forum.opennet.ru - "Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu" (92)

"Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu"	+/–
Сообщение от opennews (??), 18-Мрт-26, 15:42
Компания Qualys выявила уязвимость (CVE-2026-3888) в организации работы связки snap-confine и systemd-tmpfiles в Ubuntu, позволяющую непривилегированному пользователю получить root-доступ к системе. Проблема проявляется в Ubuntu в конфигурации по умолчанию начиная с выпуска 24.04. В Ubuntu 16.04-22.04 уязвимость может быть эксплуатирована в нестандартных конфигурациях, имитирующих поведение более новых версий дистрибутива. В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65014
Ответить \| Правка \| Cообщить модератору

Оглавление

Думаю это надо как-то выделять, не все читают дальше заголовка , Аноним (1), 15:42 , 18-Мрт-26, (1)

Да со snap ом то давно всё понятно, к нему уже вопросов никаких не осталось , Аноним (83), 18:14 , 18-Мрт-26, (83) +11

Можно сократить новость до Уязвимости в Rust Сoreutils, позволяющие получить r, Аноним (97), 18:57 , 18-Мрт-26, (97) +5

Ну да, можно было бы Ибо, судя по вашему посту и посту еще ряда хейтеров, икспе, Проходил мимо (?), 07:32 , 19-Мрт-26, (130) +1

Скрыто модератором, Аноним (139), 10:55 , 19-Мрт-26, (139)

Улучшение безопасности системы прощло успешно Достойное дополнение к этому их v, Аноним (-), 15:44 , 18-Мрт-26, (2) +21

Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хо, Жироватт (ok), 15:48 , 18-Мрт-26, (6) +8
дак проблему нашли и исправили, анон (?), 15:54 , 18-Мрт-26, (10)

А сколько ещё открытий чудных Сколько ещё предстоит найти , Аноним (23), 16:36 , 18-Мрт-26, (23) +3

Много Но _значительно_ меньше, чем если бы еще вдобавок с памятью по сишному иг, Аноним (88), 18:27 , 18-Мрт-26, (88) –1

И пруфом будет - что В упомянутых утилсах последние годы не то чтобы завалы про, Аноним (-), 12:22 , 19-Мрт-26, (142) +1
Достаточно одной дыры на расте, чтобы сломать систему , Аноним (148), 13:55 , 19-Мрт-26, (148)

Написал человек который мало понимает как ломается софт И что во многих случаях , Аноним (150), 14:06 , 19-Мрт-26, (150)

втихую, чтобы майкрософт по попе не надавал слова нет, а уязвимости есть, как т, 12yoexpert (ok), 17:11 , 18-Мрт-26, (46) +1
дак все проблемы со временем находят, в том числе и в сишном коде , Аноним (101), 19:44 , 18-Мрт-26, (101)

Только фанатики со временем не меняются , Аноним (133), 08:06 , 19-Мрт-26, (133)

Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое б, Аноним83 (?), 15:46 , 18-Мрт-26, (4) +10

Именно так В коде была логическая ошибка, на отсутствие которых раст гарантий не, Аноним (8), 15:51 , 18-Мрт-26, (8) +14

Маленький секрет _до_ проверки во время выполнения никаких гарантий быть не мож, Аноним (11), 15:58 , 18-Мрт-26, (11)
Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже Сишн, VVVVVV (?), 15:58 , 18-Мрт-26, (12) –11

Учитывая кол-во ошибок в коде у дыpявых это скорее норма Т е для кодинга на СИ н, Аноним (14), 16:01 , 18-Мрт-26, (14) –3
Если вы дали васяну рут - кого волнуют ваши долбаные микродетали Вы облажались , Аноним (-), 17:08 , 18-Мрт-26, (43) +3

Всех адекватных людей, внезапно У тебя есть проблемы, которые научились решать, , Аноним (52), 17:15 , 18-Мрт-26, (52) +2

А кому этот ваш фреймворк от клаудвари вообще нужен Вот нгинх в любой бочке - ве, Аноним83 (?), 17:34 , 18-Мрт-26, (66)
судо и корутил, пожалуй единственные проекты на расте которые можно назвать, и п, Аноним (122), 03:10 , 19-Мрт-26, (122) +1
Вы себе льстите хайпожоры которых через пару лет поголовно AI вообще заменит в , Аноним (-), 12:37 , 19-Мрт-26, (143)

Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, коде, Аноним83 (?), 17:33 , 18-Мрт-26, (65) +2

Ну раньше все дома лепились из овна и палок Ка к чество дидовых поделок соотве, Аноним (75), 17:45 , 18-Мрт-26, (75) +1

Так и щас не лучше, раст ничего кардинально не изменил Вы всё никак не поймёте ч, Аноним83 (?), 18:06 , 18-Мрт-26, (79) +2

А вы в этом разбираетесь Я как раз это прекрасно понимаю У вас не получится пост, Аноним (84), 18:15 , 18-Мрт-26, (84)

Так а что там с громких взломов, взломали софт или человеков Не видел я с начала, Аноним83 (?), 22:52 , 18-Мрт-26, (116)

Если для тебя Си - это овно и палки, то где же тогда твой компилятор Есть подоз, Аноним (103), 20:01 , 18-Мрт-26, (103)

Не так разве , Аноним (87), 18:26 , 18-Мрт-26, (87) +1

Зато дает гарантии в более замусоренном коде, который количество этих ошибок и у, Аноним (15), 16:02 , 18-Мрт-26, (15) +1

Так иногда пишут чтобы хоть как то работало и вываливают, а потом оказывается чт, Аноним83 (?), 17:38 , 18-Мрт-26, (69)

Ну ок, логическая ошибка в расте А почему фикс то - это замена rm из uutils на , Аноним (29), 16:49 , 18-Мрт-26, (29)

Скрыто модератором, Анон1110м (?), 21:31 , 18-Мрт-26, (110)
Причём тут Раст Вы про Раст хоть читали или видели или хоть как-то изучили в чё, Васян Айтишник (?), 21:34 , 18-Мрт-26, (111)

Я и смотрел и изучал Неплохой язык Но не идеальный, ДядяПетя (?), 22:27 , 18-Мрт-26, (114)

Как любят говорить СИшники ну нашли и исправили чего бухтеть 129315 Сейчас , Аноним (14), 16:03 , 18-Мрт-26, (16) –5

Судя по моей практике компиляния пакетов для этого нашего Линукса, подавляющее б, Ананоним (?), 16:27 , 18-Мрт-26, (20) +2

В проекте xlibre как раз за это и взялись , Аноним (54), 17:16 , 18-Мрт-26, (54)
Это прям больная тема У нас тут продукт в общем он компеляется только на отде, Аноним83 (?), 17:46 , 18-Мрт-26, (76)

Про логи и их строл Как же прекрасны те системы сборки, которые дают чистый л, Ананоним (?), 18:22 , 18-Мрт-26, (86)

Мне объясняли, на проекте в 5К файлов, что с предупреждениями, что без них, все, Tty4 (?), 18:32 , 18-Мрт-26, (89)

Вот это делать не надо Допишут тестов и опять uutils не поддерживают четверть ф, Аноним (28), 16:47 , 18-Мрт-26, (28) +1

И Если это какие-то древние функции, которые не нужны в убунте, то убунте пофиг, Аноним (34), 16:55 , 18-Мрт-26, (34)

Можно, а зачем В coreutils все нужные функции есть , Аноним (28), 17:01 , 18-Мрт-26, (37)
типичная отмазка фанатиков раста если в расте чего-то принципиально нельзя сдел, 12yoexpert (ok), 17:15 , 18-Мрт-26, (51)

А где их принципиально сделать нельзя Вам предлагают - берите и делайте Вам ж, Аноним (52), 17:17 , 18-Мрт-26, (56) –2

нам нужны - мы используем без вендорлока, проприетари, тормозов и корпораций, 12yoexpert (ok), 17:19 , 18-Мрт-26, (59) +2

Ахаха Без корпораций вы cоcете столлмановский хурд Но не буду вас осуждать, м, Аноним (52), 17:25 , 18-Мрт-26, (61) –3
Скрыто модератором, Аноним (93), 18:49 , 18-Мрт-26, (93) –1

Скрыто модератором, 12yoexpert (ok), 23:44 , 18-Мрт-26, (117)

Разве устранена обходным путём до релиза Ubuntu 25 10 через поставку usr bin g, Аноним (29), 16:52 , 18-Мрт-26, (32) +2
Как то вы не очень внимательно новость читаете Проблема выявлена в процессе реце, Аноним (74), 17:42 , 18-Мрт-26, (74)
Вот только Си себя как позиционирует, так и работает, а раст у нас самый безопа, Sm0ke85 (ok), 07:20 , 19-Мрт-26, (129)

А чего это Qualsys взялись за убунту Кто спонсор , Сладкая булочка (?), 16:39 , 18-Мрт-26, (24)

Бубунтувский докер-образ очень часто берут за базу для клепания своих пакетов дл, Аноним (103), 20:10 , 18-Мрт-26, (104) +1

Который ubuntu minimal как раз специально маленький и там нет snap и apparmor вр, Сладкая булочка (?), 03:54 , 19-Мрт-26, (125)

Красота, это в очередной раз доказывает, что Rust небезопасен, как бы не пыталис, Аноним (28), 16:40 , 18-Мрт-26, (25) +3

Так это и не проблема с потоками Это проблема изменения файлов на символическую , Аноним (27), 16:44 , 18-Мрт-26, (27) +1

Т е еще проще, чем состояние гонок в потоках , Аноним (29), 16:53 , 18-Мрт-26, (33) +4

Нет, кто сказал что проще Состояние гонок в потоках только в твоем кода Тут ест, Аноним (27), 16:59 , 18-Мрт-26, (36) +1

ну хз, рукопопы-сишники и CVE-меркеры из GNU как-то сделали, а ты профессионалы , Аноним (29), 17:04 , 18-Мрт-26, (39) +3

CVE-мейкеры, Аноним (29), 17:04 , 18-Мрт-26, (40)
не осилили sort дважды и split , Аноним (52), 17:11 , 18-Мрт-26, (47) –1

Тоже юзеру рута подарили , Аноним (29), 17:15 , 18-Мрт-26, (53) +1

allows local users to modify the ownership of arbitrary files by leveraging a r, Аноним (-), 17:29 , 18-Мрт-26, (62)

Ну допустим это так видимо и правда так Но им то простительно, они ведь инвал, Аноним (29), 18:21 , 18-Мрт-26, (85)

А что не так с безопасностью в Rust В новости где-то упоминаются двойное освобож, Аноним (-), 02:56 , 19-Мрт-26, (121) +1

Так написанное в новости надо сначала суметь прочитать а потом, о ужас, еще и ос, Проходил мимо (?), 07:44 , 19-Мрт-26, (131) +1

Ну так 30 лет делали Или все 40 , Аноним (93), 18:51 , 18-Мрт-26, (94)

Гы , Аноним (70), 17:38 , 18-Мрт-26, (70) +1
Программисты разучились обходить каталоги Чувствительные данные пишутся в общед, Аноним (97), 20:52 , 18-Мрт-26, (108) +1

Привычка из Windows, а ее 90 , Аноним (127), 06:58 , 19-Мрт-26, (127)
Ну тык FOR FUN же 128518 Чего ты хотел Какой будет фан, если вся система бу, Аноним (139), 10:44 , 19-Мрт-26, (137)

Там это, обосрамс у убунты снова произошёл при обновлении из секурити-реп Регре, Аноним (118), 00:14 , 19-Мрт-26, (118) +1

Если такое бывало и на андроиде и на винде, то почему тут не бывает , бывает и н, Аноним (124), 03:39 , 19-Мрт-26, (124)

вот ещё CVE-2026-0866, windows девяностодесять (?), 03:20 , 19-Мрт-26, (123) +1

Rejected reason After the publication of the PoC by the researcher and further , Аноним (-), 07:15 , 19-Мрт-26, (128)

За текущее положение дел скажите все спасибо данному персонажу https github co, Сладкая булочка (?), 04:00 , 19-Мрт-26, (126)

А можно для труъ, чем он отличился , Анонимъ (?), 12:53 , 19-Мрт-26, (144)

А куда ИИ-то смотрел Хотите сказать что не применяют , Аноним (134), 09:53 , 19-Мрт-26, (134)
Из года в год Подмена путей, передача параметров через CLI, подмена переменных , Аноним (135), 10:34 , 19-Мрт-26, (135) +2

а в чем же тогда это ведь язык виновен в ошибках с памятью, а в ошибках с путям, Аноним (122), 13:09 , 19-Мрт-26, (145)

Ээээ У вас весьма интересное понимание ошибки памяти для приложения Давайте т, Аноним (150), 14:04 , 19-Мрт-26, (149)

Не буду упоминать, насколько бесполезным оказалась Ржа в плане уязвимостей, прос, Аноним (139), 10:41 , 19-Мрт-26, (136)

все вопросы к дегенеративной поделке финагнилукс иначе не можетгнилукс по технол, жявамэн (ok), 11:53 , 19-Мрт-26, (140) –1

шиндоус по технологиям остался также в 90х, особенно их хваленная ntfs - это про, Аноним (29), 13:42 , 19-Мрт-26, (146)

Это только начало Ubuntu скриптеры и не такое напишут , Аноним (141), 11:54 , 19-Мрт-26, (141) +1

Последствия изучения безопасных языков , Аноним (148), 13:47 , 19-Мрт-26, (147)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (1), 18-Мрт-26, 15:42

>В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75.
Думаю это надо как-то выделять, не все читают дальше заголовка.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +11 +/–

Сообщение от Аноним (83), 18-Мрт-26, 18:14

Да со snap'ом то давно всё понятно, к нему уже вопросов никаких не осталось.

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +5 +/–

Сообщение от Аноним (97), 18-Мрт-26, 18:57

Можно сократить новость до: "Уязвимости в Rust Сoreutils, позволяющие получить root-привилегии".

Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Проходил мимо (?), 19-Мрт-26, 07:32

Ну да, можно было бы. Ибо, судя по вашему посту и посту еще ряда хейтеров, иксперды с OpenNET написанное все равно либо не читают, либо не способны осознать смысл прочитанного.

Ответить | Правка | Наверх | Cообщить модератору

139. Скрыто модератором +/–

Сообщение от Аноним (139), 19-Мрт-26, 10:55

Нет смысла читать что-то про Раст, если и так понятно - ПРОДАВИЛИ недоязычок и теперь возятся в этой грязи, забрызгивая всех остальных своими никчемушными новостями.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +21 +/–

Сообщение от Аноним (-), 18-Мрт-26, 15:44

> написанном на языке Rust. Уязвимость позволяет
> непривилегированному пользователю получить права root в системе
Улучшение безопасности системы прощло успешно. Достойное дополнение к этому их visuedit'у и что там еще.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +8 +/–

Сообщение от Жироватт (ok), 18-Мрт-26, 15:48

Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хоть трава не расти.
Типичные best prctices

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от анон (?), 18-Мрт-26, 15:54

дак проблему нашли и исправили

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

23. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +3 +/–

Сообщение от Аноним (23), 18-Мрт-26, 16:36

А сколько ещё открытий чудных... Сколько ещё предстоит найти.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –1 +/–

Сообщение от Аноним (88), 18-Мрт-26, 18:27

Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по сишному игрались.

Ответить | Правка | Наверх | Cообщить модератору

142. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (-), 19-Мрт-26, 12:22

> Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по
> сишному игрались.
И пруфом будет - что? В упомянутых утилсах последние годы не то чтобы завалы проблем с памятью дававших атакующим рута был. Так что классическая починка того что не сломано вышла.

Ответить | Правка | Наверх | Cообщить модератору

148. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (148), 19-Мрт-26, 13:55

>  _значительно_ меньше
Достаточно одной дыры на расте, чтобы сломать систему.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

150. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (150), 19-Мрт-26, 14:06

>>  _значительно_ меньше
> Достаточно одной дыры на расте, чтобы сломать систему.
Написал человек который мало понимает как ломается софт.
И что во многих случаях приходится использовать цепочку уязвимостей.
Ну ладно. Но на СИ точно так же достаточно одной дыры.
И в СИшке дыр будет больше.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:11

втихую, чтобы майкрософт по попе не надавал. слова нет, а уязвимости есть, как так?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

101. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (101), 18-Мрт-26, 19:44

дак все проблемы со временем находят, в том числе и в сишном коде.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

133. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (133), 19-Мрт-26, 08:06

Только фанатики со временем не меняются.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +10 +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 15:46

Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое безобразие!!!
Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +14 +/–

Сообщение от Аноним (8), 18-Мрт-26, 15:51

> Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.
Именно так!
В коде была логическая ошибка, на отсутствие которых раст гарантий не дает.
Хорошо, что даже вы это понимаете))

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (11), 18-Мрт-26, 15:58

Маленький секрет: _до_ проверки во время выполнения никаких гарантий быть не может.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –11 +/–

Сообщение от VVVVVV (?), 18-Мрт-26, 15:58

Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Сишники раз за разом показывают свою профнепригодность

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

14. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –3 +/–

Сообщение от Аноним (14), 18-Мрт-26, 16:01

Учитывая кол-во ошибок в коде у дыpявых это скорее норма.
Т.е для кодинга на СИ надо уметь овнокодить.
И если вспомнить историю с unix4, где дырень написали в функции из 50 строк, то наверное при приеме на работу спрашивают "чем отличается логическая ошибка от ...?"
И при правильном ответе сразу прощаются)

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +3 +/–

Сообщение от Аноним (-), 18-Мрт-26, 17:08

> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже.
> Сишники раз за разом показывают свою профнепригодность
Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Вы облажались по полной программе. Профпригодные, тоже мне. Только что умеете других даунплеить - и обделываться с брызгами в "заменах". Да-да, и "фреймворк от клаудфлари" тоже - с двумя жирными вулнами получился. Позволяющими атакующему полностью перехватить сайт. Если у меня сайт взломают от и до - какая мне разница, через доступ к памяти это или просто логическая ошибка? На результат это не влияет.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

52. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от Аноним (52), 18-Мрт-26, 17:15

> Если вы дали васяну рут - кого волнуют ваши долбаные микродетали?
Всех адекватных людей, внезапно!
У тебя есть проблемы, которые научились решать, и есть те, которые еще не научились.
И что сделает любой разумный человек - будет пользоваться инструментом, который умеет решать хотя бы часть проблем.
У вас же подход - сгорел сарай, гори и хата.
>  с двумя жирными вулнами получился.
Всего с двумя. Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари.
Вот то-то и оно.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:34

А кому этот ваш фреймворк от клаудвари вообще нужен?
Вот нгинх в любой бочке - вебсервер, куда ни плюнь.

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (122), 19-Мрт-26, 03:10

судо и корутил, пожалуй единственные проекты на расте которые можно назвать, и проблемы с ошибками, буквально со старта, безопастность говорили они, а ваши отмазки, про нормальных людей, нормальные люди в метро каску не одевают, а вы видимо да

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

143. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (-), 19-Мрт-26, 12:37

> Всех адекватных людей, внезапно!
Вы себе льстите: хайпожоры которых через пару лет поголовно AI вообще заменит в силу их общей безблагодатности - врядли тянут на эту номинацию. Это дешевые расходники IT которые первыми попадут под сокращение.
> У тебя есть проблемы, которые научились решать, и есть те, которые еще
> не научились.
Насколько я вижу вышло классическое "починили то что не сломано" и получили - именно характерный и предсказуемый результат этой активности в виде новых жирных вулнов.
Потому что когда код за цать лет более менее застабилизировался и лажу выбили, самое тупое что можно придумать - все разломать и начать заново. Сразу видно людей которые в менеджменте ни в зуб ногой и как failure rate over time в проектах бывает - они совсем не одупляют. Но чудес не бывает - и теперь у хайпожоров опять будет более другой failure rate а все эти блеяния про безопасность - фикция, и на практике будет ровно наоборот.
> И что сделает любой разумный человек - будет пользоваться инструментом, который умеет
> решать хотя бы часть проблем.
Разумный человкк - использует здравый смысл. И последнее что он будет делать это устраивать диверсии в застабилизированном более-менее куске кода во имя хайпа как тут. Но убунта и разумные люди - живут по разную сторону улицы, убунта всегда была про хайпожорство. И периодически за это огребала тупых вулнов на ровном месте, и просто всяких глупых инженерных факапов.
Вплоть до того что на десктопах уже народ давно стал всякие минты и что там еще предпочитать, а ЭТО живет в основном за счет демпинга на серверном рынке, по большому то счету. В остальном связываться с этим глюкавым трешом смысла мало. Но вот у них можно получить ливпатчи кернела на шару и довольно LTSно. Это пожалуй единственное что реально держит народ на убунтах. В остальном это уже давно кусок багованого трешовника. Особенно в разработках и "улучшениях" от именно убунты, начиная с их нерабочих питонапдейтеров, каких там еще кривых MAAS которые они пхали в каждую дырку, и что там за BS у них еще был.
> У вас же подход - сгорел сарай, гори и хата.
У нас подход: не чините то что не сломано. Потому что мы в курсе что будет. Сабж прозрачно намекает - что.
>>  с двумя жирными вулнами получился.
> Всего с двумя.
Чтобы про#$%ть сайт и огрести "whole world of trouble" на свою тыкву - хватит и 1 критикала такого плана в общем то. И в отличие от нжинкса - системный пакетник мне не вкатит автоматически апдейт на эту драшу, при том - гарантируя compat и отсутствие breakage более-менее.
А в этой клаудхрени
* Придется самому качать апдейты и ребилдить это все.
* Если это не промониторить лично - сайту будет амба.
* При сборке на раз окажется что клаудфлар что-то поменял несовместимо - потому что клал он на всех кроме себяю.
И вот вы такие с вулном и без фикса в темпе вальса пытаетесь придумать чем заткнуть эту пробоину вообще и чтоб посудина на плаву осталась. А мне точно надо - софт и серваки эксплуатируемые в режиме посудины с пробоиной которую заткнуть нечем? :)
Вот поэтому у меня на тахиках будет nginx - а вы можете юзать ЭТО, если хотите.
> Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари.
Когда фреймворк от клаудфлари будет юзаться таким же количеством эксплуатантов столько же лет - и наступит время сравнивать.
> Вот то-то и оно.
Вот то-то и оно - получается только всякое ненужное проблемное овно под дикий ор как это якобы-круто.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

65. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:33

Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С?
Может в вашей картине мира что то не так?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

75. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (75), 18-Мрт-26, 17:45

> Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С?
Ну.. раньше все дома лепились из овна и палок.
Ка(к)чество дидовых поделок соответствовало технологиям прошлого тысячелетия.
CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8
Heartbleed (CVE-2014-0160)
Перечислять можно бесконечно)
> Может в вашей картине мира что то не так?
Или в вашей.
Вангую "и так сойдет" и "вас что взломали"))

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 18:06

Так и щас не лучше, раст ничего кардинально не изменил.
Вы всё никак не поймёте что безопасность это комплексный процесс, включающий в себя разные уровни, от предотвращения и минимизации рисков, разными путями, до компенсации последствий.
Раст-нираст - вообще пофиг для безопасности системы.
Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. Минимизация прав в системе. Отдельные виртуалки/сервера под разные роли. Бэкапы. Тренированный персонал на восстановление из бэкапов. Страховка на бабло в обычной страховой компании. И ещё всякое разное, включая хорошую дверь, вахтёра и сигнализацию в ментовку.
Heartbleed (CVE-2014-0160) - стоил мне рублей 50, во столько я оцениваю свои работу для самого себя по замене самоподписного сертификата на моём домашнем сервере. Хотя нет, я тогда забил, у меня ничего ценного через TLS не ходило вообще.
CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 - хз, ну оверфлоу и оверфлоу - дальше что? nginx взбунтуется и под своим www юзером прочитает из темпа что то?)
Учитывая что у меня не попсовая ОС то риск поймать эксплоит под убунту/цент - 0, для таргетированной атаки я никому не интересен чтобы на меня время тратить.
И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка - чем было бы писать на пхп и каждую неделю выпускать фиксы для цве9.999.
Основные по ущербу атаки были таргетированными, и далеко не всегда узким местом был код - часто это люди.
Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под них трудно автоматизировать и получить широкий охват. Иногда это удаётся, типа log4j но тут "логическая ошибка" а не "дыряшка".
В общем не там вы ищите спокойствия душевного, ширее надо мыслить.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (84), 18-Мрт-26, 18:15

> Так и щас не лучше, раст ничего кардинально не изменил.
А вы в этом разбираетесь?
> Вы всё никак не поймёте что безопасность это комплексный процесс,
Я как раз это прекрасно понимаю.
> Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп.
У вас не получится построит стену, если из материалов только навоз.
> Heartbleed (CVE-2014-0160) - стоил мне рублей 50
А бомжу под мостов вообще ноль))
Он даже не знает что такое SSL.
> И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка
Но пруфов вы не предоставите)
Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку".
> Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под  них трудно автоматизировать и получить широкий охват.
> В общем не там вы ищите спокойствия душевного, ширее надо мыслить.
А лучше делать хорошо и хорошо будет.

Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 22:52

Так а что там с громких взломов, взломали софт или человеков?
Не видел я с начала 2000х эпидемий массовых чтобы кучу всего поломали за раз и чтобы это ещё и денег стоило.
У меня за 26 лет не так уж и много всего было, из того что помню только один раз была штука которая полностью сама всё сломала - велчна через дыру в самбе, это ещё до того как в ХР фаер появился, 2003 год.
От чиха пару раз лечился. Был один червяк на который я повёлся - социнженерия, притом там реально игра с червяками была :)
Была куча VBA всякого хлама, но их я добывал с компов в универе, они там размножались.
И на работе был вирус который папками прикидывался на флешках, а сам прятал ориг папку - короче тоже социнженерия.
Помню в аутлук експресс вместо wav прикрепляли exe и аутглюк эту музыку сам запускал, но это как вы называете "логическая ошибка".
Поэтому я весьма скептично настроен по отношению к этим вашим CVE - типа они есть, а на практике ничего не происходит.
Намного чаще я страдал от того что проги просто сами падали (хотя памяти ЕСС не было, так что как знать сами или железо).

> Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку".
Если производить 0 строчек кода в год, то и возвращать будет нечего :)
А так, мне начальник (и владелец бузинеса) говорил что надо в начале сделать, потом продать, а уже на вырученные деньги можно будет доводить до ума :)))
Иногда можно в начале продать, а потом сделать. Это просто идеальный комм кейс.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (103), 18-Мрт-26, 20:01

Если для тебя Си - это овно и палки, то где же тогда твой компилятор? Есть подозрение, что если тебе дать 2 недели и сколько хочешь денег на переписывание баша на Rust, максимум что ты сможешь сделать - это запихнуть исходники в кланкера и получить на выходе нечто с десятью новыми уязвимостями, просто потому что ни ты, ни кланкер не умеют разбираться в том, как работает _система_ под которую ты пишешь код.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

87. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (87), 18-Мрт-26, 18:26

> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже.
Не так разве?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (15), 18-Мрт-26, 16:02

Зато дает гарантии в более замусоренном коде, который количество этих ошибок и увеличивает.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

69. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:38

Так иногда пишут чтобы хоть как то работало и вываливают, а потом оказывается что это всем надо. Но желающих и способных сделать лучше не находится. Так и живём.
Я вот знаю=пользуюсь двумя проектами на крестах. Как же плохо, даже ужасно они оба написаны... но сил/времени/желания их переписывать у меня нет, приходится страдать. Аналоги на мой вкус или хуже или менее мне нравятся.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (29), 18-Мрт-26, 16:49

Ну ок, логическая ошибка в расте. А почему фикс то - это замена rm из uutils на сишную rm из gnu? Типа, мы тут все на безопасном языке переписываем... ой, тут пока небезопасно - пользуйтесь rm из cioreutils.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

110. Скрыто модератором +/–

Сообщение от Анон1110м (?), 18-Мрт-26, 21:31

Это другое. Понимать надо.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

111. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Васян Айтишник (?), 18-Мрт-26, 21:34

Причём тут Раст? Вы про Раст хоть читали или видели или хоть как-то изучили в чём его фишка? Похоже что нет. НУ идите дальше гостевые книжки пишите на РНР и не отсвечивайте :)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

114. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от ДядяПетя (?), 18-Мрт-26, 22:27

Я и смотрел и изучал. Неплохой язык. Но не идеальный

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –5 +/–

Сообщение от Аноним (14), 18-Мрт-26, 16:03

Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣
Сейчас поисправляют ошибки, которые не мог найти компилятор.
Допишут тестов.
Всё равно гнутые поделки возвращать не будут.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от Ананоним (?), 18-Мрт-26, 16:27

Судя по моей практике компиляния пакетов для этого нашего Линукса, подавляющее большинство компилятся с огромной кучей предупреждений, которые вообще никто даже не пытается читать и исправлять. Похоже разработчики так рады от щасця что это их г... продукт вообще компилится, что забывают о предупреждениях компилера.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (54), 18-Мрт-26, 17:16

В проекте xlibre как раз за это и взялись.

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:46

Это прям больная тема.
У нас тут продукт... в общем он компеляется только на отдельной билдмашине, и разрабы естессно лог компеляции не читают, типа собралось значит ок.
Короче мне это надоело и я добавил -Werror :)
Если брать большие проекты типа той же FreeBSD или просто огромные всякие типа OpenToonz то там много и долго компеляется, даже при сборке у себя скролить лог то ещё удовольствие.
Плюс всякие внешние компоненты, которые разрабатывают в других местах другие люди...

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

86. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Ананоним (?), 18-Мрт-26, 18:22

Про логи и их строл... Как же прекрасны те системы сборки, которые дают чистый лог только с именами файлов (+путь к ним). А не вот это всё с килобайтом аргументов для каждого вызова компилера для единицы трансляции.

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Tty4 (?), 18-Мрт-26, 18:32

Мне объясняли, на проекте в ~5К файлов, что с предупреждениями, что без них, все равно мозг взрывается. 2 недели, пара десятков серьезных проблем косков исправлено и терпеть собирается без предупреждений. Но так же неинтересно!

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (28), 18-Мрт-26, 16:47

>Допишут тестов.
Вот это делать не надо. Допишут тестов и опять uutils не поддерживают четверть функционала coreutils.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

34. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (34), 18-Мрт-26, 16:55

> uutils не поддерживают четверть функционала coreutils.
И?
Если это какие-то древние функции, которые не нужны в убунте, то убунте пофиг.
Если кому-то надо - садитесь и дописывайте.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (28), 18-Мрт-26, 17:01

>Если кому-то надо - садитесь и дописывайте.
Можно, а зачем? В coreutils все нужные функции есть.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:15

типичная отмазка фанатиков раста: если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

56. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –2 +/–

Сообщение от Аноним (52), 18-Мрт-26, 17:17

> если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно
А где их "принципиально сделать нельзя"?
Вам предлагают - берите и делайте. Вам же нужны эти утилиты.
Но вы  ̶л̶е̶н̶и̶в̶ы̶е̶ ̶м̶у̶д̶и̶л̶ы̶ хотите чтобы кто-то сделал за вас.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:19

нам нужны - мы используем. без вендорлока, проприетари, тормозов и корпораций

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –3 +/–

Сообщение от Аноним (52), 18-Мрт-26, 17:25

> нам нужны - мы используем. без вендорлока, проприетари, тормозов и корпораций
Ахаха! Без корпораций вы cоcете столлмановский хурд))
Но не буду вас осуждать, мы терпимо относимся к таким девиантам.
Но раз вы без корпораций, что же вы к ubuntu лезете? Стокгольмский синдром такой?

Ответить | Правка | Наверх | Cообщить модератору

93. Скрыто модератором –1 +/–

Сообщение от Аноним (93), 18-Мрт-26, 18:49

Ну это как раз временно. ОколоGNU/FSF спонсируется корпоративными спонсорами для производства glibc, coreutils, и пары других полезных в коммерческом проде проектов. Когда это всё будет заменено на свободные аналоги, кому-то придётся снимать костюм антилопы и идти мыть полы в госпитале. Но мы -- как видно по обсуждаемой новости -- пока ещё не там. Опенсорс мёртв, он просто ещё не осознал этого.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

117. Скрыто модератором +/–

Сообщение от 12yoexpert (ok), 18-Мрт-26, 23:44

> я нитакуся, ляляля, я нитакуся, ляляля

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от Аноним (29), 18-Мрт-26, 16:52

> поставку /usr/bin/gnurm вместо uutils rm
Разве? устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

74. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (74), 18-Мрт-26, 17:42

>Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣
>Всё равно гнутые поделки возвращать не будут.
Как то вы не очень внимательно новость читаете:
Проблема выявлена в процессе рецензирования изменений в Ubuntu 25.10 и устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

129. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Sm0ke85 (ok), 19-Мрт-26, 07:20

>Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣
>Сейчас поисправляют ошибки, которые не мог найти компилятор.
>Допишут тестов.
>Всё равно гнутые поделки возвращать не будут.
Вот только Си себя как позиционирует, так и работает, а раст у нас "самый безопасный", но не годится даже на "просто переписать код" - дыра на дыре...

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

24. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Сладкая булочка (?), 18-Мрт-26, 16:39

А чего это Qualsys взялись за убунту? Кто спонсор?

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (103), 18-Мрт-26, 20:10

Бубунтувский докер-образ очень часто берут за базу для клепания своих пакетов для запуска какого-нибудь недосервера на руби. Наверное отсюда интерес и спонсоры.

Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Сладкая булочка (?), 19-Мрт-26, 03:54

> Бубунтувский докер-образ очень часто берут за базу для клепания своих пакетов для
> запуска какого-нибудь недосервера на руби. Наверное отсюда интерес и спонсоры.
Который ubuntu:minimal как раз специально маленький и там нет snap и apparmor вроде как.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +3 +/–

Сообщение от Аноним (28), 18-Мрт-26, 16:40

Красота, это в очередной раз доказывает, что Rust небезопасен, как бы не пытались утверждать обратное.
>Проблема вызвана состоянием гонки
Но разве Rust не создавался в том числе для решения проблем работы с потоками?

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (27), 18-Мрт-26, 16:44

> Но разве Rust не создавался в том числе для решения проблем работы с потоками?
Так это и не проблема с потоками.
Это проблема изменения файлов на символическую ссылку внешним приложением.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +4 +/–

Сообщение от Аноним (29), 18-Мрт-26, 16:53

Т.е. еще проще, чем состояние гонок в потоках.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (27), 18-Мрт-26, 16:59

> Т.е. еще проще, чем состояние гонок в потоках.
Нет, кто сказал что проще?
Состояние гонок в потоках только в твоем кода. Тут есть внешний фактор.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +3 +/–

Сообщение от Аноним (29), 18-Мрт-26, 17:04

ну хз, рукопопы-сишники и CVE-меркеры из GNU как-то сделали, а ты профессионалы да еще и на безопасносном расте в симлинках запутались.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (29), 18-Мрт-26, 17:04

*CVE-мейкеры

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –1 +/–

Сообщение от Аноним (52), 18-Мрт-26, 17:11

> рукоопые-сишники из GNU
не осилили sort (дважды) и split.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

53. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (29), 18-Мрт-26, 17:15

>> рукоопые-сишники из GNU
> не осилили sort (дважды) и split.
Тоже юзеру рута подарили?

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (-), 18-Мрт-26, 17:29

> Тоже юзеру рута подарили?
"allows local users to modify the ownership of arbitrary files by leveraging a race condition"
Причем тоже запутались с симлинками:
"chown and chgrp does not prevent replacement of a plain file with a symlink during use of the POSIX "-R -L" options"
C Potential exploit кстати.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (29), 18-Мрт-26, 18:21

>> Тоже юзеру рута подарили?
> "allows local users to modify the ownership of arbitrary files by leveraging
> a race condition"
> Причем тоже запутались с симлинками:
> "chown and chgrp does not prevent replacement of a plain file with
> a symlink during use of the POSIX "-R -L" options"
> C Potential exploit кстати.
Ну допустим это так (видимо и правда так). Но им то простительно, они ведь инвалиды мозга и диды + еще и на сишке. Что с них взять то... Но почему эльфы да еще и с безопасным растом оказались не лучше?

Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (-), 19-Мрт-26, 02:56

А что не так с безопасностью в Rust?
В новости где-то упоминаются двойное освобождение, запись за пределы буфера или состояния гонки данных?

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Проходил мимо (?), 19-Мрт-26, 07:44

Так написанное в новости надо сначала суметь прочитать а потом, о ужас, еще и осознать написанное. То есть тут думать надо, а это слишком сложная задача для хейтеров Rust-а.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (93), 18-Мрт-26, 18:51

> как-то сделали
Ну так 30 лет делали. Или все 40?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

70. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (70), 18-Мрт-26, 17:38

> Несмотря на то, что права изменены внутри sandbox-окружения, файл с изменёнными правами доступен и в основной системе
Гы...

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (97), 18-Мрт-26, 20:52

Программисты разучились обходить каталоги. Чувствительные данные пишутся в общедоступное место. Системные настройки легко меняются на пользовательские. Современные тенденции.

Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (127), 19-Мрт-26, 06:58

> Современные тенденции.
Привычка из Windows, а ее 90%.

Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (139), 19-Мрт-26, 10:44

Ну тык FOR FUN же! 😆 Чего ты хотел? Какой будет фан, если вся система будет устойчива как мраморная глыба?

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

118. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (118), 19-Мрт-26, 00:14

Там это, обосрамс у убунты снова произошёл при обновлении из секурити-реп. Регрессия которая валит пачку программ работающих с изображениями. Новость кто-нибудь пилить будет вообще?
https://www.reddit.com/r/linuxquestions/comments/1rx90wb/can...,apt%2Dmark%20hold%20libexiv2%2D27%20;%20Restart%20Dolphin/Okular/Gwenview/GIMP/gThumb/KIO%20etc.
https://www.reddit.com/r/linuxmint/comments/1rwz9fr/nemo_is_.../
https://bugs.launchpad.net/ubuntu/+source/exiv2/+bug/2144759
https://bugs.launchpad.net/ubuntu/+source/gimp/+bug/2144731

Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (124), 19-Мрт-26, 03:39

Если такое бывало и на андроиде и на винде, то почему тут не бывает , бывает и не только

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от windows девяностодесять (?), 19-Мрт-26, 03:20

вот ещё CVE-2026-0866

Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (-), 19-Мрт-26, 07:15

Rejected reason: After the publication of the PoC by the researcher and further analysis, we have determined that this issue does not constitute a valid vulnerability. The technique described is an obfuscation method and does not bypass or impact any implicit or explicit security controls.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Сладкая булочка (?), 19-Мрт-26, 04:00

За текущее положение дел скажите все спасибо данному персонажу https://github.com/jnsgruk

Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Анонимъ (?), 19-Мрт-26, 12:53

> За текущее положение дел скажите все спасибо данному персонажу https://github.com/jnsgruk
А можно для труъ, чем он отличился?

Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (134), 19-Мрт-26, 09:53

А куда ИИ-то смотрел? Хотите сказать что не применяют?

Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от Аноним (135), 19-Мрт-26, 10:34

Из года в год. Подмена путей, передача параметров через CLI, подмена переменных окружения, подкладывание библиотек.
Кажется тут дело не в языке.

Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (122), 19-Мрт-26, 13:09

а в чем же тогда? это ведь язык виновен в ошибках с памятью, а в ошибках с путями внезапно нет, хотя и адрес в памяти и путь к файлу в сути одно и тоже - указаль на память, озу или пзу.
фанатично верование в то что избавление от одного вектора атаки (из многих) делает чтото безопаснее, это самообман, да в теории на 0.01 это так. но картины в целом не меняет, пусть даже 10% там будет, но ценой усложнения, и при этом в расте нет базовых вещей, как то библиотек, полноценно нет.
вам говорили, что переписывание ничего не решит, избавитесь от одних ошибок, но насажаете других, и ровно это происходит.
тогда зачем переписывать? проще исправить ошибки в том что уже написано, чем переписывать, и исправлять..глупые вы

Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (150), 19-Мрт-26, 14:04

> это ведь язык виновен в ошибках с памятью, а в ошибках с путями внезапно нет, хотя и адрес в памяти и путь к файлу в сути одно и тоже  - указаль на память, озу или пзу.
Ээээ? У вас весьма интересное понимание "ошибки памяти" для приложения.
Давайте туда запишем еще приступы склероза у разработчика?
> фанатично верование в то что избавление от одного вектора атаки (из многих) делает чтото безопаснее, это самообман,
Но подтверждений вы никаких не дадите.
Потому что они это "фанатичный хейт" в вашей голове.
> но картины в целом не меняет, пусть даже 10% там будет, но ценой усложнения,
Усложнения? У гугла раст команды эффективнее чем СИ/С++.
Возможно дело в неосиляторстве?
> вам говорили, что переписывание ничего не решит, избавитесь от одних ошибок, но насажаете других, и ровно это происходит.
Бездоказательное вранье.
Избавившись от одних ошибок вы насажаете другие.
А в случае дырявых - у вас будут и те, и другие.
> проще исправить ошибки в том что уже написано, чем переписывать, и исправлять..
За 50+ лет дырявые не смогли исправить ошибки порождаемые СИшкой.
Подождать еще 50?
> глупые вы
Может и глупые, но у десятков миллионов людей раст уже работает.
И лучше чем дырявые ЯП.

Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (139), 19-Мрт-26, 10:41

Не буду упоминать, насколько бесполезным оказалась Ржа в плане уязвимостей, просто замечу: тухлая система прав user/group/all давно уже не работает. Одна только ДЫРИЩЩЕНСКАЯ идея "повышения привилегий" говорит о том, что "абстракция течёт". Не должно быть вообще такой функции "сделай-ка меня на секунду богом!" - система должна работать по чётким правилам привилегий без запроса "высших сил".

Ответить | Правка | Наверх | Cообщить модератору

140. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –1 +/–

Сообщение от жявамэн (ok), 19-Мрт-26, 11:53

все вопросы к дегенеративной поделке фина
гнилукс иначе не может
гнилукс по технологиям остался в 90-х
до шиндошса или мака ему как до китая

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (29), 19-Мрт-26, 13:42

шиндоус по технологиям остался также в 90х, особенно их хваленная ntfs - это просто копролит в плане дизайна FS. Да и как всё остальное в винде.
Мак - это ж вроде XNU, Mach и тд - это вообще 80е.

Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (141), 19-Мрт-26, 11:54

>связки snap-confine и systemd-tmpfiles в Ubuntu
Это только начало. Ubuntu скриптеры и не такое напишут.

Ответить | Правка | Наверх | Cообщить модератору

147. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (148), 19-Мрт-26, 13:47

Последствия изучения безопасных языков.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
Сообщение от Аноним (1), 18-Мрт-26, 15:42
>В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75. Думаю это надо как-то выделять, не все читают дальше заголовка.
Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+11 +/–
	Сообщение от Аноним (83), 18-Мрт-26, 18:14
	Да со snap'ом то давно всё понятно, к нему уже вопросов никаких не осталось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	97. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+5 +/–
	Сообщение от Аноним (97), 18-Мрт-26, 18:57
	Можно сократить новость до: "Уязвимости в Rust Сoreutils, позволяющие получить root-привилегии".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	130. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Проходил мимо (?), 19-Мрт-26, 07:32
	Ну да, можно было бы. Ибо, судя по вашему посту и посту еще ряда хейтеров, иксперды с OpenNET написанное все равно либо не читают, либо не способны осознать смысл прочитанного.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	139. Скрыто модератором	+/–
	Сообщение от Аноним (139), 19-Мрт-26, 10:55
	Нет смысла читать что-то про Раст, если и так понятно - ПРОДАВИЛИ недоязычок и теперь возятся в этой грязи, забрызгивая всех остальных своими никчемушными новостями.
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+21 +/–
Сообщение от Аноним (-), 18-Мрт-26, 15:44
> написанном на языке Rust. Уязвимость позволяет > непривилегированному пользователю получить права root в системе Улучшение безопасности системы прощло успешно. Достойное дополнение к этому их visuedit'у и что там еще.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+8 +/–
	Сообщение от Жироватт (ok), 18-Мрт-26, 15:48
	Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хоть трава не расти. Типичные best prctices
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от анон (?), 18-Мрт-26, 15:54
	дак проблему нашли и исправили
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	23. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+3 +/–
	Сообщение от Аноним (23), 18-Мрт-26, 16:36
	А сколько ещё открытий чудных... Сколько ещё предстоит найти.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–1 +/–
	Сообщение от Аноним (88), 18-Мрт-26, 18:27
	Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по сишному игрались.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	142. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Аноним (-), 19-Мрт-26, 12:22
	> Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по > сишному игрались. И пруфом будет - что? В упомянутых утилсах последние годы не то чтобы завалы проблем с памятью дававших атакующим рута был. Так что классическая починка того что не сломано вышла.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	148. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (148), 19-Мрт-26, 13:55
	> _значительно_ меньше Достаточно одной дыры на расте, чтобы сломать систему.
	Ответить \| Правка \| К родителю #88 \| Наверх \| Cообщить модератору


	150. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (150), 19-Мрт-26, 14:06
	>> _значительно_ меньше > Достаточно одной дыры на расте, чтобы сломать систему. Написал человек который мало понимает как ломается софт. И что во многих случаях приходится использовать цепочку уязвимостей. Ну ладно. Но на СИ точно так же достаточно одной дыры. И в СИшке дыр будет больше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:11
	втихую, чтобы майкрософт по попе не надавал. слова нет, а уязвимости есть, как так?
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	101. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (101), 18-Мрт-26, 19:44
	дак все проблемы со временем находят, в том числе и в сишном коде.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	133. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (133), 19-Мрт-26, 08:06
	Только фанатики со временем не меняются.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+10 +/–
Сообщение от Аноним83 (?), 18-Мрт-26, 15:46
Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое безобразие!!! Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+14 +/–
	Сообщение от Аноним (8), 18-Мрт-26, 15:51
	> Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед. Именно так! В коде была логическая ошибка, на отсутствие которых раст гарантий не дает. Хорошо, что даже вы это понимаете))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (11), 18-Мрт-26, 15:58
	Маленький секрет: _до_ проверки во время выполнения никаких гарантий быть не может.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–11 +/–
	Сообщение от VVVVVV (?), 18-Мрт-26, 15:58
	Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Сишники раз за разом показывают свою профнепригодность
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	14. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–3 +/–
	Сообщение от Аноним (14), 18-Мрт-26, 16:01
	Учитывая кол-во ошибок в коде у дыpявых это скорее норма. Т.е для кодинга на СИ надо уметь овнокодить. И если вспомнить историю с unix4, где дырень написали в функции из 50 строк, то наверное при приеме на работу спрашивают "чем отличается логическая ошибка от ...?" И при правильном ответе сразу прощаются)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+3 +/–
	Сообщение от Аноним (-), 18-Мрт-26, 17:08
	> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. > Сишники раз за разом показывают свою профнепригодность Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Вы облажались по полной программе. Профпригодные, тоже мне. Только что умеете других даунплеить - и обделываться с брызгами в "заменах". Да-да, и "фреймворк от клаудфлари" тоже - с двумя жирными вулнами получился. Позволяющими атакующему полностью перехватить сайт. Если у меня сайт взломают от и до - какая мне разница, через доступ к памяти это или просто логическая ошибка? На результат это не влияет.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	52. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+2 +/–
	Сообщение от Аноним (52), 18-Мрт-26, 17:15
	> Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Всех адекватных людей, внезапно! У тебя есть проблемы, которые научились решать, и есть те, которые еще не научились. И что сделает любой разумный человек - будет пользоваться инструментом, который умеет решать хотя бы часть проблем. У вас же подход - сгорел сарай, гори и хата. > с двумя жирными вулнами получился. Всего с двумя. Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари. Вот то-то и оно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним83 (?), 18-Мрт-26, 17:34
	А кому этот ваш фреймворк от клаудвари вообще нужен? Вот нгинх в любой бочке - вебсервер, куда ни плюнь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	122. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Аноним (122), 19-Мрт-26, 03:10
	судо и корутил, пожалуй единственные проекты на расте которые можно назвать, и проблемы с ошибками, буквально со старта, безопастность говорили они, а ваши отмазки, про нормальных людей, нормальные люди в метро каску не одевают, а вы видимо да
	Ответить \| Правка \| К родителю #52 \| Наверх \| Cообщить модератору


	143. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (-), 19-Мрт-26, 12:37
	> Всех адекватных людей, внезапно! Вы себе льстите: хайпожоры которых через пару лет поголовно AI вообще заменит в силу их общей безблагодатности - врядли тянут на эту номинацию. Это дешевые расходники IT которые первыми попадут под сокращение. > У тебя есть проблемы, которые научились решать, и есть те, которые еще > не научились. Насколько я вижу вышло классическое "починили то что не сломано" и получили - именно характерный и предсказуемый результат этой активности в виде новых жирных вулнов. Потому что когда код за цать лет более менее застабилизировался и лажу выбили, самое тупое что можно придумать - все разломать и начать заново. Сразу видно людей которые в менеджменте ни в зуб ногой и как failure rate over time в проектах бывает - они совсем не одупляют. Но чудес не бывает - и теперь у хайпожоров опять будет более другой failure rate а все эти блеяния про безопасность - фикция, и на практике будет ровно наоборот. > И что сделает любой разумный человек - будет пользоваться инструментом, который умеет > решать хотя бы часть проблем. Разумный человкк - использует здравый смысл. И последнее что он будет делать это устраивать диверсии в застабилизированном более-менее куске кода во имя хайпа как тут. Но убунта и разумные люди - живут по разную сторону улицы, убунта всегда была про хайпожорство. И периодически за это огребала тупых вулнов на ровном месте, и просто всяких глупых инженерных факапов. Вплоть до того что на десктопах уже народ давно стал всякие минты и что там еще предпочитать, а ЭТО живет в основном за счет демпинга на серверном рынке, по большому то счету. В остальном связываться с этим глюкавым трешом смысла мало. Но вот у них можно получить ливпатчи кернела на шару и довольно LTSно. Это пожалуй единственное что реально держит народ на убунтах. В остальном это уже давно кусок багованого трешовника. Особенно в разработках и "улучшениях" от именно убунты, начиная с их нерабочих питонапдейтеров, каких там еще кривых MAAS которые они пхали в каждую дырку, и что там за BS у них еще был. > У вас же подход - сгорел сарай, гори и хата. У нас подход: не чините то что не сломано. Потому что мы в курсе что будет. Сабж прозрачно намекает - что. >> с двумя жирными вулнами получился. > Всего с двумя. Чтобы про#$%ть сайт и огрести "whole world of trouble" на свою тыкву - хватит и 1 критикала такого плана в общем то. И в отличие от нжинкса - системный пакетник мне не вкатит автоматически апдейт на эту драшу, при том - гарантируя compat и отсутствие breakage более-менее. А в этой клаудхрени * Придется самому качать апдейты и ребилдить это все. * Если это не промониторить лично - сайту будет амба. * При сборке на раз окажется что клаудфлар что-то поменял несовместимо - потому что клал он на всех кроме себяю. И вот вы такие с вулном и без фикса в темпе вальса пытаетесь придумать чем заткнуть эту пробоину вообще и чтоб посудина на плаву осталась. А мне точно надо - софт и серваки эксплуатируемые в режиме посудины с пробоиной которую заткнуть нечем? :) Вот поэтому у меня на тахиках будет nginx - а вы можете юзать ЭТО, если хотите. > Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари. Когда фреймворк от клаудфлари будет юзаться таким же количеством эксплуатантов столько же лет - и наступит время сравнивать. > Вот то-то и оно. Вот то-то и оно - получается только всякое ненужное проблемное овно под дикий ор как это якобы-круто.
	Ответить \| Правка \| К родителю #52 \| Наверх \| Cообщить модератору


	65. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+2 +/–
	Сообщение от Аноним83 (?), 18-Мрт-26, 17:33
	Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С? Может в вашей картине мира что то не так?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	75. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Аноним (75), 18-Мрт-26, 17:45
	> Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С? Ну.. раньше все дома лепились из овна и палок. Ка(к)чество дидовых поделок соответствовало технологиям прошлого тысячелетия. CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 Heartbleed (CVE-2014-0160) Перечислять можно бесконечно) > Может в вашей картине мира что то не так? Или в вашей. Вангую "и так сойдет" и "вас что взломали"))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+2 +/–
	Сообщение от Аноним83 (?), 18-Мрт-26, 18:06
	Так и щас не лучше, раст ничего кардинально не изменил. Вы всё никак не поймёте что безопасность это комплексный процесс, включающий в себя разные уровни, от предотвращения и минимизации рисков, разными путями, до компенсации последствий. Раст-нираст - вообще пофиг для безопасности системы. Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. Минимизация прав в системе. Отдельные виртуалки/сервера под разные роли. Бэкапы. Тренированный персонал на восстановление из бэкапов. Страховка на бабло в обычной страховой компании. И ещё всякое разное, включая хорошую дверь, вахтёра и сигнализацию в ментовку. Heartbleed (CVE-2014-0160) - стоил мне рублей 50, во столько я оцениваю свои работу для самого себя по замене самоподписного сертификата на моём домашнем сервере. Хотя нет, я тогда забил, у меня ничего ценного через TLS не ходило вообще. CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 - хз, ну оверфлоу и оверфлоу - дальше что? nginx взбунтуется и под своим www юзером прочитает из темпа что то?) Учитывая что у меня не попсовая ОС то риск поймать эксплоит под убунту/цент - 0, для таргетированной атаки я никому не интересен чтобы на меня время тратить. И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка - чем было бы писать на пхп и каждую неделю выпускать фиксы для цве9.999. Основные по ущербу атаки были таргетированными, и далеко не всегда узким местом был код - часто это люди. Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под них трудно автоматизировать и получить широкий охват. Иногда это удаётся, типа log4j но тут "логическая ошибка" а не "дыряшка". В общем не там вы ищите спокойствия душевного, ширее надо мыслить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (84), 18-Мрт-26, 18:15
	> Так и щас не лучше, раст ничего кардинально не изменил. А вы в этом разбираетесь? > Вы всё никак не поймёте что безопасность это комплексный процесс, Я как раз это прекрасно понимаю. > Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. У вас не получится построит стену, если из материалов только навоз. > Heartbleed (CVE-2014-0160) - стоил мне рублей 50 А бомжу под мостов вообще ноль)) Он даже не знает что такое SSL. > И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка Но пруфов вы не предоставите) Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку". > Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под них трудно автоматизировать и получить широкий охват. > В общем не там вы ищите спокойствия душевного, ширее надо мыслить. А лучше делать хорошо и хорошо будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору