ответить | Правка | Наверх | Cообщить модератору

	60. Скрыто модератором	+/–
	Сообщение от Аноним (15), 22-Окт-25, 00:43
	Чтобы все оценили "кекспертизу" обсуждающих её сишников
	Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
Сообщение от Аноним (92), 22-Окт-25, 00:44
Почему программисты на Rust не могут <буквально> переписать логику с реализацией на C, а придумывают собственные дырявые велосипеды? Вообще, тот факт, что на Rust без ИИ программировать не получается по признанию его фанатов наводит на некоторые размышления...
Ответить | Правка | Наверх | Cообщить модератору

	78. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (80), 22-Окт-25, 02:11
	>Почему программисты на Rust не могут <буквально> переписать логику с реализацией на C Потому, что тогда у них будут буквально те же самые дыры, что и на си. Ибо на си нет афинных типов данных.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (92), 22-Окт-25, 04:36
	И что, без аффинных типов в безопасном коде на Rust будут дыры? Вот это новость!
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+3 +/–
	Сообщение от Медведь (ok), 22-Окт-25, 02:12
	> Почему программисты на Rust не могут <буквально> переписать логику с реализацией на C, а придумывают собственные дырявые велосипеды? Вообще, тот факт, что на Rust без ИИ программировать не получается по признанию его фанатов наводит на некоторые размышления... В основном они этим и занимаются, но специфика концепции владения в расте такова, что это не всегда возможно, боровчекер не велит. Ну и код они читать не особо привыкли, "компилируется --- значит, работает", вот их девиз.
	Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

76. Скрыто модератором	+/–
Сообщение от Медведь (ok), 22-Окт-25, 02:01
Истерикой растаманов удовлетворен.
Ответить | Правка | Наверх | Cообщить модератору

77. Скрыто модератором	+/–
Сообщение от Аноним (74), 22-Окт-25, 02:04
Не ошибается тот, кто ничего не делает. Давайте зароем топор войны Rust и C!
Ответить | Правка | Наверх | Cообщить модератору

88. Скрыто модератором	+/–
Сообщение от Аноним (88), 22-Окт-25, 04:05
Очередные неосиляторы юнит тестов. Попросили бы ИИ написать, даже самим не надо париться.
Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
Сообщение от Аноним (89), 22-Окт-25, 04:18
> В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon) Тут даже в названии языка уже смысл заложен - CVE
Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
Сообщение от Аноним (90), 22-Окт-25, 05:02
Странно, ведь фанаты Раста говорили, что надо писать код на Раст, потому что в коде на Си в любом случае будут ошибки. Но что-то пошло не так...
Ответить | Правка | Наверх | Cообщить модератору

	95. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
	Сообщение от Аноним (95), 22-Окт-25, 06:10
	> фанаты Раста У него уже фанаты есть?
	Ответить | Правка | Наверх | Cообщить модератору

97. Скрыто модератором	+/–
Сообщение от Аноним (-), 22-Окт-25, 06:35
Всякие разговоры про то, что программы написанные на Расте безопасны - ложь. И перестаньте говорить гадости про чистый Си.
Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в Rust-библиотеках для формата TAR, приводящая к ..."	+/–
Сообщение от Дурка (?), 22-Окт-25, 06:59
Ой... сейчас сбегутся -один человек с шизофриническим разтроением личности- тролли всех мастей без личной жизни и как начнут спорить о расте. Тебе раст, ему раст, всем раст. Вы ж в дурке или забыли? Иначе зачем так много писать про то что все и так интуитивно понимают. А, если вспомнить что такие проблемы по сути только у С\С++, то становится ещё и смешно. Ведь ни у Java, JS, Python и даже go таких проблем нет и не было. Да Rust blazing fast относительно вышеуказанных языков и по сути даёт ещё и облегченный контроль над памятью. Одни ПЛЮСЫ. Кстати да я походу тоже деградировал
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема