https://www.opennet.me/openforum/vsluhforumID3/131162.html В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2023-38497), вызванная отсутствием учёта значения umask в процессе извлечения файлов из пакетов на Unix-подобных системах, что приводит к установке для извлечённых файлов исходных прав доступа, указанных в архиве...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59548<br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#54 Mon, 07 Aug 2023 17:46:40 GMT Забыли учесть umask. Как это зависит от языка, на котором это забыли?<br><br>Это скорее бага в дизайне unix - по уму, umask следовало бы учитывать на уровне ОС. А так это просто "рекомендация", которую каждое приложение должно учитывать.<br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#53 Sat, 05 Aug 2023 23:46:07 GMT &gt;&gt; На хомяки часто права в духе 755 по дефолту <br>&gt; Где именно? В твоих фантазиях или на серверах безруких админов? Конкретнее.<br><br>В линуксных дистрах, по дефолту, чудак.<br><br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#52 Sat, 05 Aug 2023 23:45:03 GMT &gt;&gt; На хомяки часто права в духе 755 по дефолту <br>&gt; Зачем тогда возиться с каким-то Растом? ) <br><br>1) С правами 755 на хомяк - хомяк пользователя можно браузить.<br>2) Однао файлы вон того пользователя "почему-то" не перезапишешь, вот так сразу. Если там правов не отсыпят.<br><br>А хруст мало того что может, вот, правов на запись левым личностям отсыпать так еще и в том что может быть выполнено потом, очень удобно. Васян пропатчит сорц, юзер соберет, выполнит васянский код ничего не подозревая. И почему бы это не атака - черт бы его знает.<br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#51 Sat, 05 Aug 2023 23:32:06 GMT Стабильность так и прёт<br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#49 Sat, 05 Aug 2023 16:59:52 GMT Прочитай слово "баг". Это несложно, там всего три буквы.<br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#47 Fri, 04 Aug 2023 19:19:43 GMT Небольшой наброс на тему ненужности Раста: не нужен, т.к. есть флаги компиляции вида -Warray-bounds.<br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#46 Fri, 04 Aug 2023 14:48:22 GMT &gt; На хомяки часто права в духе 755 по дефолту<br><br>Где именно? В твоих фантазиях или на серверах безруких админов? Конкретнее.<br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#45 Fri, 04 Aug 2023 14:19:36 GMT Ты еще скажи, чтобы "в языке" (операторами языка, его системой типов и т.д.) они котиков с ютуба качали и перекодировали в 30 форматов. В языке - нет, не могли. А в отдельной утилите обработать ситуацию - должны были. Потому и ошибка.<br> https://www.opennet.me/openforum/vsluhforumID3/131162.html#44 Fri, 04 Aug 2023 13:28:20 GMT Ну вон эту ошибку можно было сделать и не логической<br>Но вот могли же в языке сделать для umask-а единственного владельца с контролем его жизни и учетом работы на всей цепочке вызовов данного кода (передача состояния начиная от разработчика, потом по сети до юзера, и наконец до запуска сборщиком), аналогично работе с указателями.<br>И не сделали<br>