https://www.opennet.ru/openforum/vsluhforumID3/123086.html Исследователи безопасности из компании Qualys выявили критическую уязвимость (CVE-2021-3156) в утилите sudo, используемой для организации выполнения команд от имени других пользователей. Уязвимость позволяет выполнить привилегированные операции без прохождения аутентификации. Проблема может быть эксплуатирована любым пользователем, независимо от присутствия в системных группах и наличия записи в файле /etc/sudoers. Для атаки не требуется ввод пароля пользователя, т.е. уязвимость может применяться посторонним для повышения привилегий в системе после компрометации уязвимости в непривилегированном процессе (в том числе запускаемом под пользователем "nobody")...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54474<br> https://www.opennet.ru/openforum/vsluhforumID3/123086.html#405 Fri, 05 Feb 2021 06:54:30 GMT Чайный гриб<br> https://www.opennet.ru/openforum/vsluhforumID3/123086.html#402 Sat, 30 Jan 2021 18:36:45 GMT Разве не substitute user and do?<br> https://www.opennet.ru/openforum/vsluhforumID3/123086.html#401 Sat, 30 Jan 2021 10:08:19 GMT &gt;в centos 6 апдейтов [b]бесплатных[/b] нет :(<br><br>а так-то как минимум три варианта<br> https://www.opennet.ru/openforum/vsluhforumID3/123086.html#400 Sat, 30 Jan 2021 08:43:02 GMT &gt; Способы то всегда есть, вопрос в цене и желании этим всем заняться. <br><br>Где-то здесь sudo назвали важным компонентом системы, но из этого сообщения понятно, что цена этой важности нулевая.<br><br>&gt; Ну так пофиксь.<br><br>Я буду заниматься этим вечно, а есть предложения о том, как писать программы без битья памяти, как сделать так, что бы все им следовали и как автоматически порешать проблемы битья памяти в большинстве стандартных проектов? Почему в дистрибутивах не используют при сборке всяки там эти ваши анализаторы и сборку с миллионом эвристических флагов, попутно доказывая их корректность?<br> https://www.opennet.ru/openforum/vsluhforumID3/123086.html#399 Sat, 30 Jan 2021 08:37:42 GMT &gt; Ну и лишились проекта в результате<br><br>Беру и скачиваю, никуда он не делся. И даже потихоньку пилится сообществом<br><br>&gt; При том что самое ценное что у них есть - нерабочий двигун браузера.<br><br>Прямо сейчас пишу это сообщение из браузера с двиглом отрисовки, написнном на расте. Если что, этот браузер называется firefox<br><br>&gt; Так то и IE3 безопасный - попробуй хоть 1 в диком виде взломать!<br><br>Ведь от того, что им никто не пользуется, в нем исчезли все баги<br> https://www.opennet.ru/openforum/vsluhforumID3/123086.html#398 Sat, 30 Jan 2021 08:31:18 GMT &gt; "вас это ..ть уже не должно" (с) :)<br><br>Меня не ..ть это, но сишники бьют память<br><br>&gt; Отлично, так держать. Еще можете явой обмазаться, на каком еще андроиде. Там другие вещи будут течь, типа геолокации. Удобно, можно бить не только память но и интерфейс.<br><br>А сишники продолжают бить память<br><br>&gt; Ну тогда хоть скриншот из редокса реквестирую с опеннетом. Посмотреть на это нечто.<br><br>Не предоставлю, ибо не влияет на битье памяти сишниками<br><br>&gt; RFC1149 в помощь, телеграфните им в голубятню.<br><br>Телеграфнул, кончились. А дыры из-за битья памяти в сишных программах нет.<br><br>&gt; А голубей будет бить дед с берданкой. Мир не идеален.<br><br>Поэтому мы жаже не будем избавляться от деда с берданкой и не будем улучшать голубей. И си. Голубей продолжат сбивать, а сишники продолжат бить память<br><br>&gt; Сишники знают что идеальный софт - фикция.<br><br>Но они даже не пытаются сделать его лучше.<br><br>&gt; Легко! Достаточно не писать программы - и в них точно не будет дыр, независимо от яп :)<br><br>А можно писать программы и не бить память?<br><br>&gt; Любой ЯП https://www.opennet.ru/openforum/vsluhforumID3/123086.html#397 Sat, 30 Jan 2021 02:30:17 GMT &gt; а само наличие unsafe как явления <br><br>Вообще-то нет ни одного юзабельного языка, который не позволял бы что-то вроде unsafe. Даже в Coq есть Admitted.<br> https://www.opennet.ru/openforum/vsluhforumID3/123086.html#396 Fri, 29 Jan 2021 18:15:57 GMT &gt;&gt; Это какая-то анонимная отсебятина с притягиванием за уши Тюринга, не более.<br>&gt; Он просто довольно общо задвинул.<br><br>Из того, что он "задвинул", совсем никак не вытекает "доказательства Тюринга о невозможности одной программы анализировать другую и вынести вердикт".<br><br>Объясняют на углубленных курсах CS, когда разбирают верификацию//анализ - потому что непременно найдутся те, кто "вспомнит" Тьюринга.<br><br>1) нам никуда не упали _все_ возможные варианты программ и их ввода и вывода, только то (очень маленькое) подмножесто, решающее реальные задачи.<br>2) невозможность "вынесения вердикта" ловится уже банальным счетчиком итераций анализатора и прочими ограничениями. <br>Отказываться от верификации//проверок, лишь потому что они не сработают на некоторых комбинациях - далеко не самый логичный поступок. <br>3) Так же кол. "нерешаемых" программ сильно сокращается при отказе от использования рекурсии или бесконечных циклов и прочими ограничениями. MISRA-C и проч.<br><br>4) Не менее "общно" опровергаем:<br>У нас, в реальности - https://www.opennet.ru/openforum/vsluhforumID3/123086.html#395 Fri, 29 Jan 2021 17:28:54 GMT &gt; И правильно сделали. <br><br>Ну и лишились проекта в результате. При том что самое ценное что у них есть - нерабочий двигун браузера. Зато безопасТный. Ну кто б сомневался что браузер которым никто не пользуется и взломать не получится. Так то и IE3 безопасный - попробуй хоть 1 в диком виде взломать!<br>