Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от opennews (?), 04-Апр-25, 10:43
Опубликован выпуск пакета XZ Utils 5.8.1, включающего библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz". XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. На прошлой неделе в Git был создан тег 5.8.0, но релиз не был объявлен официально из-за выявленных после публикации тега проблем с производительностью и совместимостью со старыми версиями GNU make... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63017
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от Витюшка (?), 04-Апр-25, 10:43
Here we are again
Ответить | Правка | Наверх | Cообщить модератору

	49. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–2 +/–
	Сообщение от Аноним (49), 04-Апр-25, 15:41
	> Уязвимость вызвана обращением к уже освобождённой области памяти (use after free). Просто XZ Utils писался ненастоящими сишниками. Настоящие сишники такого бы не допустили.
	Ответить | Правка | Наверх | Cообщить модератору

	51. Скрыто модератором	+2 +/–
	Сообщение от Аноним (-), 04-Апр-25, 15:46
	Вы думаете расты такое не напишут? Они мало что такое же могут написать, так ещё не видеть и не проверять нечто подобное, потому что язык у них типо безопастный.
	Ответить | Правка | Наверх | Cообщить модератору

	53. Скрыто модератором	+/–
	Сообщение от Аноним (-), 04-Апр-25, 15:56
	Я вот не сишник, но мне вот честно обидно как русские люди друг к другу относятся. Что вы этим хотите сказать? Что к сишникам нужно хуже относиться? Что не нужна работа на си? Я помню время когда рассказывали что дельфисты не программисты, хотя вот был отличный сайт Королевство Делфи и много книг об этом языке, да и софт был весьма неплохой. У меня вот на телефоне до сих пор есть AIMP. А упаковать самораспаковывающийся архив с выполнением вредоносной программы, да может даже и оформить это как бинарный файл нынче и школьник может после курса "этического" хакинга. Причем некоторые форматы сжатия предполагают выполнение таких сценариев после распаковки.
	Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

2. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+2 +/–
Сообщение от User (??), 04-Апр-25, 10:47
Jia Tun уже занялся переписыванием на соседнюю новость
Ответить | Правка | Наверх | Cообщить модератору

	37. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (-), 04-Апр-25, 13:45
	> Jia Tun уже занялся переписыванием на соседнюю новость В смысле, это где он бэйсик чтоли выложил? А бэкдор там где?
	Ответить | Правка | Наверх | Cообщить модератору

	48. Скрыто модератором	+/–
	Сообщение от Аноним (-), 04-Апр-25, 15:36
	North Korea rules.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–4 +/–
Сообщение от Аноним (4), 04-Апр-25, 11:06
После прошлого года вообще нет доверия к этому XZ, потому что XЗ что там с безопасностью.
Ответить | Правка | Наверх | Cообщить модератору

	7. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+2 +/–
	Сообщение от Афроним (?), 04-Апр-25, 11:17
	В Линукс  это про кофеварки, а вы про какую-то там безопасность. Что дали с лопаты мейнтейнеры вашего дистра, то и жрать надо. Рекомендую Альт - все какахи собраны отечественными профессионалами.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 04-Апр-25, 11:26
	в линуксах хоть ментейнеры, а в винде что найдешь то и сожрешь.. отравился - твоя проблема
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–5 +/–
	Сообщение от Афроним (?), 04-Апр-25, 11:32
	Там чуть иначе же работает. Антивирусы всякие есть как минимум..
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 04-Апр-25, 11:55
	> Там чуть иначе же работает. Антивирусы всякие есть как минимум.. так если нужен антивирус, и в линукс его можно запихать. вообче не проблема
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Афроним (?), 04-Апр-25, 12:28
	В Линукс от него какой смысл? Даже базу каких-нибудь хешей не создать, про всякие эвристики и чего-нибудь поведенческое говорить не приходиться. Больше дистров богу дистров?Ну-ну, так все утюги точно победить можно.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–1 +/–
	Сообщение от Аноним (26), 04-Апр-25, 12:42
	>"в линуксах хоть ментейнеры, а в винде что найдешь то и сожрешь.. " ПО напрямую от производителя лучше, чем от Васи с неизвестно чем.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	55. Скрыто модератором	+/–
	Сообщение от Аноним (-), 04-Апр-25, 16:52
	активно используйте этот принцип в линуксах. или вы думаете ментейнеры - авторы софта? )))
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от пох. (?), 04-Апр-25, 11:56
	> В Линукс  это про кофеварки, а вы про какую-то там безопасность не, ну если кипятком в тебя плюнет - это и правда опастно, а не какой-то там хезе. > все какахи собраны отечественными профессионалами. кофеварка предусмотрительно собрана с импортозамещенным нагревателем, поэтому облить может только холодной водой?
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	25. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Афроним (?), 04-Апр-25, 12:36
	Крутоые мейтейнеры очевидно если нагревательный элемент накодили.) Постквантовый Тюриг.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (18), 04-Апр-25, 12:01
	Ещё бы Астру порекомендовал ;)
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	24. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–1 +/–
	Сообщение от Афроним (?), 04-Апр-25, 12:31
	Она не для васянов,там засекьюрено все по самые помидоры. Альт же как Убунту - ничего делать не надо, изредка копи-паста команд и фсе.)
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 04-Апр-25, 12:48
	Проблема Астры не в засекюренности. Там если обновишся дистр перестает работать. Всё глючит.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от 1 (??), 04-Апр-25, 14:35
	Говорят же в секьюрности. У товщь майора сертификат на обновление получил ? Нет ? Так и не будет работать !
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Простой Пользователь Альта (?), 04-Апр-25, 13:16
	> Она не для васянов,там засекьюрено все по самые помидоры. Это байка для обывателей. Их механизм мандатного доступа, якобы уникальный, на самом деле "вдохновлённый идеей", об этом на хабре разбирали в комментах к статье о её релизе. > Альт же как Убунту - ничего делать не надо, изредка копи-паста команд и фсе.) Нет, не как Убунту, в убунту есть sudo из коробки и нет ниаких театров безопасности вокруг необходимости его отсутствия. По Убунтовым в сети просто океаны гайдов, большая часть из которых написана или даже снята на видео таким языком, что даже необременнённая интеллектом домохозяйка поймёт. В Альтовых же вики, не всегда, но бывает что и рядовой линуксоид без поллитры не разберётся. Информации мало до сих пор, хотя справедливости ради, на их канале стали снимать гайды "для людей" вполне добротные, но их всё ещё мало. Видимо в Базальте есть здравые люди, которые понимают что сейчас пользователи ПК, это не семи пядей во лбу инженеры в белых халатах с перфокартами и мир меняется, как и квалификация пользователей. Альт по кpacнoглaзию стоит где-то между openSUSE и Arch, но в большинстве случаев гораздо стабильнее этих двух вместе взятых, даже стабильнее Leap я бы сказал, если вам просто поставить какой-нибудь медиаплеер и кроме него только браузером пользоваться, то если опустить некоторые занятные странности установщика, то система вполне дружелюбная, но по дистроспецифичности она стоит в ряду непопулярных мандривофорков и прочих PCLinuxOS, чтобы в нём действительно разобраться, нужно прилично гайдов и вики прочесть, а зачастую и поданимать самих разработчиков распросами. Определённо считаю Альт одним из лучших отечественных в техническом плане, но по лёгкости использования до Убунтовых ему к сожалению ещё далеко, даже Fedora ощутимо проще в этом плане.
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	45. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от 1 (??), 04-Апр-25, 14:37
	> Нет, не как Убунту, в убунту есть sudo из коробки А в Alt не поставить sudo ? O_o И su тоже не поддерживается ? O_o
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (30), 04-Апр-25, 13:01
	> В Линукс  это про кофеварки, а вы про какую-то там безопасность. > Что дали с лопаты мейнтейнеры вашего дистра, то и жрать надо. > Рекомендую Альт - все какахи собраны отечественными профессионалами. Ага, как только их пакетник научится вычищать мусор и их мейнтейнеры сообразят что в стабильную ветку не стоит тянуть ломаемые минорными апдейтами версии KDE завозить, так сразу! ;)
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	35. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Афроним (?), 04-Апр-25, 13:33
	Старое ядро удаляется нормально. Менее недели как снес 6.12.17 так как через epm прилетело 6.12.19.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Афроним (?), 04-Апр-25, 13:38
	К тому же если делать apt-get update && apt-get upgrade оно само удалит что не надо.)
	Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от Аноним (6), 04-Апр-25, 11:16
>приводящая к аварийному завершению при попытке распаковки специально оформленных архивов Так а где уязвимость?
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–2 +/–
Сообщение от Аноним (-), 04-Апр-25, 11:29
> Проблема рассматривается как непреднамеренная ошибка, так как > вызвавшее её изменение было внесено в код задолго до прихода > в проект разработчика Jia Tan, деятельность которого привела к > внедрению бэкдора. Даааааа! Все ошибки непреднамеренные))) Просто непреднамеренно забыли проверить на NULL. А потом еще раз непреднамеренно забыли проверить не вышли ли за границы)) + assert(in != NULL || *in_pos == in_size); + assert(out != NULL || *out_pos == out_size); + assert(*in_pos <= in_size); + assert(*out_pos <= out_size); Возможно там этих ЖыТянок половина контрибьюторов, просто они за разные фракции играют.
Ответить | Правка | Наверх | Cообщить модератору

	13. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Да ну нахер (?), 04-Апр-25, 11:49
	А ничего что assert разворачивается в noop в релизном билде?
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от HyC (?), 04-Апр-25, 12:02
	Не всегда. Надо смотреть переопределено ли NDEBUG, и если да, то как в релизном билде.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Совершенно другой аноним (?), 04-Апр-25, 13:22
	Прошу прощения, но как говорится, "вот Вы говорите, а кажется, что Вы бредите" (с) Там правка совсем не в assert()-ах, тем более, что assert()-ы вообще не для этого предназначены. Если так интересно, то патч находится по адресу https://tukaani.org/xz/xz-cve-2025-31115.patch
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

17. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–3 +/–
Сообщение от Аноним (-), 04-Апр-25, 12:01
> Проблема рассматривается как непреднамеренная ошибка Это как, они случайно дырявый язык взяли? С каких пор использование Си - не саботаж, а "непреднамеренная ошибка"?
Ответить | Правка | Наверх | Cообщить модератору

	20. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (18), 04-Апр-25, 12:03
	Со времён K&R.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (47), 04-Апр-25, 15:22
	Добро пожаловать, евангелист! Просветите нас! А то тут все темные, священного слова не знают!
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

21. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от Аноним (-), 04-Апр-25, 12:05
> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. debian 11 $ xz --version xz (XZ Utils) 5.2.5 liblzma 5.2.5
Ответить | Правка | Наверх | Cообщить модератору

	33. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (30), 04-Апр-25, 13:21
	>> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. > debian 11 > $ xz --version > xz (XZ Utils) 5.2.5 > liblzma 5.2.5 Ну и к чему этот пост? К тому что в Debian более старые версии, ну так об этом знают все кто знает про Debian чуть больше, чем то что на нём основана их Убунточка.
	Ответить | Правка | Наверх | Cообщить модератору

	56. Скрыто модератором	+/–
	Сообщение от Аноним (-), 04-Апр-25, 16:54
	поправлю - более рабочие.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (38), 04-Апр-25, 13:47
	5.2.5-2.1~deb11u1 < 5.4.0 < 5.6.0 Всё верно. Проблемы не применимы. Работает, не трожь. А мелочи и патчем поправить можно.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

22. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от Аноним (22), 04-Апр-25, 12:27
>  декодировщик LZMA/LZMA2 добавлена возможность использования инструкций SSE2 вместо функции memcpy() на 32- и 64-разрядных системах x86. Когда-нибудь они дойдут до SSE3 и SSE4. Лет через 20. Но это не точно.
Ответить | Правка | Наверх | Cообщить модератору

	29. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (29), 04-Апр-25, 12:58
	memcpy не реализует те же самые инструкции, тем более с включёнными уровнями оптимизаций и встроенным в компилятор memcpy?
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Ivan_83 (ok), 04-Апр-25, 15:44
	Это сильно зависит от компелятора и libc. Для той же FreeBSD там внутри memcpy есть уже код для более свежих SSE/AVX и куча других оптимизаций.
	Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от Аноним (31), 04-Апр-25, 13:13
>Уязвимость устранена в выпуске XZ Utils 5.8.1, а также перенесена в стабильные ветки 5.4 и 5.6 К этому не мешало бы добавить: The bug has been fixed in XZ Utils 5.8.1, and the fix has been committed to the v5.4, v5.6. No new release packages will be made from the old stable branches, but a patch is available
Ответить | Правка | Наверх | Cообщить модератору

39. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от RM (ok), 04-Апр-25, 13:47
> Уязвимость устранена в выпуске XZ Utils 5.8.1, а также перенесена в стабильные ветки 5.4 и 5.6. прааальна, перемещаем уязвимости в старые версии... прикольная опечатка
Ответить | Правка | Наверх | Cообщить модератору

	42. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (38), 04-Апр-25, 14:30
	А теперь сделай поиск *lzma*.dll на своей секурной винде.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (43), 04-Апр-25, 14:33
	А мне нраица! Ом-ном-ном! *усиленна кушоед кагтуз*
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

46. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от Аноним (46), 04-Апр-25, 14:39
подскажите для сжатия что указывать чтобы максимум тредов использовать?
Ответить | Правка | Наверх | Cообщить модератору

52. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–3 +/–
Сообщение от Аноним (52), 04-Апр-25, 15:52
На самом деле, Си - насмешка над человеческим разумом. Это самообман ТРУЪ кодеров, с кучей UB. Без Раста нет будущего у планеты Земля.
Ответить | Правка | Наверх | Cообщить модератору

54. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–1 +/–
Сообщение от Аноним (-), 04-Апр-25, 16:00
> Уязвимость вызвана обращением к уже освобождённой > области памяти (use after free). Как же так вышло?? Неужели лучшие умы человечество опять допустили такую банальную ошибку!
Ответить | Правка | Наверх | Cообщить модератору

57. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от dannyD (?), 04-Апр-25, 17:47
в генту обновился до 5.6.4-r1
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема