Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu"	+/–
Сообщение от opennews (??), 18-Мрт-26, 15:42
Компания Qualys выявила уязвимость (CVE-2026-3888) в организации работы связки snap-confine и systemd-tmpfiles  в Ubuntu, позволяющую непривилегированному пользователю получить root-доступ к системе. Проблема проявляется в Ubuntu в конфигурации по умолчанию начиная с выпуска 24.04. В Ubuntu 16.04-22.04 уязвимость может быть эксплуатирована в нестандартных конфигурациях, имитирующих поведение более новых версий дистрибутива.  В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В  snapd проблема устранена в обновлении 2.75... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65014
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 18-Мрт-26, 15:42	+/–
>В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75. Думаю это надо как-то выделять, не все читают дальше заголовка.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #83

2. Сообщение от Аноним (-), 18-Мрт-26, 15:44	+8 +/–
> написанном на языке Rust. Уязвимость позволяет > непривилегированному пользователю получить права root в системе Улучшение безопасности системы прощло успешно. Достойное дополнение к этому их visuedit'у и что там еще.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #10

4. Сообщение от Аноним83 (?), 18-Мрт-26, 15:46	+4 +/–
Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое безобразие!!! Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8, #13, #50

5. Сообщение от Аноним (5), 18-Мрт-26, 15:48    Скрыто ботом-модератором	–3 +/–
Надо же! Иван прям сразу же прибежал комментить новость)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9

6. Сообщение от Жироватт (ok), 18-Мрт-26, 15:48	+2 +/–
Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хоть трава не расти. Типичные best prctices
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от Аноним (8), 18-Мрт-26, 15:51	+7 +/–
> Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед. Именно так! В коде была логическая ошибка, на отсутствие которых раст гарантий не дает. Хорошо, что даже вы это понимаете))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11, #12, #15, #22, #29, #64, #68

9. Сообщение от Аноним (9), 18-Мрт-26, 15:52	–1 +/–
Мыкола як завжди в кожній бочці затичка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от анон (?), 18-Мрт-26, 15:54	+1 +/–
дак проблему нашли и исправили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #23, #41, #46

11. Сообщение от Аноним (11), 18-Мрт-26, 15:58	+/–
Маленький секрет: _до_ проверки во время выполнения никаких гарантий быть не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от VVVVVV (?), 18-Мрт-26, 15:58	–2 +/–
Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Сишники раз за разом показывают свою профнепригодность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #14, #43, #65, #87

13. Сообщение от Аноним (13), 18-Мрт-26, 16:00	+/–
О, Иван83! Ой, т.е. Аноним83, простите. Рад что у вас все хорошо, а то что-то не видно вас было в недавних темах про "Уязвимости в AppArmor" и "10 уязвимостей в GStreamer". Подумал, не случилось ли у вас часом чего. Ведь вы пропустили такие прекрасные обсуждения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #63

14. Сообщение от Аноним (14), 18-Мрт-26, 16:01	+1 +/–
Учитывая кол-во ошибок в коде у дыpявых это скорее норма. Т.е для кодинга на СИ надо уметь овнокодить. И если вспомнить историю с unix4, где дырень написали в функции из 50 строк, то наверное при приеме на работу спрашивают "чем отличается логическая ошибка от ...?" И при правильном ответе сразу прощаются)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (15), 18-Мрт-26, 16:02	+1 +/–
Зато дает гарантии в более замусоренном коде, который количество этих ошибок и увеличивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #69

16. Сообщение от Аноним (14), 18-Мрт-26, 16:03	–4 +/–
Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣 Сейчас поисправляют ошибки, которые не мог найти компилятор. Допишут тестов. Всё равно гнутые поделки возвращать не будут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #28, #32, #74

17. Сообщение от Аноним (17), 18-Мрт-26, 16:04    Скрыто ботом-модератором	+3 +/–
Rust это бэкдор, который только и ждёт своего крейта.
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Ананоним (?), 18-Мрт-26, 16:27	+1 +/–
Судя по моей практике компиляния пакетов для этого нашего Линукса, подавляющее большинство компилятся с огромной кучей предупреждений, которые вообще никто даже не пытается читать и исправлять. Похоже разработчики так рады от щасця что это их г... продукт вообще компилится, что забывают о предупреждениях компилера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #54, #76

22. Сообщение от Аноним (23), 18-Мрт-26, 16:33	+1 +/–
Вот ненадо тут теперь. Рaстолюбы неоднократно орали про то, что Раст не допустит гонок, в отличие от Сишки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #30, #35, #38

23. Сообщение от Аноним (23), 18-Мрт-26, 16:36	–1 +/–
А сколько ещё открытий чудных... Сколько ещё предстоит найти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #88

24. Сообщение от Сладкая булочка (?), 18-Мрт-26, 16:39	+/–
А чего это Qualsys взялись за убунту? Кто спонсор?
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (28), 18-Мрт-26, 16:40	+1 +/–
Красота, это в очередной раз доказывает, что Rust небезопасен, как бы не пытались утверждать обратное. >Проблема вызвана состоянием гонки Но разве Rust не создавался в том числе для решения проблем работы с потоками?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

26. Сообщение от Аноним (26), 18-Мрт-26, 16:44    Скрыто ботом-модератором	+1 +/–
>>Rust это бэкдор, который только и ждёт своего крейта. NPM  пoкaжeтся дeтcким лeпeтoм
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Аноним (42), 18-Мрт-26, 16:44	+/–
> Но разве Rust не создавался в том числе для решения проблем работы с потоками? Так это и не проблема с потоками. Это проблема изменения файлов на символическую ссылку внешним приложением.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #33

28. Сообщение от Аноним (28), 18-Мрт-26, 16:47	+1 +/–
>Допишут тестов. Вот это делать не надо. Допишут тестов и опять uutils не поддерживают четверть функционала coreutils.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #34

29. Сообщение от Аноним (30), 18-Мрт-26, 16:49	+/–
Ну ок, логическая ошибка в расте. А почему фикс то - это замена rm из uutils на сишную rm из gnu? Типа, мы тут все на безопасном языке переписываем... ой, тут пока небезопасно - пользуйтесь rm из cioreutils.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

30. Сообщение от Аноним (30), 18-Мрт-26, 16:50	+/–
И про утечки памяти они так говорили, а теперь говорят что никогда такого не говорили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #42

32. Сообщение от Аноним (30), 18-Мрт-26, 16:52	+2 +/–
> поставку /usr/bin/gnurm вместо uutils rm Разве? устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

33. Сообщение от Аноним (30), 18-Мрт-26, 16:53	+1 +/–
Т.е. еще проще, чем состояние гонок в потоках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36

34. Сообщение от Аноним (34), 18-Мрт-26, 16:55	+/–
> uutils не поддерживают четверть функционала coreutils. И? Если это какие-то древние функции, которые не нужны в убунте, то убунте пофиг. Если кому-то надо - садитесь и дописывайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #37, #51

35. Сообщение от warlock66613 (ok), 18-Мрт-26, 16:55	+/–
Не допустит (и действительно не допускает) гонок данных. Здесь другая гонка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #90

36. Сообщение от Аноним (42), 18-Мрт-26, 16:59	+/–
> Т.е. еще проще, чем состояние гонок в потоках. Нет, кто сказал что проще? Состояние гонок в потоках только в твоем кода. Тут есть внешний фактор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #39, #57

37. Сообщение от Аноним (28), 18-Мрт-26, 17:01	+/–
>Если кому-то надо - садитесь и дописывайте. Можно, а зачем? В coreutils все нужные функции есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #44

38. Сообщение от Аноним (42), 18-Мрт-26, 17:02	+/–
> Раст не допустит гонок Мда... хейтеры настолько измельчали, что не отличают одну гонку от другой. Не то чтобы я был сильно удивлен, но все же это как-то печально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #91

39. Сообщение от Аноним (30), 18-Мрт-26, 17:04	+1 +/–
ну хз, рукопопы-сишники и CVE-меркеры из GNU как-то сделали, а ты профессионалы да еще и на безопасносном расте в симлинках запутались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #40, #47, #94

40. Сообщение от Аноним (30), 18-Мрт-26, 17:04	+/–
*CVE-мейкеры
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Аноним (-), 18-Мрт-26, 17:05    Скрыто ботом-модератором	+/–
>  дак проблему нашли и исправили ...предварительно ее создав и разложив мины на поле для лохов :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

42. Сообщение от Аноним (42), 18-Мрт-26, 17:08	+/–
> И про утечки памяти они так говорили, Кто они? Шиза косит ваши ряды? Раст не дает никаких гарантий на отсутствие утечек. Это прям в доке написано "Preventing memory leaks entirely is not one of Rust’s guarantees" Более того, по их модели угроз "memory leaks are memory safe in Rust." Но чтобы это знать, нужно заглянуть в доку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #48

43. Сообщение от Аноним (-), 18-Мрт-26, 17:08	+2 +/–
> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. > Сишники раз за разом показывают свою профнепригодность Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Вы облажались по полной программе. Профпригодные, тоже мне. Только что умеете других даунплеить - и обделываться с брызгами в "заменах". Да-да, и "фреймворк от клаудфлари" тоже - с двумя жирными вулнами получился. Позволяющими атакующему полностью перехватить сайт. Если у меня сайт взломают от и до - какая мне разница, через доступ к памяти это или просто логическая ошибка? На результат это не влияет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #52

44. Сообщение от Аноним (44), 18-Мрт-26, 17:09    Скрыто ботом-модератором	+/–
> Можно, а зачем? Затем чтобы очиститься от гнурака. Чем его меньше - тем лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

45. Сообщение от Аноним (30), 18-Мрт-26, 17:10	+1 +/–
Спешите видеть и запомните этот твит. Растовая утилита не упала с паников, а подарила юзеру рута!
Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:11	+/–
втихую, чтобы майкрософт по попе не надавал. слова нет, а уязвимости есть, как так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

47. Сообщение от Аноним (52), 18-Мрт-26, 17:11    Скрыто ботом-модератором	–1 +/–
> рукоопые-сишники из GNU не осилили sort (дважды) и split.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #53

48. Сообщение от Аноним (30), 18-Мрт-26, 17:11    Скрыто ботом-модератором	+1 +/–
> Кто они? Местные топители за раст на опеннете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

50. Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:13	+/–
программисты на расте не пишут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

51. Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:15	+/–
типичная отмазка фанатиков раста: если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #56

52. Сообщение от Аноним (52), 18-Мрт-26, 17:15	+/–
> Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Всех адекватных людей, внезапно! У тебя есть проблемы, которые научились решать, и есть те, которые еще не научились. И что сделает любой разумный человек - будет пользоваться инструментом, который умеет решать хотя бы часть проблем. У вас же подход - сгорел сарай, гори и хата. >  с двумя жирными вулнами получился. Всего с двумя. Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари. Вот то-то и оно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #66

53. Сообщение от Аноним (30), 18-Мрт-26, 17:15	+1 +/–
>> рукоопые-сишники из GNU > не осилили sort (дважды) и split. Тоже юзеру рута подарили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #62

54. Сообщение от Аноним (54), 18-Мрт-26, 17:16	+/–
В проекте xlibre как раз за это и взялись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

55. Сообщение от Фонтимос (?), 18-Мрт-26, 17:16	+3 +/–
Ну и дела, и руст не помогает. Убунта, снап, система дэ, аппармор, руст - какой-то флешрояль у новости получился.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

56. Сообщение от Аноним (52), 18-Мрт-26, 17:17	+/–
> если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно А где их "принципиально сделать нельзя"? Вам предлагают - берите и делайте. Вам же нужны эти утилиты. Но вы  ̶л̶е̶н̶и̶в̶ы̶е̶ ̶м̶у̶д̶и̶л̶ы̶ хотите чтобы кто-то сделал за вас.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #59

57. Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:17	+/–
> Нет да > кто сказал что проще? вот тот чел, которому ты отвечаешь, и сказал как ты ему вообще отвечаешь, если не читал его коммент?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

59. Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:19	+/–
нам нужны - мы используем. без вендорлока, проприетари, тормозов и корпораций
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #61, #93

60. Сообщение от Аноним (-), 18-Мрт-26, 17:19    Скрыто ботом-модератором	+/–
Погоди система дэ - дыряха, и не только на бубунте аппармор - тоже дыряха, но писали какие-то аутисты Ты что вообще сказать хотел?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

61. Сообщение от Аноним (52), 18-Мрт-26, 17:25    Скрыто ботом-модератором	–1 +/–
> нам нужны - мы используем. без вендорлока, проприетари, тормозов и корпораций Ахаха! Без корпораций вы cоcете столлмановский хурд)) Но не буду вас осуждать, мы терпимо относимся к таким девиантам. Но раз вы без корпораций, что же вы к ubuntu лезете? Стокгольмский синдром такой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Аноним (-), 18-Мрт-26, 17:29	+/–
> Тоже юзеру рута подарили? "allows local users to modify the ownership of arbitrary files by leveraging a race condition" Причем тоже запутались с симлинками: "chown and chgrp does not prevent replacement of a plain file with a symlink during use of the POSIX "-R -L" options" C Potential exploit кстати.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #85

63. Сообщение от Аноним83 (?), 18-Мрт-26, 17:30	+/–
У меня много всего случилось. Для меня коментирование уязвимостей и сами уязвимости не являются чем то значимым в жизни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #71

64. Сообщение от Аноним83 (?), 18-Мрт-26, 17:32	+/–
Нет, я ничего не понимаю: как же так, самый бизапасный язык и тут такая подстава! Да лучше бы оно упало в корку! PS: а разве математика и логика никак не связаны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #67

65. Сообщение от Аноним83 (?), 18-Мрт-26, 17:33	+/–
Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С? Может в вашей картине мира что то не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #75

66. Сообщение от Аноним83 (?), 18-Мрт-26, 17:34	+/–
А кому этот ваш фреймворк от клаудвари вообще нужен? Вот нгинх в любой бочке - вебсервер, куда ни плюнь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

67. Сообщение от Аноним (75), 18-Мрт-26, 17:36	+/–
> Нет, я ничего не понимаю: как же так, самый бизапасный язык и тут такая подстава! Конечно не понимаешь, ты ж доку не читал) > Да лучше бы оно упало в корку! О нет! Техглогия нипанятна! Надо как диды каменным топором махать > PS: а разве математика и логика никак не связаны? Как-то связаны. Учебник по математике и логике ты тоже не читал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #73

68. Сообщение от Аноним (68), 18-Мрт-26, 17:36	+/–
> Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед. >>Именно так! У вас еще и с фантазией проблемы. Очевидно же - виноваты ДИДЫ(с), ибо не предупредили о разложенных граблях, а ведь могли бы!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #81

69. Сообщение от Аноним83 (?), 18-Мрт-26, 17:38	+/–
Так иногда пишут чтобы хоть как то работало и вываливают, а потом оказывается что это всем надо. Но желающих и способных сделать лучше не находится. Так и живём. Я вот знаю=пользуюсь двумя проектами на крестах. Как же плохо, даже ужасно они оба написаны... но сил/времени/желания их переписывать у меня нет, приходится страдать. Аналоги на мой вкус или хуже или менее мне нравятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

70. Сообщение от Аноним (70), 18-Мрт-26, 17:38	+/–
> Несмотря на то, что права изменены внутри sandbox-окружения, файл с изменёнными правами доступен и в основной системе Гы...
Ответить | Правка | Наверх | Cообщить модератору

71. Сообщение от Аноним (-), 18-Мрт-26, 17:39	+/–
> У меня много всего случилось. И еще больше случится :) > Для меня коментирование уязвимостей и сами уязвимости не > являются чем то значимым в жизни. А сюда решили заглянуть. Будем считать это совпадением, не так ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

72. Сообщение от Аноним (72), 18-Мрт-26, 17:39    Скрыто ботом-модератором	+/–
Дырявый хруст - как всегда. Дырявые уже набежали защищать смузиязычок.
Ответить | Правка | Наверх | Cообщить модератору

73. Сообщение от Аноним83 (?), 18-Мрт-26, 17:41	+/–
А зачем мне читать то что мне не нужно?) Я вот по LUA две книжки прочитал и счастлив, пишу либы/биндинги на С теперь к нему. Если матиматика и логека как то связаны то почему переполнения, и выход за массив не считается логической ошибкой? А use-after-free совсем логичная ошибка или математическая? Или это вообще другое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #77

74. Сообщение от Аноним (68), 18-Мрт-26, 17:42	+/–
>Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣 >Всё равно гнутые поделки возвращать не будут. Как то вы не очень внимательно новость читаете: Проблема выявлена в процессе рецензирования изменений в Ubuntu 25.10 и устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

75. Сообщение от Аноним (75), 18-Мрт-26, 17:45	+/–
> Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С? Ну.. раньше все дома лепились из овна и палок. Ка(к)чество дидовых поделок соответствовало технологиям прошлого тысячелетия. CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 Heartbleed (CVE-2014-0160) Перечислять можно бесконечно) > Может в вашей картине мира что то не так? Или в вашей. Вангую "и так сойдет" и "вас что взломали"))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #79

76. Сообщение от Аноним83 (?), 18-Мрт-26, 17:46	+/–
Это прям больная тема. У нас тут продукт... в общем он компеляется только на отдельной билдмашине, и разрабы естессно лог компеляции не читают, типа собралось значит ок. Короче мне это надоело и я добавил -Werror :) Если брать большие проекты типа той же FreeBSD или просто огромные всякие типа OpenToonz то там много и долго компеляется, даже при сборке у себя скролить лог то ещё удовольствие. Плюс всякие внешние компоненты, которые разрабатывают в других местах другие люди...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #86

77. Сообщение от Аноним (75), 18-Мрт-26, 17:55	+/–
> А зачем мне читать то что мне не нужно?) Логично. А зачем комментить то в чем вы ни бум-бум вопрос не возникает? > Если матиматика и логека /_- Уроки правописания вы тоже прогуливали)? > как то связаны Ну вот вы и кресло как-то связаны. Почему не считать вас мебелью? > то почему переполнения, и выход за массив не считается логической ошибкой? А use-after-free совсем логичная ошибка или математическая? Или это вообще другое? О... для этого придется хотя бы прочитать стандарт СИ. Но боюсь вы не осилите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #80, #82

78. Сообщение от Аноним (78), 18-Мрт-26, 18:06	+2 +/–
Вы не понимаете, это безопасные уязвимости
Ответить | Правка | Наверх | Cообщить модератору

79. Сообщение от Аноним83 (?), 18-Мрт-26, 18:06    Скрыто ботом-модератором	+/–
Так и щас не лучше, раст ничего кардинально не изменил. Вы всё никак не поймёте что безопасность это комплексный процесс, включающий в себя разные уровни, от предотвращения и минимизации рисков, разными путями, до компенсации последствий. Раст-нираст - вообще пофиг для безопасности системы. Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. Минимизация прав в системе. Отдельные виртуалки/сервера под разные роли. Бэкапы. Тренированный персонал на восстановление из бэкапов. Страховка на бабло в обычной страховой компании. И ещё всякое разное, включая хорошую дверь, вахтёра и сигнализацию в ментовку. Heartbleed (CVE-2014-0160) - стоил мне рублей 50, во столько я оцениваю свои работу для самого себя по замене самоподписного сертификата на моём домашнем сервере. Хотя нет, я тогда забил, у меня ничего ценного через TLS не ходило вообще. CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 - хз, ну оверфлоу и оверфлоу - дальше что? nginx взбунтуется и под своим www юзером прочитает из темпа что то?) Учитывая что у меня не попсовая ОС то риск поймать эксплоит под убунту/цент - 0, для таргетированной атаки я никому не интересен чтобы на меня время тратить. И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка - чем было бы писать на пхп и каждую неделю выпускать фиксы для цве9.999. Основные по ущербу атаки были таргетированными, и далеко не всегда узким местом был код - часто это люди. Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под них трудно автоматизировать и получить широкий охват. Иногда это удаётся, типа log4j но тут "логическая ошибка" а не "дыряшка". В общем не там вы ищите спокойствия душевного, ширее надо мыслить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #84

80. Сообщение от Аноним83 (?), 18-Мрт-26, 18:11	+/–
Так вы всё путаете безопасность как процесс с результатом работы отдельного ЯП. В остальном вы занимаетесь софистикой: тут у вас логическая ошибка а там не логическая. Проще было признать что раст видит только часть логических ошибок, связанных в основном с его синтаксисом и бесполезен для анализа логики работы кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

81. Сообщение от Аноним83 (?), 18-Мрт-26, 18:12	+/–
Проклятые диды позаводили детей, теперь вот они дурью маются за компами :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

82. Сообщение от Аноним83 (?), 18-Мрт-26, 18:13    Скрыто ботом-модератором	+/–
> Уроки правописания вы тоже прогуливали)? Пешю каг хашу, щито фы мне сдилаете!? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

83. Сообщение от Аноним (83), 18-Мрт-26, 18:14	+/–
Да со snap'ом то давно всё понятно, к нему уже вопросов никаких не осталось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #97

84. Сообщение от Аноним (84), 18-Мрт-26, 18:15	+/–
> Так и щас не лучше, раст ничего кардинально не изменил. А вы в этом разбираетесь? > Вы всё никак не поймёте что безопасность это комплексный процесс, Я как раз это прекрасно понимаю. > Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. У вас не получится построит стену, если из материалов только навоз. > Heartbleed (CVE-2014-0160) - стоил мне рублей 50 А бомжу под мостов вообще ноль)) Он даже не знает что такое SSL. > И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка Но пруфов вы не предоставите) Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку". > Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под  них трудно автоматизировать и получить широкий охват. > В общем не там вы ищите спокойствия душевного, ширее надо мыслить. А лучше делать хорошо и хорошо будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

85. Сообщение от Аноним (30), 18-Мрт-26, 18:21	+/–
>> Тоже юзеру рута подарили? > "allows local users to modify the ownership of arbitrary files by leveraging > a race condition" > Причем тоже запутались с симлинками: > "chown and chgrp does not prevent replacement of a plain file with > a symlink during use of the POSIX "-R -L" options" > C Potential exploit кстати. Ну допустим это так (видимо и правда так). Но им то простительно, они ведь инвалиды мозга и диды + еще и на сишке. Что с них взять то... Но почему эльфы да еще и с безопасным растом оказались не лучше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

86. Сообщение от Ананоним (?), 18-Мрт-26, 18:22	+/–
Про логи и их строл... Как же прекрасны те системы сборки, которые дают чистый лог только с именами файлов (+путь к ним). А не вот это всё с килобайтом аргументов для каждого вызова компилера для единицы трансляции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #89

87. Сообщение от Аноним (87), 18-Мрт-26, 18:26	+/–
> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Не так разве?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

88. Сообщение от Аноним (88), 18-Мрт-26, 18:27	+/–
Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по сишному игрались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #96

89. Сообщение от Tty4 (?), 18-Мрт-26, 18:32	+/–
Мне объясняли, на проекте в ~5К файлов, что с предупреждениями, что без них, все равно мозг взрывается. 2 недели, пара десятков серьезных проблем косков исправлено и терпеть собирается без предупреждений. Но так же неинтересно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

90. Сообщение от Аноним (23), 18-Мрт-26, 18:35	+/–
А-а, это другое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

91. Сообщение от Аноним (23), 18-Мрт-26, 18:36    Скрыто ботом-модератором	+1 +/–
Да поняли мы всё. Это другое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

92. Сообщение от ИмяХ (ok), 18-Мрт-26, 18:49	+/–
>>Проблема вызвана состоянием гонки Нужно срочно изобрести язык который гарантирует отсутствие состояний гонок и переписать все ПО на нём.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #99

93. Сообщение от Аноним (93), 18-Мрт-26, 18:49    Скрыто ботом-модератором	+/–
Ну это как раз временно. ОколоGNU/FSF спонсируется корпоративными спонсорами для производства glibc, coreutils, и пары других полезных в коммерческом проде проектов. Когда это всё будет заменено на свободные аналоги, кому-то придётся снимать костюм антилопы и идти мыть полы в госпитале. Но мы -- как видно по обсуждаемой новости -- пока ещё не там. Опенсорс мёртв, он просто ещё не осознал этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

94. Сообщение от Аноним (93), 18-Мрт-26, 18:51	+/–
> как-то сделали Ну так 30 лет делали. Или все 40?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

95. Сообщение от aname (ok), 18-Мрт-26, 18:51	+/–
Зато безопасно!
Ответить | Правка | Наверх | Cообщить модератору

96. Сообщение от aname (ok), 18-Мрт-26, 18:53	+1 +/–
Летальные дозы копиума
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

97. Сообщение от Аноним (97), 18-Мрт-26, 18:57	+1 +/–
Можно сократить новость до: "Уязвимости в Rust Сoreutils, позволяющие получить root-привилегии".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

98. Сообщение от Аноним (99), 18-Мрт-26, 19:13	+/–
Не дырень, а отверстие!
Ответить | Правка | Наверх | Cообщить модератору

99. Сообщение от Аноним (99), 18-Мрт-26, 19:13	+/–
Внутренний язык нейросети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

100. Сообщение от Аноним (100), 18-Мрт-26, 19:17    Скрыто ботом-модератором	+/–
Так кто там серил на сишный GNU Coreutils?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема