Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu"	+/–
Сообщение от opennews (??), 18-Мрт-26, 15:42
Компания Qualys выявила уязвимость (CVE-2026-3888) в организации работы связки snap-confine и systemd-tmpfiles  в Ubuntu, позволяющую непривилегированному пользователю получить root-доступ к системе. Проблема проявляется в Ubuntu в конфигурации по умолчанию начиная с выпуска 24.04. В Ubuntu 16.04-22.04 уязвимость может быть эксплуатирована в нестандартных конфигурациях, имитирующих поведение более новых версий дистрибутива.  В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В  snapd проблема устранена в обновлении 2.75... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65014
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 18-Мрт-26, 15:42	+/–
>В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75. Думаю это надо как-то выделять, не все читают дальше заголовка.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #83

2. Сообщение от Аноним (-), 18-Мрт-26, 15:44	+21 +/–
> написанном на языке Rust. Уязвимость позволяет > непривилегированному пользователю получить права root в системе Улучшение безопасности системы прощло успешно. Достойное дополнение к этому их visuedit'у и что там еще.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #10

4. Сообщение от Аноним83 (?), 18-Мрт-26, 15:46	+10 +/–
Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое безобразие!!! Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #110, #111

6. Сообщение от Жироватт (ok), 18-Мрт-26, 15:48	+8 +/–
Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хоть трава не расти. Типичные best prctices
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от Аноним (8), 18-Мрт-26, 15:51	+14 +/–
> Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед. Именно так! В коде была логическая ошибка, на отсутствие которых раст гарантий не дает. Хорошо, что даже вы это понимаете))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11, #12, #15, #29

10. Сообщение от анон (?), 18-Мрт-26, 15:54	+/–
дак проблему нашли и исправили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #23, #46, #101

11. Сообщение от Аноним (11), 18-Мрт-26, 15:58	+/–
Маленький секрет: _до_ проверки во время выполнения никаких гарантий быть не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от VVVVVV (?), 18-Мрт-26, 15:58	–11 +/–
Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Сишники раз за разом показывают свою профнепригодность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #14, #43, #65, #87

14. Сообщение от Аноним (14), 18-Мрт-26, 16:01	–3 +/–
Учитывая кол-во ошибок в коде у дыpявых это скорее норма. Т.е для кодинга на СИ надо уметь овнокодить. И если вспомнить историю с unix4, где дырень написали в функции из 50 строк, то наверное при приеме на работу спрашивают "чем отличается логическая ошибка от ...?" И при правильном ответе сразу прощаются)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (15), 18-Мрт-26, 16:02	+1 +/–
Зато дает гарантии в более замусоренном коде, который количество этих ошибок и увеличивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #69

16. Сообщение от Аноним (14), 18-Мрт-26, 16:03	–5 +/–
Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣 Сейчас поисправляют ошибки, которые не мог найти компилятор. Допишут тестов. Всё равно гнутые поделки возвращать не будут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #28, #32, #74, #129

20. Сообщение от Ананоним (?), 18-Мрт-26, 16:27	+2 +/–
Судя по моей практике компиляния пакетов для этого нашего Линукса, подавляющее большинство компилятся с огромной кучей предупреждений, которые вообще никто даже не пытается читать и исправлять. Похоже разработчики так рады от щасця что это их г... продукт вообще компилится, что забывают о предупреждениях компилера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #54, #76

23. Сообщение от Аноним (23), 18-Мрт-26, 16:36	+3 +/–
А сколько ещё открытий чудных... Сколько ещё предстоит найти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #88

24. Сообщение от Сладкая булочка (?), 18-Мрт-26, 16:39	+/–
А чего это Qualsys взялись за убунту? Кто спонсор?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #104

25. Сообщение от Аноним (28), 18-Мрт-26, 16:40	+3 +/–
Красота, это в очередной раз доказывает, что Rust небезопасен, как бы не пытались утверждать обратное. >Проблема вызвана состоянием гонки Но разве Rust не создавался в том числе для решения проблем работы с потоками?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

27. Сообщение от Аноним (27), 18-Мрт-26, 16:44	+1 +/–
> Но разве Rust не создавался в том числе для решения проблем работы с потоками? Так это и не проблема с потоками. Это проблема изменения файлов на символическую ссылку внешним приложением.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #33

28. Сообщение от Аноним (28), 18-Мрт-26, 16:47	+1 +/–
>Допишут тестов. Вот это делать не надо. Допишут тестов и опять uutils не поддерживают четверть функционала coreutils.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #34

29. Сообщение от Аноним (29), 18-Мрт-26, 16:49	+/–
Ну ок, логическая ошибка в расте. А почему фикс то - это замена rm из uutils на сишную rm из gnu? Типа, мы тут все на безопасном языке переписываем... ой, тут пока небезопасно - пользуйтесь rm из cioreutils.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

32. Сообщение от Аноним (29), 18-Мрт-26, 16:52	+2 +/–
> поставку /usr/bin/gnurm вместо uutils rm Разве? устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

33. Сообщение от Аноним (29), 18-Мрт-26, 16:53	+4 +/–
Т.е. еще проще, чем состояние гонок в потоках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36

34. Сообщение от Аноним (34), 18-Мрт-26, 16:55	+/–
> uutils не поддерживают четверть функционала coreutils. И? Если это какие-то древние функции, которые не нужны в убунте, то убунте пофиг. Если кому-то надо - садитесь и дописывайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #37, #51

36. Сообщение от Аноним (27), 18-Мрт-26, 16:59	+1 +/–
> Т.е. еще проще, чем состояние гонок в потоках. Нет, кто сказал что проще? Состояние гонок в потоках только в твоем кода. Тут есть внешний фактор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #39

37. Сообщение от Аноним (28), 18-Мрт-26, 17:01	+/–
>Если кому-то надо - садитесь и дописывайте. Можно, а зачем? В coreutils все нужные функции есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

39. Сообщение от Аноним (29), 18-Мрт-26, 17:04	+3 +/–
ну хз, рукопопы-сишники и CVE-меркеры из GNU как-то сделали, а ты профессионалы да еще и на безопасносном расте в симлинках запутались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #40, #47, #94

40. Сообщение от Аноним (29), 18-Мрт-26, 17:04	+/–
*CVE-мейкеры
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

43. Сообщение от Аноним (-), 18-Мрт-26, 17:08	+3 +/–
> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. > Сишники раз за разом показывают свою профнепригодность Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Вы облажались по полной программе. Профпригодные, тоже мне. Только что умеете других даунплеить - и обделываться с брызгами в "заменах". Да-да, и "фреймворк от клаудфлари" тоже - с двумя жирными вулнами получился. Позволяющими атакующему полностью перехватить сайт. Если у меня сайт взломают от и до - какая мне разница, через доступ к памяти это или просто логическая ошибка? На результат это не влияет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #52

46. Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:11	+1 +/–
втихую, чтобы майкрософт по попе не надавал. слова нет, а уязвимости есть, как так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

47. Сообщение от Аноним (52), 18-Мрт-26, 17:11	–1 +/–
> рукоопые-сишники из GNU не осилили sort (дважды) и split.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #53

51. Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:15	+/–
типичная отмазка фанатиков раста: если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #56

52. Сообщение от Аноним (52), 18-Мрт-26, 17:15	+2 +/–
> Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Всех адекватных людей, внезапно! У тебя есть проблемы, которые научились решать, и есть те, которые еще не научились. И что сделает любой разумный человек - будет пользоваться инструментом, который умеет решать хотя бы часть проблем. У вас же подход - сгорел сарай, гори и хата. >  с двумя жирными вулнами получился. Всего с двумя. Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари. Вот то-то и оно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #66, #122, #143

53. Сообщение от Аноним (29), 18-Мрт-26, 17:15	+1 +/–
>> рукоопые-сишники из GNU > не осилили sort (дважды) и split. Тоже юзеру рута подарили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #62

54. Сообщение от Аноним (54), 18-Мрт-26, 17:16	+/–
В проекте xlibre как раз за это и взялись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

56. Сообщение от Аноним (52), 18-Мрт-26, 17:17	–2 +/–
> если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно А где их "принципиально сделать нельзя"? Вам предлагают - берите и делайте. Вам же нужны эти утилиты. Но вы  ̶л̶е̶н̶и̶в̶ы̶е̶ ̶м̶у̶д̶и̶л̶ы̶ хотите чтобы кто-то сделал за вас.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #59

59. Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:19	+2 +/–
нам нужны - мы используем. без вендорлока, проприетари, тормозов и корпораций
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #61, #93

61. Сообщение от Аноним (52), 18-Мрт-26, 17:25	–3 +/–
> нам нужны - мы используем. без вендорлока, проприетари, тормозов и корпораций Ахаха! Без корпораций вы cоcете столлмановский хурд)) Но не буду вас осуждать, мы терпимо относимся к таким девиантам. Но раз вы без корпораций, что же вы к ubuntu лезете? Стокгольмский синдром такой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Аноним (-), 18-Мрт-26, 17:29	+/–
> Тоже юзеру рута подарили? "allows local users to modify the ownership of arbitrary files by leveraging a race condition" Причем тоже запутались с симлинками: "chown and chgrp does not prevent replacement of a plain file with a symlink during use of the POSIX "-R -L" options" C Potential exploit кстати.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #85

65. Сообщение от Аноним83 (?), 18-Мрт-26, 17:33	+2 +/–
Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С? Может в вашей картине мира что то не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #75

66. Сообщение от Аноним83 (?), 18-Мрт-26, 17:34	+/–
А кому этот ваш фреймворк от клаудвари вообще нужен? Вот нгинх в любой бочке - вебсервер, куда ни плюнь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

69. Сообщение от Аноним83 (?), 18-Мрт-26, 17:38	+/–
Так иногда пишут чтобы хоть как то работало и вываливают, а потом оказывается что это всем надо. Но желающих и способных сделать лучше не находится. Так и живём. Я вот знаю=пользуюсь двумя проектами на крестах. Как же плохо, даже ужасно они оба написаны... но сил/времени/желания их переписывать у меня нет, приходится страдать. Аналоги на мой вкус или хуже или менее мне нравятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

70. Сообщение от Аноним (70), 18-Мрт-26, 17:38	+1 +/–
> Несмотря на то, что права изменены внутри sandbox-окружения, файл с изменёнными правами доступен и в основной системе Гы...
Ответить | Правка | Наверх | Cообщить модератору

74. Сообщение от Аноним (74), 18-Мрт-26, 17:42	+/–
>Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣 >Всё равно гнутые поделки возвращать не будут. Как то вы не очень внимательно новость читаете: Проблема выявлена в процессе рецензирования изменений в Ubuntu 25.10 и устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

75. Сообщение от Аноним (75), 18-Мрт-26, 17:45	+1 +/–
> Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С? Ну.. раньше все дома лепились из овна и палок. Ка(к)чество дидовых поделок соответствовало технологиям прошлого тысячелетия. CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 Heartbleed (CVE-2014-0160) Перечислять можно бесконечно) > Может в вашей картине мира что то не так? Или в вашей. Вангую "и так сойдет" и "вас что взломали"))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #79, #103

76. Сообщение от Аноним83 (?), 18-Мрт-26, 17:46	+/–
Это прям больная тема. У нас тут продукт... в общем он компеляется только на отдельной билдмашине, и разрабы естессно лог компеляции не читают, типа собралось значит ок. Короче мне это надоело и я добавил -Werror :) Если брать большие проекты типа той же FreeBSD или просто огромные всякие типа OpenToonz то там много и долго компеляется, даже при сборке у себя скролить лог то ещё удовольствие. Плюс всякие внешние компоненты, которые разрабатывают в других местах другие люди...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #86

79. Сообщение от Аноним83 (?), 18-Мрт-26, 18:06	+2 +/–
Так и щас не лучше, раст ничего кардинально не изменил. Вы всё никак не поймёте что безопасность это комплексный процесс, включающий в себя разные уровни, от предотвращения и минимизации рисков, разными путями, до компенсации последствий. Раст-нираст - вообще пофиг для безопасности системы. Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. Минимизация прав в системе. Отдельные виртуалки/сервера под разные роли. Бэкапы. Тренированный персонал на восстановление из бэкапов. Страховка на бабло в обычной страховой компании. И ещё всякое разное, включая хорошую дверь, вахтёра и сигнализацию в ментовку. Heartbleed (CVE-2014-0160) - стоил мне рублей 50, во столько я оцениваю свои работу для самого себя по замене самоподписного сертификата на моём домашнем сервере. Хотя нет, я тогда забил, у меня ничего ценного через TLS не ходило вообще. CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 - хз, ну оверфлоу и оверфлоу - дальше что? nginx взбунтуется и под своим www юзером прочитает из темпа что то?) Учитывая что у меня не попсовая ОС то риск поймать эксплоит под убунту/цент - 0, для таргетированной атаки я никому не интересен чтобы на меня время тратить. И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка - чем было бы писать на пхп и каждую неделю выпускать фиксы для цве9.999. Основные по ущербу атаки были таргетированными, и далеко не всегда узким местом был код - часто это люди. Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под них трудно автоматизировать и получить широкий охват. Иногда это удаётся, типа log4j но тут "логическая ошибка" а не "дыряшка". В общем не там вы ищите спокойствия душевного, ширее надо мыслить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #84

83. Сообщение от Аноним (83), 18-Мрт-26, 18:14	+11 +/–
Да со snap'ом то давно всё понятно, к нему уже вопросов никаких не осталось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #97

84. Сообщение от Аноним (84), 18-Мрт-26, 18:15	+/–
> Так и щас не лучше, раст ничего кардинально не изменил. А вы в этом разбираетесь? > Вы всё никак не поймёте что безопасность это комплексный процесс, Я как раз это прекрасно понимаю. > Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. У вас не получится построит стену, если из материалов только навоз. > Heartbleed (CVE-2014-0160) - стоил мне рублей 50 А бомжу под мостов вообще ноль)) Он даже не знает что такое SSL. > И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка Но пруфов вы не предоставите) Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку". > Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под  них трудно автоматизировать и получить широкий охват. > В общем не там вы ищите спокойствия душевного, ширее надо мыслить. А лучше делать хорошо и хорошо будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #116

85. Сообщение от Аноним (29), 18-Мрт-26, 18:21	+/–
>> Тоже юзеру рута подарили? > "allows local users to modify the ownership of arbitrary files by leveraging > a race condition" > Причем тоже запутались с симлинками: > "chown and chgrp does not prevent replacement of a plain file with > a symlink during use of the POSIX "-R -L" options" > C Potential exploit кстати. Ну допустим это так (видимо и правда так). Но им то простительно, они ведь инвалиды мозга и диды + еще и на сишке. Что с них взять то... Но почему эльфы да еще и с безопасным растом оказались не лучше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #121

86. Сообщение от Ананоним (?), 18-Мрт-26, 18:22	+/–
Про логи и их строл... Как же прекрасны те системы сборки, которые дают чистый лог только с именами файлов (+путь к ним). А не вот это всё с килобайтом аргументов для каждого вызова компилера для единицы трансляции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #89

87. Сообщение от Аноним (87), 18-Мрт-26, 18:26	+1 +/–
> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Не так разве?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

88. Сообщение от Аноним (88), 18-Мрт-26, 18:27	–1 +/–
Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по сишному игрались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #142, #148

89. Сообщение от Tty4 (?), 18-Мрт-26, 18:32	+/–
Мне объясняли, на проекте в ~5К файлов, что с предупреждениями, что без них, все равно мозг взрывается. 2 недели, пара десятков серьезных проблем косков исправлено и терпеть собирается без предупреждений. Но так же неинтересно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

93. Сообщение от Аноним (93), 18-Мрт-26, 18:49    Скрыто ботом-модератором	–1 +/–
Ну это как раз временно. ОколоGNU/FSF спонсируется корпоративными спонсорами для производства glibc, coreutils, и пары других полезных в коммерческом проде проектов. Когда это всё будет заменено на свободные аналоги, кому-то придётся снимать костюм антилопы и идти мыть полы в госпитале. Но мы -- как видно по обсуждаемой новости -- пока ещё не там. Опенсорс мёртв, он просто ещё не осознал этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #117

94. Сообщение от Аноним (93), 18-Мрт-26, 18:51	+/–
> как-то сделали Ну так 30 лет делали. Или все 40?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

97. Сообщение от Аноним (97), 18-Мрт-26, 18:57	+5 +/–
Можно сократить новость до: "Уязвимости в Rust Сoreutils, позволяющие получить root-привилегии".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #130

101. Сообщение от Аноним (101), 18-Мрт-26, 19:44	+/–
дак все проблемы со временем находят, в том числе и в сишном коде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #133

103. Сообщение от Аноним (103), 18-Мрт-26, 20:01	+/–
Если для тебя Си - это овно и палки, то где же тогда твой компилятор? Есть подозрение, что если тебе дать 2 недели и сколько хочешь денег на переписывание баша на Rust, максимум что ты сможешь сделать - это запихнуть исходники в кланкера и получить на выходе нечто с десятью новыми уязвимостями, просто потому что ни ты, ни кланкер не умеют разбираться в том, как работает _система_ под которую ты пишешь код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

104. Сообщение от Аноним (103), 18-Мрт-26, 20:10	+1 +/–
Бубунтувский докер-образ очень часто берут за базу для клепания своих пакетов для запуска какого-нибудь недосервера на руби. Наверное отсюда интерес и спонсоры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #125

108. Сообщение от Аноним (97), 18-Мрт-26, 20:52	+1 +/–
Программисты разучились обходить каталоги. Чувствительные данные пишутся в общедоступное место. Системные настройки легко меняются на пользовательские. Современные тенденции.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #127, #137

110. Сообщение от Анон1110м (?), 18-Мрт-26, 21:31    Скрыто ботом-модератором	+/–
Это другое. Понимать надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

111. Сообщение от Васян Айтишник (?), 18-Мрт-26, 21:34	+/–
Причём тут Раст? Вы про Раст хоть читали или видели или хоть как-то изучили в чём его фишка? Похоже что нет. НУ идите дальше гостевые книжки пишите на РНР и не отсвечивайте :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #114

114. Сообщение от ДядяПетя (?), 18-Мрт-26, 22:27	+/–
Я и смотрел и изучал. Неплохой язык. Но не идеальный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

116. Сообщение от Аноним83 (?), 18-Мрт-26, 22:52	+/–
Так а что там с громких взломов, взломали софт или человеков? Не видел я с начала 2000х эпидемий массовых чтобы кучу всего поломали за раз и чтобы это ещё и денег стоило. У меня за 26 лет не так уж и много всего было, из того что помню только один раз была штука которая полностью сама всё сломала - велчна через дыру в самбе, это ещё до того как в ХР фаер появился, 2003 год. От чиха пару раз лечился. Был один червяк на который я повёлся - социнженерия, притом там реально игра с червяками была :) Была куча VBA всякого хлама, но их я добывал с компов в универе, они там размножались. И на работе был вирус который папками прикидывался на флешках, а сам прятал ориг папку - короче тоже социнженерия. Помню в аутлук експресс вместо wav прикрепляли exe и аутглюк эту музыку сам запускал, но это как вы называете "логическая ошибка". Поэтому я весьма скептично настроен по отношению к этим вашим CVE - типа они есть, а на практике ничего не происходит. Намного чаще я страдал от того что проги просто сами падали (хотя памяти ЕСС не было, так что как знать сами или железо). > Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку". Если производить 0 строчек кода в год, то и возвращать будет нечего :) А так, мне начальник (и владелец бузинеса) говорил что надо в начале сделать, потом продать, а уже на вырученные деньги можно будет доводить до ума :))) Иногда можно в начале продать, а потом сделать. Это просто идеальный комм кейс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

117. Сообщение от 12yoexpert (ok), 18-Мрт-26, 23:44	+/–
> я нитакуся, ляляля, я нитакуся, ляляля
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

118. Сообщение от Аноним (118), 19-Мрт-26, 00:14	+1 +/–
Там это, обосрамс у убунты снова произошёл при обновлении из секурити-реп. Регрессия которая валит пачку программ работающих с изображениями. Новость кто-нибудь пилить будет вообще? https://www.reddit.com/r/linuxquestions/comments/1rx90wb/can...,apt%2Dmark%20hold%20libexiv2%2D27%20;%20Restart%20Dolphin/Okular/Gwenview/GIMP/gThumb/KIO%20etc. https://www.reddit.com/r/linuxmint/comments/1rwz9fr/nemo_is_.../ https://bugs.launchpad.net/ubuntu/+source/exiv2/+bug/2144759 https://bugs.launchpad.net/ubuntu/+source/gimp/+bug/2144731
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #124

121. Сообщение от Аноним (-), 19-Мрт-26, 02:56	+1 +/–
А что не так с безопасностью в Rust? В новости где-то упоминаются двойное освобождение, запись за пределы буфера или состояния гонки данных?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #131

122. Сообщение от Аноним (122), 19-Мрт-26, 03:10	+1 +/–
судо и корутил, пожалуй единственные проекты на расте которые можно назвать, и проблемы с ошибками, буквально со старта, безопастность говорили они, а ваши отмазки, про нормальных людей, нормальные люди в метро каску не одевают, а вы видимо да
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

123. Сообщение от windows девяностодесять (?), 19-Мрт-26, 03:20	+1 +/–
вот ещё CVE-2026-0866
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #128

124. Сообщение от Аноним (124), 19-Мрт-26, 03:39	+/–
Если такое бывало и на андроиде и на винде, то почему тут не бывает , бывает и не только
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

125. Сообщение от Сладкая булочка (?), 19-Мрт-26, 03:54	+/–
> Бубунтувский докер-образ очень часто берут за базу для клепания своих пакетов для > запуска какого-нибудь недосервера на руби. Наверное отсюда интерес и спонсоры. Который ubuntu:minimal как раз специально маленький и там нет snap и apparmor вроде как.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

126. Сообщение от Сладкая булочка (?), 19-Мрт-26, 04:00	+/–
За текущее положение дел скажите все спасибо данному персонажу https://github.com/jnsgruk
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #144

127. Сообщение от Аноним (127), 19-Мрт-26, 06:58	+/–
> Современные тенденции. Привычка из Windows, а ее 90%.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

128. Сообщение от Аноним (-), 19-Мрт-26, 07:15	+/–
Rejected reason: After the publication of the PoC by the researcher and further analysis, we have determined that this issue does not constitute a valid vulnerability. The technique described is an obfuscation method and does not bypass or impact any implicit or explicit security controls.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

129. Сообщение от Sm0ke85 (ok), 19-Мрт-26, 07:20	+/–
>Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣 >Сейчас поисправляют ошибки, которые не мог найти компилятор. >Допишут тестов. >Всё равно гнутые поделки возвращать не будут. Вот только Си себя как позиционирует, так и работает, а раст у нас "самый безопасный", но не годится даже на "просто переписать код" - дыра на дыре...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

130. Сообщение от Проходил мимо (?), 19-Мрт-26, 07:32	+1 +/–
Ну да, можно было бы. Ибо, судя по вашему посту и посту еще ряда хейтеров, иксперды с OpenNET написанное все равно либо не читают, либо не способны осознать смысл прочитанного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

131. Сообщение от Проходил мимо (?), 19-Мрт-26, 07:44	+1 +/–
Так написанное в новости надо сначала суметь прочитать а потом, о ужас, еще и осознать написанное. То есть тут думать надо, а это слишком сложная задача для хейтеров Rust-а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

133. Сообщение от Аноним (133), 19-Мрт-26, 08:06	+/–
Только фанатики со временем не меняются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

134. Сообщение от Аноним (134), 19-Мрт-26, 09:53	+/–
А куда ИИ-то смотрел? Хотите сказать что не применяют?
Ответить | Правка | Наверх | Cообщить модератору

135. Сообщение от Аноним (135), 19-Мрт-26, 10:34	+2 +/–
Из года в год. Подмена путей, передача параметров через CLI, подмена переменных окружения, подкладывание библиотек. Кажется тут дело не в языке.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #145

136. Сообщение от Аноним (137), 19-Мрт-26, 10:41	+/–
Не буду упоминать, насколько бесполезным оказалась Ржа в плане уязвимостей, просто замечу: тухлая система прав user/group/all давно уже не работает. Одна только ДЫРИЩЩЕНСКАЯ идея "повышения привилегий" говорит о том, что "абстракция течёт". Не должно быть вообще такой функции "сделай-ка меня на секунду богом!" - система должна работать по чётким правилам привилегий без запроса "высших сил".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #140

137. Сообщение от Аноним (137), 19-Мрт-26, 10:44	+/–
Ну тык FOR FUN же! 😆 Чего ты хотел? Какой будет фан, если вся система будет устойчива как мраморная глыба?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

140. Сообщение от жявамэн (ok), 19-Мрт-26, 11:53	–1 +/–
все вопросы к дегенеративной поделке фина гнилукс иначе не может гнилукс по технологиям остался в 90-х до шиндошса или мака ему как до китая
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #146

141. Сообщение от Аноним (141), 19-Мрт-26, 11:54	+1 +/–
>связки snap-confine и systemd-tmpfiles в Ubuntu Это только начало. Ubuntu скриптеры и не такое напишут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #147

142. Сообщение от Аноним (-), 19-Мрт-26, 12:22	+1 +/–
> Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по > сишному игрались. И пруфом будет - что? В упомянутых утилсах последние годы не то чтобы завалы проблем с памятью дававших атакующим рута был. Так что классическая починка того что не сломано вышла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

143. Сообщение от Аноним (-), 19-Мрт-26, 12:37	+/–
> Всех адекватных людей, внезапно! Вы себе льстите: хайпожоры которых через пару лет поголовно AI вообще заменит в силу их общей безблагодатности - врядли тянут на эту номинацию. Это дешевые расходники IT которые первыми попадут под сокращение. > У тебя есть проблемы, которые научились решать, и есть те, которые еще > не научились. Насколько я вижу вышло классическое "починили то что не сломано" и получили - именно характерный и предсказуемый результат этой активности в виде новых жирных вулнов. Потому что когда код за цать лет более менее застабилизировался и лажу выбили, самое тупое что можно придумать - все разломать и начать заново. Сразу видно людей которые в менеджменте ни в зуб ногой и как failure rate over time в проектах бывает - они совсем не одупляют. Но чудес не бывает - и теперь у хайпожоров опять будет более другой failure rate а все эти блеяния про безопасность - фикция, и на практике будет ровно наоборот. > И что сделает любой разумный человек - будет пользоваться инструментом, который умеет > решать хотя бы часть проблем. Разумный человкк - использует здравый смысл. И последнее что он будет делать это устраивать диверсии в застабилизированном более-менее куске кода во имя хайпа как тут. Но убунта и разумные люди - живут по разную сторону улицы, убунта всегда была про хайпожорство. И периодически за это огребала тупых вулнов на ровном месте, и просто всяких глупых инженерных факапов. Вплоть до того что на десктопах уже народ давно стал всякие минты и что там еще предпочитать, а ЭТО живет в основном за счет демпинга на серверном рынке, по большому то счету. В остальном связываться с этим глюкавым трешом смысла мало. Но вот у них можно получить ливпатчи кернела на шару и довольно LTSно. Это пожалуй единственное что реально держит народ на убунтах. В остальном это уже давно кусок багованого трешовника. Особенно в разработках и "улучшениях" от именно убунты, начиная с их нерабочих питонапдейтеров, каких там еще кривых MAAS которые они пхали в каждую дырку, и что там за BS у них еще был. > У вас же подход - сгорел сарай, гори и хата. У нас подход: не чините то что не сломано. Потому что мы в курсе что будет. Сабж прозрачно намекает - что. >>  с двумя жирными вулнами получился. > Всего с двумя. Чтобы про#$%ть сайт и огрести "whole world of trouble" на свою тыкву - хватит и 1 критикала такого плана в общем то. И в отличие от нжинкса - системный пакетник мне не вкатит автоматически апдейт на эту драшу, при том - гарантируя compat и отсутствие breakage более-менее. А в этой клаудхрени * Придется самому качать апдейты и ребилдить это все. * Если это не промониторить лично - сайту будет амба. * При сборке на раз окажется что клаудфлар что-то поменял несовместимо - потому что клал он на всех кроме себяю. И вот вы такие с вулном и без фикса в темпе вальса пытаетесь придумать чем заткнуть эту пробоину вообще и чтоб посудина на плаву осталась. А мне точно надо - софт и серваки эксплуатируемые в режиме посудины с пробоиной которую заткнуть нечем? :) Вот поэтому у меня на тахиках будет nginx - а вы можете юзать ЭТО, если хотите. > Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари. Когда фреймворк от клаудфлари будет юзаться таким же количеством эксплуатантов столько же лет - и наступит время сравнивать. > Вот то-то и оно. Вот то-то и оно - получается только всякое ненужное проблемное овно под дикий ор как это якобы-круто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

144. Сообщение от Анонимъ (?), 19-Мрт-26, 12:53	+/–
> За текущее положение дел скажите все спасибо данному персонажу https://github.com/jnsgruk А можно для труъ, чем он отличился?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

145. Сообщение от Аноним (122), 19-Мрт-26, 13:09	+/–
а в чем же тогда? это ведь язык виновен в ошибках с памятью, а в ошибках с путями внезапно нет, хотя и адрес в памяти и путь к файлу в сути одно и тоже - указаль на память, озу или пзу. фанатично верование в то что избавление от одного вектора атаки (из многих) делает чтото безопаснее, это самообман, да в теории на 0.01 это так. но картины в целом не меняет, пусть даже 10% там будет, но ценой усложнения, и при этом в расте нет базовых вещей, как то библиотек, полноценно нет. вам говорили, что переписывание ничего не решит, избавитесь от одних ошибок, но насажаете других, и ровно это происходит. тогда зачем переписывать? проще исправить ошибки в том что уже написано, чем переписывать, и исправлять..глупые вы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #149

146. Сообщение от Аноним (29), 19-Мрт-26, 13:42	+/–
шиндоус по технологиям остался также в 90х, особенно их хваленная ntfs - это просто копролит в плане дизайна FS. Да и как всё остальное в винде. Мак - это ж вроде XNU, Mach и тд - это вообще 80е.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

147. Сообщение от Аноним (148), 19-Мрт-26, 13:47	+/–
Последствия изучения безопасных языков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

148. Сообщение от Аноним (148), 19-Мрт-26, 13:55	+/–
>  _значительно_ меньше Достаточно одной дыры на расте, чтобы сломать систему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #150

149. Сообщение от Аноним (150), 19-Мрт-26, 14:04	+/–
> это ведь язык виновен в ошибках с памятью, а в ошибках с путями внезапно нет, хотя и адрес в памяти и путь к файлу в сути одно и тоже  - указаль на память, озу или пзу. Ээээ? У вас весьма интересное понимание "ошибки памяти" для приложения. Давайте туда запишем еще приступы склероза у разработчика? > фанатично верование в то что избавление от одного вектора атаки (из многих) делает чтото безопаснее, это самообман, Но подтверждений вы никаких не дадите. Потому что они это "фанатичный хейт" в вашей голове. > но картины в целом не меняет, пусть даже 10% там будет, но ценой усложнения, Усложнения? У гугла раст команды эффективнее чем СИ/С++. Возможно дело в неосиляторстве? > вам говорили, что переписывание ничего не решит, избавитесь от одних ошибок, но насажаете других, и ровно это происходит. Бездоказательное вранье. Избавившись от одних ошибок вы насажаете другие. А в случае дырявых - у вас будут и те, и другие. > проще исправить ошибки в том что уже написано, чем переписывать, и исправлять.. За 50+ лет дырявые не смогли исправить ошибки порождаемые СИшкой. Подождать еще 50? > глупые вы Может и глупые, но у десятков миллионов людей раст уже работает. И лучше чем дырявые ЯП.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

150. Сообщение от Аноним (150), 19-Мрт-26, 14:06	+/–
>>  _значительно_ меньше > Достаточно одной дыры на расте, чтобы сломать систему. Написал человек который мало понимает как ломается софт. И что во многих случаях приходится использовать цепочку уязвимостей. Ну ладно. Но на СИ точно так же достаточно одной дыры. И в СИшке дыр будет больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема