Опубликованы сведения о 21 уязвимости в загрузчике GRUB2, большинство из которых приводят к переполнению буфера и могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Проблемы пока устранены только в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, требуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62771
"Си безопасен"
> "Си безопасен""Настоящий сишник никогда бы не допустил такую... такую 21 ошибку"
Но делать ничего мы, НАСТОЯЩИЕ сишники конечно же не будем...
настоящие сишники на зарплате сидят и работы своей у них море, не до открытых проектов. а после всех DEI и COC и желания нет...
... и ваяют такую-же дичь
Да, как на зарплату садишься, сразу начинаешь писать без единой ошибки.
Да, в нормальную контору глуеатеров не берут
В загрузчике не так уж и много кода на самом деле
> "Настоящий сишник никогда бы не допустил такую... такую 21 ошибку"Да там такие ошибки вида "если как следует постаратся - можно устроить побег из Шоушенка". А это точно - баг вообще? :)
Да, просто grub2 писали формошлепы, а не настоящие сишники, иначе бы все было без ошибок
Смысла в этой фразе столько же, сколько в фразе "Rust безопасен".
> Смысла в этой фразе столько же, сколько в фразе "Rust безопасен".Технически, вы правы. Язык Rust ничего не "знает" о безопасности, она - побочный эффект от использования RAII, аффинных типов и семантики владения/заимствования.
Абсолютно верно. Раст защищает от определенного класса ошибок определенными гарантиями. И всё. У Си нет гарантий вообще. Ни для чего.
Есть!
Си гарантирует что ты сможешь сделать всё что захочешь.
А раст такого не гарантирует.
Расскажи, что раст не позволяет. Например?
Раст создает другой класс ошибок, которых в Си нет и не будет.
Самая крутая ошибка - это нет полной прямой совместимости между кодом на различных версиях языка.
> Раст создает другой класс ошибок, которых в Си нет и не будет.Говорят, Си - полный по тьюрингу. Врут?
> Самая крутая ошибка - это нет полной прямой совместимости между кодом на различных версиях языка.
Последняя версия компилятора rust может собирать код на любой из редакций языка (15, 18, 21, 24).
Крейт одной редакции может использовать крейт другой редакции (предыдущей или следующей, без разницы).
Где здесь ошибка?
> Врут?Врут.
> Последняя версия компилятора rust может собирать код на любой из редакций языка (15, 18, 21, 24).
А в одном коде это все нельзя совместить. То есть начал я писать код на 15-ой версии,продолжил на 18, закончил на 24-ой, а код не собирается 24-ой.
Самое безопасТное здесь это "небольшая прослойка shim, заверенная цифровой подписью Microsoft".
Как будто прокладка между клавиатурой и сиденьем тут не причем...
это не си виноват, а рукожопые программисты.
Если руки кривые никто не поможет, а так можете рассказать как выйти за пределы буфера, если проверять размерность данных?-) Для загрузчика скорость не нужна, проверок можно мешок сделать.
Хаха! Сишников решили просто добить на этой неделе!> запись за границу буфера
> переполнения буфера
> целочисленные переполнения
> доступ по нулевому указателю
> обращение к памяти после её освобожденияПросто сишное бинго!
Вот что бывает, если пишешь на дырявых языках из середины 70х!
Ненаписанные проги на расте не глючат знаешь почему, да?
Потому что их писали профи, в отличии от?
Тут недавно кидали ссылку - у гугла в раст коде в андроиде на 1.5 миллиона строк, ни одной ошибки по памяти.
> Потому что их писали профиЭто действительно надо быть профи, чтобы написать прогу которая останется не написаной.
Конечно надо, большая часть хрустокода именно такова, вот, настоящие профи жеж.
security.googleblog.com/2024/09/eliminating-memory-safety-vulnerabilities-Android.htmlя так понимаю, они ничего не писали?
blog.cloudflare.com/pingora-open-source/
эти тоже?
discord.com/blog/why-discord-is-switching-from-go-to-rust
этот маленькая чат-платформа на мане божьей написана?
Конечно, это все ниочем, пенка на гумне. А скиньте загрузчик на расте. Что, нет? А почему? Без ансейфа не получится написать, а с ансейфом не получится надувать щоки про безопасТность?
> я так понимаю, они ничего не писали?Как ничего тоись? Вон, статью целую написали!
И те тоже.
Что они написали на самом деле - ты даже разобраться не сможешь.
Какие-то невероятнейшей запутанности прокладки к прослойкам, хрен знает кому и зачем вообще сдавшиеся. Как мы без этого всего жили - хрен его знает! (А, ну вон - погуглите кому интересно "Android System Safety Core" и "Key verifyer". Не удивлюсь, кстати, если и на хрусте.)> этот маленькая чат-платформа на мане божьей написана?
на игого она наляпана (написана слишком для нее пафосно)
Мелкие кусочки частями переписаны на хруст, потому что они нешмагли в GC и не справились с нагрузками.
И да, чяяяяятик со стикерочками безусловно сверхсложная задача.
> Как ничего тоись? Вон, статью целую написали!Ага. А ты коммент)
> И те тоже.
> Что они написали на самом деле - ты даже разобраться не сможешь.Но могу послушать гуру! Специалиста по аэропортовским тележкам.
> Какие-то невероятнейшей запутанности прокладки к прослойкам, хрен знает кому и зачем вообще сдавшиеся. Как мы без этого всего жили - хрен его знает!Ну можно много без чего жить. Вон в Чите народ в центре горда ходит по делам на улицу.
> И да, чяяяяятик со стикерочками безусловно сверхсложная задача.
Нет конечно. Покажи такую на СИшке)
>> Что они написали на самом деле - ты даже разобраться не сможешь.
> Но могу послушать гуру!слив засчитан (я конечно ожидал что ты выдашь базу, что вот , вот и вот, каждому ж понятно и очевидно что выполняют эти нужнейшие элементы... Нет.)
> Ну можно много без чего жить. Вон в Чите народ в центре
Я совершенно уверен что без "Android System Key Verifier" я неплохо проживу (и уже удалил, как и второго троянца). И да, у нас нигр линчуют.
>> И да, чяяяяятик со стикерочками безусловно сверхсложная задача.
> Нет конечно. Покажи такую на СИшке)irc существует 40 лет. Очень удивлюсь если это недоразумение протянет хотя бы следующие десять.
НОЗОЙЧЕМ? matrix вон вполне обходится пихоном (разумеется, у каждого отдельного сервера никогда не будет столько пользователей, сколько у какого-нибудь efnet в лучшие его времена, но и задачка несколько сложнее стала)
Чуваки просто нешмагли в линейное масштабирование. (а irc - смогли, с теми инструментами и на тех компьютерах, которые были почти 40 лет назад)
> irc существует 40 лет. Очень удивлюсь если это недоразумение протянет хотя бы следующие десять.Палка копалка и ведро вместо туалета существуют гораздо дольше.
Но что-то я не вижу очередь из желающих)
> Чуваки просто нешмагли в линейное масштабирование. (а irc - смогли, с теми инструментами и на тех компьютерах, которые были почти 40 лет назад)А irc в историю смогли? Или лепили костыли?
>> irc существует 40 лет. Очень удивлюсь если это недоразумение протянет хотя бы следующие десять.
> Палка копалка и ведро вместо туалета существуют гораздо дольше.
> Но что-то я не вижу очередь из желающих)А irc жив до сих пор. И те кто умел пользоваться - что-то не бегут сломя голову в матриксы с дискордами (обычно это выбор молоденьких снежинок)
> А irc в историю смогли? Или лепили костыли?
А тебе нужна история чяаааатика? Ты правда собираешься почитать вот эти вот 2863 сообщения набежавшие со вчера? Лично я их просто сбрасываю. А бота сохраняющего за тебя ту историю только ленивый не писал.
Но никто конечно же ее потом не читал.
>А irc жив до сих порДык и лопаты живы до сих пор. И? Это ведь не означает, что они эффективней экскаватора, если вам котлован вырыть нужно. Да?
>А тебе нужна история чяаааатика?
Мне нужна. А что?
Где в том коде загрузчик? Нет? А почему?
> проги на растеА при чем здесь Раст?
NSA. Вроде, и вставить элементарно, но и спрятать затруднительно.
Также как и ненаписанные проги на сишке не глючат. Что сказать то хотел?)
Отвечу за кэпа, а то до тебя туго доходит. То что в отличие от раста прог на сишке гораздо больше. И только поэтому тут обсуждают сишный загрузчик. А не ржавый, которого нет.
И кому это всё мешало?
> Хаха! Сишников решили просто добить на этой неделе!Дай им мастеркласс. Выкинь их софт нафиг! Вон тебе - редсдох ос какой. Без GRUB, конечно. Чем не операционка? Кушай не обляпайся.
Заметь, аноним сверху про Раст ничего не говорил. Сишникам уже ничего не сотается, кроме как приплетать Раст, чтобы отвлечь внимание от своего проблемного языка.
Верно. Был Lilo, работал идеально.
Уже лет тринадцать GRUB/GRUB2 - это дичайший пережиток прошлого, который вовсе не нужен. Когда есть UEFI-загрузчик.
А использовать GRUB с поделкой от Microsoft, это как выбрать в любовницы жирафа и тянуться сразу к сексу и поцелуям. Как можно совместить несовместимое - Microsoft и безопасность?
Куда проще единожды освоить подпись загрузчика собственным KEK, чем вечно сидеть с вывернутой наизнанку задницей. Для особо фанерных тоже предусмотрено решение - SecureBoot disable.
GRUBля уже давно должна была отмереть.
> Когда есть UEFI-загрузчик.А когда нет?
Как вариант, начать работать и накопить на современный аппарат взамен двадцатилетнего.
Чтобы зачем?
Кстати, ещё десять лет назад UEFI был далеко не везде.
Лет десять назад UEFI отсутствовал только на китайских шушлайках.
> Когда есть UEFI-загрузчикА когда паламалася - ведро кривое прилетело, или не совсем удачно собрался обновившийся initrd - идем за флэшкой для переустановки системы, да?
Типичный ручной админ-шаман. Как переставлял винду на каждый чих, так и линукс переставляет. А других админов не осталось, уехали в более лучшие места.
> Типичный ручной админ-шаман. Как переставлял винду на каждый чих, так и линукс
> переставляетнет, это любители системдрянь-бута и уеков будут делать. Ведь у них никакого автоотката на прошлую версию в мейнстримных по крайней мере дистрибутивах не предусмотрено.
Зато они не ручные, разом на весь прод с тыщами серверков накатят, у них такпринято.
> А других админов не осталось, уехали в более лучшие места.
а другие и не нужны, без вас скрипт справляется. А когда он не справляется - ну и переставят, чотакова, две кнопки в "панели" моднявой нажать, все равно на этих серверах сроду ничего ценного не водилось.
А старый переименовать в boot.efi.old в скрипте сборки initramfs религия или отсутствие знания не позволяет?
> А старый переименовать в boot.efi.old в скрипте сборки initramfs религия или отсутствие
> знания не позволяет?"типичный ручной админ-шаман". Но поскольку шаман самозванный - то еще и шаманство его неработающее. Как он загружаться собрался - узнаем в следующей серии, в этой у него на локалхосте винда, похоже.
Lilo - это уже даже не жираф, а какая-то медуза.
Какие они нафиг сишники? Вы когда ни будь пробовали сами GRUB2 настраивать? Истинна говорю вам - его писали какие то наркоманы. И по тому количеству багов там я не удивляюсь.
Лучше вообще не использовать груб и грузить ядро напрямую из UEFI.
> Вы когда ни будь пробовали сами GRUB2 настраивать?Я пробовал, поэтому до сих пор использую grub 0.99. Он просто работает, есть не просит.
пока не нужно той же uefi. Или не хочется рутового раздела zfs.К сожалению, автор сделался вечноживой (не совсем так как планировал) и уже ничего из этого для нас не напишет.
Ну, подождем пока на хрусте перепишут. А пока под виндой посидим.
> пока не нужно той же uefi.Чесслово я даже не знаю, что это такое. Ни разу не сталкивался, и не понимаю зачем оно може быть нужно.
> Или не хочется рутового раздела zfs.
Мне как-то не хотелось ни разу, но я думаю это легко решается при помощи initramfs. А если не решается, вот тогда у меня появится повод наконец переписать grub. Такого рода штуки писать очень по фану. Хотя уефи конечно могут фан весь попортить, одно дело работать с железом, полагаясь только на свои силы, и другое дело иметь между своим кодом и железом очередной стек прослоек над прослойками, чтобы прослоить прослойки, чтобы была возможность больше прослоек богу прослоек.
> подождем пока на хрусте перепишут.
О, да, это было бы особенно увлекательно. Поверх голого железа создавать safe загончики для растового кода, и выпиливать типы, которые избавляют от тех классов ошибок, и от этих тоже, и позволяют писать код который просто работает, не требуя для дебага сначала гонять его до посинения в виртуалке, а потом изучать множественными перезагрузками железа, чем реальное железо отличается от виртуального.
Это было бы увлекательно, но... я как-то пытался растом создать досовый экзешник на расте, и плюнул. Чёта там как-то всё очень нехожено было, и всё приходилось выяснять набивая шишек себе.
> Чесслово я даже не знаю, что это такое. Ни разу не сталкивался, и не понимаю зачем оно
> може быть нужно.уровень... запрещеноговоритьчего.
Я не разглядываю технологии, с которыми не имею дела. Зачем время впустую тратить? Ну и избегаю технологий, которые я не знаю, и которые не несут мне видимых полезностей.
> Я не разглядываю технологии, с которыми не имею дела.В целом, конечно, подход допустимый, но ведь core duo когда-то все же ведь придется обновлять.
Мож лучше уже сейчас начать знакомиться с технологией 2004го года, чтоб потом не было мучительно больно? Я вот по-тихонечку стал переделывать автозагрузки с ipxe на uefi-pxe. Потому что оно работать рано или поздно перестанет совсем, новости федоры обычно быстро становятся неновостями во всех более-менее распространенных дистрибутивах.
Да и проблем с ним меньше.(и да, там grub. uefi grub. Потому что загрузчику надо как-то передавать местные особенности, а значит нужно уметь в управление, а не голое ядро без параметров в надежде что как-нибудь само разберется запускать)
ога, и инклюды он поддерживает, да? :)))))
> ога, и инклюды он поддерживает, да? :)))))он еще и жпеги не поддерживает, прикинь.
Потому что они нафиг не нужны загрузчику с менюшкой из двух строчек.
> могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Bootа может не могут а может она вообще не нужна была изначально
SecureBoot очень полезная фича, когда взята под полный контроль. Всякие Васяны не лезут со своими модификациями системы. А Grub действительно не нужен.
> SecureBoot очень полезная фича, когда взята под полный контроль. Всякие Васяны не лезут со своими модификациями системы.сначала стартует код производителя железа, ключ в OTP памяти его но ты верь что полный контроль у тебя а не у Васяна
Переведи на русский, чего ты хотел то?
Шо ви таки поц и шлизмазл.
А точно ли можно доверять майкрософту который заставляет всех подписывать все его подписями?Верим на слово?
> А точно ли можно доверять майкрософту который заставляет
> всех подписывать все его подписями?Так не доверяйте. И на ноутах линух перестанет грузиться нормально.
И при чем тут мелкософт? Это разве они груб пишут? А не GNU?
> Так не доверяйте. И на ноутах линух перестанет грузиться нормально.
> И при чем тут мелкософт? Это разве они груб пишут? А не
> GNU?При том что на кой его недоделанные приблуды нужны в ноутбуках... чтоб "нормально" грузить линукс. Ты нормальный вообще?
Почему перестанет? Подписывайте своими ключами.Вообще, если углубиться в историю (но это надо читать, это скучно, гораздо веселее распространять FUD о том, что SB это изобретение клятых майков для курощения линуксоидов), то выяснится, что Microsoft этим занимается потому, что никто другой из участников UEFI Forum не горел желанием это на себя взвалить.
никто другой из участников UEFI Forum, в принципе не считал, что этот вендерлок очень нужно стандартизировать.
А где здесь вендерлок? Вся линейка потребительской техники HP серий pro, elite и Z, не говоря уже за сервера, предоставляет открытую модель управления ключами. Dell, скорее всего, также. За китайские поделки говорить не буду. Так китайцам, в принципе, доверять - себя не уважать.
А что, у них в BIOS Setup в разделе Boot нельзя переключиться в режим загрузки Legacy BIOS ?
У кого "у них" и зачем переключаться? Что за трава?
>>>Почему перестанет? Подписывайте своими ключами.Optrom вы тоже подпишите своими ключами? Как раз из недавнего: у одного из производителей серверов попытался удалить из DB "Microsoft Corporation UEFI CA 2011" - отвалился их массив на Adaptec SmartHBA, вероятно, подписанный этим ключом. Ещё у одного Tier-1 производителя в настройках BIOS есть оцпия "Enable Microsoft UEFI CA" - "is enabled by default" как Вы думаете почему? Хотя там предустановленная Ubuntu.
Мы не думаем. И почему отвалился?
>>>Мы не думаем. И почему отвалился?Потому что карты расширения (RAID, GPU) имеют свой UEFI, который часто подписан корневым "Microsoft Corporation UEFI CA 2011", соответственно удаляя этот сертификат из DB получаем невозможность загрузить UEFI карты расширения. Выход тут только энролить конкретную подпись OpROM, затем уже можно пытаться удалять "Microsoft Corporation UEFI CA 2011".
не включай SB
>не включай SBТы его сначала отключи на современных железках, чтоб не включать :)
>>не включай SB
> Ты его сначала отключи на современных железках, чтоб не включать :)sb - в отличие от uefi - обычно легко отключается даже на суперсовременных.
Э... правда, сперва надо загрузиться.
>>не включай SB
> Ты его сначала отключи на современных железках, чтоб не включать :)зашел в BIOS отключил? выбрал загрузку без Secure Boot, а некотрых платформах так еще и CSM доступен, ты главное не бери Surface Laptop )))
> зашел в BIOS отключил? выбрал загрузку без Secure Boot, а некотрых платформахчувак, твой бивис сдох в 2005м году. Баттхед чуть дольше промучался.
Нет никаких бивисов в 2k25. А uefi может вовсе никакого "setup" не предусматривать.
Ну и уж тем более он не даст тебе так просто отключить однажды включенный sb.
И нет, не только на surface, а на любой нормальной системе.
Так не доверяй.
Поменяй ключи и ничто не сможет загрузиться без подписи твоим ключом.
Ну так, джентльмены же.
Подпись M$ на shim - развод: https://www.linux.org.ru/forum/security/17682542?cid=17685158
> Опубликованы сведения о 21 уязвимости в загрузчике GRUB2,
> большинство из которых приводят к переполнению буфера"Ой, кто же это наделал?.. ой-ой, вот кто же это наделал??"
В треда призывается аноним Ян
opennet.ru/openforum/vsluhforumID3/136071.html#44Ув. Ян, вы говорили что пишите на си и не допускаете таких глупых ошибок.
Вы могли бы помочь своим недалеким коллегам из GRUB и научить их?
А нужно ли Яну влезать в этот проект - пережиток прошлого? Или просто Вам так хочется?
Нужно. Поскольку иначе получается, что сишники, которые не допускают таких глупых ошибок, существуют только на словах
Тогда, по аналогии, Вам надо влезть в состав тружеников свалки, предающих тамошнему хламу новую жизнь. Почему? Да потому, что мне так хочется.
Знаете почему находят уязвимости в программах уровня GRUB2 написанных на C, но не находят в таких же написанных на Rust?
Потому что программы первого вида существуют и пользуются популярностью.
Причина тряски?
Причина тряски анонимов в комментариях?
На это не нужна причина, нас всегда трясёт.
О чём бы ни была новость.
Хоть C, хоть Rust.
Хоть Gnome, хоть KDE.
Хоть Linux, хоть FreeBSD.
Хоть Ubuntu, хоть Fedora.
Хоть Valve с Team Fortress, хоть VK с Nau Engine.Зайди в любую новость - там дискотека паркинсонщиков.
Священные войны.. никогда не меняются.
Где он не прав? Вы уже используете какой-то бутлоэдер на расте? Поделитесь?
> в программах уровня GRUB2Простите, но у груб2 уровень просто днище.
Даже systemd-boot просто шикарная вещь по сравнению с этим дырявым быдлокодом, написаным в пьяном угаре какирами с мыслью "ну раз не упало, то можно и в прод"
> но не находят в таких же написанных на Rust?Список CVE уже готов поспорить с этим смелым утверждением. Там по кейворду Rust уже СОТНИ вулнов. При том что софта еще толком никто не видел.
Если все время ходить с закрытыми глазами, то, конечно, ничего не увидишь)
Да вот только все те сотни CVE логические, от которых никто не застрахован. А если всё же поискать слово memory на странице, то будет видно, что все те ошибки памяти из-за кривых привязок к сишным прогам либо из-за работы с сырой памятью.
так надо их просто запретить, вот и все!
Там вроде была "уязвимость" вида "зажать del чтобы обойти secure boot", после такого ещё остались пользователи у этой шляпы? Кому она нужна в эпоху uefi, efistub ж есть?
> Там вроде была "уязвимость" вида "зажать delНужно 28 раз нажать Back Space в поле с именем пользователя или паролем, после чего будет запущена консоль GRUB, из которой можно загрузить собственное ядро (например, с USB-накопителя), получить доступ к данным на дисках или повредить имеющиеся данные.
opennet.ru/opennews/art.shtml?num=43536Новость за 2015 год, а сама проблема с декабря 2009 года.
В общем... в GRUB2 все стабильно.
Дыры на месте. Сишники тоже не изменились)))
в 2015 я еще лилу юзал
lilo.
Так это же хорошо, что можно загрузить другое ядро, если то, что установлено почему-то не грузится.
Если вы напишете низкоуровневые программы на rust там будет сплошной unsafe поэтому это мало что даст.
Почему вы никак не можете понять простую мыль из новости в новость, что не `сплошной`, а только тонкая необходимая низкоуровневая часть и та довольно сильно проверяется компиляторм
> Почему вы никак не можете понять простую мыль из новости в новостьПотому что для этого думать нужно))
А тут твою сишку-любимку посмели обидеть! Кровь застилает глаза и оно бежит строчить коменты!Лучше бы задумались как в сишке писать без таких тупых багов!
Вы патч посмотрите.lists.gnu.org/archive/html/grub-devel/2025-02/msg00025.html
- grub_strcpy (symlink, (char *) data->inode.symlink);
+ grub_strlcpy (symlink, (char *) data->inode.symlink, sz);Этого grub_strlcpy, кстати вообще не было - его дописали для фикса
lists.gnu.org/archive/html/grub-devel/2025-02/msg00027.html
lists.gnu.org/archive/html/grub-devel/2025-02/msg00055.html
- while (*src != '\0')
+ while (*src != '\0' && c > 0)lists.gnu.org/archive/html/grub-devel/2025-02/msg00092.html
- char *val = grub_malloc (2 * taglength + 1);
+ char *val;
+
+ if (grub_mul (taglength, 2, &len) || grub_add (len, 1, &len))
+ return grub_error (GRUB_ERR_OUT_OF_RANGE, N_("tag length overflow"));
+
+ val = grub_malloc (len);
> Потому что для этого думать нужно))и где можно посмотреть на твой продуманный загрузчик на расте?
Кроме загрузчика софта больше не существует?)
На расте - нет не существует. Впрочем есть пара пародий на софт...Но ты не отвлекайся, тут топик про бут-лоадеры. Системная вещь. Дай ссылку на бут-лоадер сделанный на расте.
>> Почему вы никак не можете понять простую мыль из новости в новость
> Потому что для этого думать нужно))
> А тут твою сишку-любимку посмели обидеть! Кровь застилает глаза и оно бежит
> строчить коменты!
> Лучше бы задумались как в сишке писать без таких тупых багов!
> Вы патч посмотрите.Лучше бы спросить, кто из местных "сишников" держит вот это вот (ну и еще 1001 костыль "самого луДьшего ЯП!") в уме:
+ /*
+ * We do not subtract one from size here to avoid dealing with underflowing
+ * the value, which is why to_copy is always checked to be greater than one
+ * throughout this function.
+ */
+ grub_size_t to_copy = size;
Меняем на прикроватной тумбочке K&R на Rust Book и перестаём писать глупости. Как тебе план?unsafe в расте не равен вакханалии в С. Ансейф делает послабления но не отключает все проверки. Всеми любимый, borrow checker неотключаем. А некорректная работа с сырыми указателями вызывет панику, а не расстелит красную ковровую дорожку к левой памяти.
> Меняем на прикроватной тумбочке K&R на Rust Bookлучше уж
Может в тебя документацией 1с кинуть?
Там ОС уже полезней ресдоха
Кинь. Хоть зарабатывать больше будет.
А что, на ней уже и ос написали?!Кидай, немедленно. На нее и переобуемся.
Надо бы сравнить производительность ОС на 1С и на Питоне.
>Меняем на прикроватной тумбочке K&R на Rust Book и перестаём писать глупости. Как тебе план?Если коротко - читай "Замена кроватей в борделе" :)
А что там в грубе низкоуровневого?
Вот всё кроме CVE-2025-0624 - такое, что для этого нужно заранее в систему под рутом попасть, т.е. от обхода синекуребута уже толку нет.
Зато программа на расте будет опасна всегда.
>Зато программа на расте будет опасна всегда.Знаешь почему тебя заминусовали? Потому что никто не может поверить что на расте могут быть программы.
Ну почему же? Даже целая ОСь есть... Ну не целая, половина, четвертушка,...
У Cloudflare код, который проксирует, как минимум, четверть интернета, написан на Раст
Новые компоненты Андроида пишутся на Раст
Тор переписывают на Раст и т.д.
Каково вам живется в выдуманном мире? У вас за окном пони не бегат по кисельным берегам? xD
> У Cloudflare код, который проксирует, как минимум, четверть интернета, написан на Растно никто его почему-то не видит (нет, "фреймворк" ничего не проксирует, он вообще не компилируется)
> Новые компоненты Андроида пишутся на Раст
и что нового лично для тебя появилось в ведроиде за последние пять лет? Обои, если что, и без раста перемещались.
> Тор переписывают на Раст и т.д.
Это вот одна из лучших антиреклам хрусту и его переписькивателям.
Переписывают-переписывают. Лет пять уже не могут справиться с задачей. Кое-как удалось подключиться к сети в качестве клиента, но и это неточно.
Позиция уровня "если я чего-то не вижу, то этого нет". Вы, похоже, и в атомы и молекулы не верите. И космоса для вас не существуест, его же не видно. Ахахахах
> Позиция уровня "если я чего-то не вижу, то этого нет". Вы, похоже,У нас есть ТАКИЕ приборы! Но мы вам их тут не покажем! (Вода холодная!)
> и в атомы и молекулы не верите. И космоса для вас
Атомы можно в общем и целом - увидеть, с помощью инструментов, в них веровать незачем. Электроны нельзя увидеть и в них приходится веровать (и да, там все сложно). Но рассчеты сделанные на основании этих верований - подтверждаются экспериментами (когда не подтверждались - верования редактировались).
А тут "гугль говорит!", "клаудшмара говорит!".
Откройте рот... не вижу патологии, мешающей вам говорить.А данные объективного контроля - вон, ruffle.rs с эскопетой для стрельбы самому себе в задницу. Все еще "пишутъ", хотя уже все давно забыли, зойчем.
Или там вон аналогов не имеющий хрустобраузер, "где он, кстати?"
Или вон тор (да, мало кому нужно, но на сях-то - написали, а не "паритет `почти' уже достигнут!").
Да штош такое, куда ни ткни - место чтоль проклято?!Где, в конце-концов, ИИ, который за нас все будет писать?! А, тоже нае...?
У клаудфлары код, который проксирует.А на деле может быть, что там хелловорлд, который подключается 35.5 сишных библиотек и дальше ехал unsafe через unsafe. Просто назад переделывать лень, а снежинка, которая это пыталась на расте перелепить, уже свалила.
> У клаудфлары код, который проксирует.что в целом тоже задачка достаточно примитивная, примерно 1/10 от того что делает тот же nginx (который, напомню, успешно справлялся до того, что как бы намекает нам на очень-нужность-и-полезность самой клаудшмары в принципе).
> А на деле может быть, что там хелловорлд, который подключается 35.5 сишных
> библиотек и дальше ехал unsafe через unsafe. Просто назад переделывать лень,Судя по другим "успешным успехам" этих ребят в публикации своих исходников - вероятнее всего так и есть, и культуры разработки там в помине не было никогда.
Достаточно вспомнить их чудо-замену hg (на минуточку - на пихоне написанной до рабочего состояния и с документацией - одним человеком за полтора года), которая якобы собиралась, но это неточно, потому что никто не видел. Выкатывалась с такой же помпой - "пасматрити как мы могем!" И которая в конце-концов через пять лет "интенсивной разработки" превратилась в корявенький _cli_client_ ...ой, git.
> а снежинка, которая это пыталась на расте перелепить, уже свалила.
с тем чудом явно произошла та же самая история - группа снежиночек свинтила, так и ниасилив чтоб оно в принципе смогло читать-писать репо, а проект достался чуваку который с трудом понимая, зачем это вообще надо, переделал на работу с гитом, чтоб ничего не менять в скриптах, заточенных видимо под hg в ста местах.
Зато о "таких приборах" раструбили во все трубы - вот это и есть подход клаудшмары - громко орать о невидимых узбеках, даже когда их вовсе не существует.
Ну ладно, спасиба, канеш, за warp. Впрочем, сами же и сломали интернет, сомневаюсь что оный мне пригодится где-то кроме самой клаудшмары.
> В загрузчике GRUB2 выявлена 21 уязвимостьА ещё он медленный дико: ему для загрузки ядра обычно нужны секунды, в то время как syslinux и systemd-boot справляются за десятки-сотни мс.
> медленный дикоБыстрый он насколько это можно, просто там драйвер графики очень очень убогий - и это сделано в угоду совместимости.
Нашёл проблему для локалхоста, загружается, понимаете ли, секунды. А в эмбеддовке, где действительно может быть необходимо быстро, рулит Das U-boot.
что в очередной раз подтверждает не особую нужность этой прелести, в виду существования uki/refind/sdboot.
правда, каким боком grub к ядерному lockdown ? или у него там свой ?
Ой, уязвимости. Срочно бежать исправлять?
Нет.>>большинство.. для обхода .. загрузки UEFI Secure Boot
Создают эту часть кода, багов и подобных свистелок, как и латают, не из любви к искусству, а за оплату копоративными спонсорами.
А большинству на это пофиг.Теперь подумаем, а кто же пишет г-код? Если для UEFI, то подозрения на Микрософт.
А если так, то новость столько о Grub, сколько о запахе от рук. ;)
Не вижу в кодобазе grub санитайзеров и фазинга. А эти уязвимости пофиксились бы рантайм проверками границ как в расте. Оно вам надо? Ну вставьте тогда.
Это здорово и очень хорошо. Копирасты идут ... куда пошлют.
Теперь нас будут "уговаривать", что systemd-boot - наше всё?
Нет, просто все перейдут на systemd-boot
Гентушники, фромскретчники, деуванщики, альпинисты не прейдут.
> Гентушники, фромскретчники, деуванщики,все полтора землекопа
> альпинисты
в контейнерах нет загрузчика
https://pkgs.alpinelinux.org/package/edge/testing/x86_64/sys...
Это пожалуйста, на локалзостах можно и нужно чудить, чтобы потом руки не чесались прод ломать. Но на локалхосте и SB не нужен.
А я вот намеренно на системах systemd впихиваю, где только придумаю, bash-скрипты. Чтоб пришедний потом адепт сыстэмды окуел.
первые и вторые уже давно активно переходят.
у альпайна даже 2 реализации efi-stub'а в репах.
у девуана должна была быть одна независимая от sd. но не сложилось и все просто используют systemd-boot-efi
Я, скорее, на Das U-boot перейду, если на Grub разработчики забьют.
Все четверо?
Авторы, пожалуйста указывайте когда уязвимость появилась!Какой смысл обсуждать вчерашние закладки?
Это какой-то позор?!
Ух взялись за grub. Следом пойдёт PR systemd-boot.
При загрузке ext4 раздела из BIOS многое из перечисленного не уязвимости вовсе. Если при сборке GRUB не добавлять всякий мусор, сократится площадь атаки.
а если вообще не собирать...
"В загрузчике GRUB2 выявлена 21 уязвимость!"
@
Внедряем GRUB2 в продуктив!
Я уже лет десять как загружаю ядро прямо из EFI. Зачем нужен сабж несовсем понятно
Нравится собирать ядро в M$ PE-формате?
Единственный нормальный формат!
Чего же тогда IBM AIX, HP-UX, Solaris его не взяли такой нормальный?
NYH
> Чего же тогда IBM AIX, HP-UX, Solaris его не взяли такой нормальный?чтоб занять всем вместе (забыл еще DEC, SGI, и кто там еще... был) пол-процента серверного рынка, сокращающегося каждый день.
Эти парни точно знают как надо выбирать форматы, с ними не пропадешь!
Это сейчас. Но в их время, пол-процента было у серверов на WinNT. Серверов на Линуксе в проде, наверное, тогда ещё практически не встречалось.
> Это сейчас. Но в их время, пол-процента было у серверов на WinNT.вот она и пожрала половину их кормовой базы, по дороге еще и нетварью перекусив (ну там конечно уже все было плохо). Остатки через десять лет доел lin00ps, но как мы все понимаем, вовсе не в силу каких-то технических преимуществ, а потому что халявка.
В проде кому денег на сан не хватало, тогда в основном была фря, та, 1-2. Линукс был на рабочих местах админов того прода - ну, кому было интересно поковыряться. Кому неинтересно - ставили ту же фрю или выклянчивали у начальства сановскую рабочую станцию, если денег было оппой жуй.
Поскольку в том линуксе плохо было в общем-то всьо.
Это как делается?
уефи, секурибут, ключи какието понапридумывали.... уже прошивку невозможно обновить без виндовса.
а какой толк от всего этого, если вирусы до сих пор пишут и под секурибутом?
а при физическом доступе к компу смысл секурибута обнуляется простым кейлоггером или скринридером.биос с поддержкой дисков больше 2тб, прошивки в неперезаписываемый еепром (потому что надо сразу писать без багов) и операционки на раздельных внешних дисках - вот и всё что нужно для счастья.
"биос с поддержкой дисков больше 2тб, прошивки в неперезаписываемый еепром (потому что надо сразу писать без багов) и операционки на раздельных внешних дисках - вот и всё что нужно для счастья."Неперезаписываемый еепром это наверное тот чип, у которого обломана ножка для подачи сигнала для перезаписи? Или подпаять её на переключатель! Галактико опасносте!!!
Писать без багов не получится, и даже не надо!
Связь между дисками тоже через флешку с переключателем! Галактико двойная опасносте!!!
Вы почти разрушили запланированное устаревание. Поздравляю!
>Или подпаять её на переключатель!да, на переключатель. захотел обновить - включил, захотел - выключил.
это к тем сторонникам секурибута, которые волнуются за запись вирусов в биосы и прошивки.>Писать без багов не получится, и даже не надо!
вы не поверите, но 20 лет назад ты покупал комп с кучей периферии и никакие ПРОШИВКИ обновлять не требовалось (кроме оверклокерской фигни например от асуса)
получается, можно писать. даже если не без багов, то без прошивок, а баги закрывать софтово.>"сейчас оборудование сложнее чем 20 лет назад"
ну так оно усложнилось, потому что специально усложнили добавлением такой бесполезной хрени как секурибут и уефи со специальным разделом уефи (не исключено, что для шпионажа и записи метаданных)
даже на новые микросд-карточках специально оставляют в начале пустое место (якобы для аллокации и перераспределения плохих блоков)
от биоса всего-то и требовалось добавить поддержку дисков больше 2тб.
вон андроид -- уже 15 лет пилят, в нём есть и секурибут и селинукс -- а израильская компания парагон скинула пдф-файлик в воцап -- и все устройства гражданских активистов скомпрометированы.
всё, приехали: 20 лет напряжённой работы экспертов по безопасности гугл-эппл-микрософт и один пдф-файл накрывает медной п...ой безопасность гражданского общества.
а сколько ещё есть дыр, о которых мы не знаем?
зачем тогда усложнять жизнь свободному ПО и ограничивать его доступ к
аппаратному обеспечению бесполезными shim-индульгенциями микрософт?я уверен, что даже когда они встроят в каждый комп чёрный ящик Pluton, то всё равно останутся вирусы, дыры, уязвимости.
>Связь между дисками тоже через флешку с переключателем!вы хотите, чтобы новые версии виндовса сидели на одном диске с каким-нибудь tailsом?
(дырявый дистр для глупых крипто-мошенников от цру на гноме и с нерабочим и непереустанавливаемым ноускриптом в кривом тор-браузере)знаете, новый виндовс12 по слухам будет из коробки с поддержкой ехт4.
(причём это на официальном уровне. на неофициальном они вроде давно уже читают данные с линукс-разделов)лично мне страшно за то, что они могут установить в линукс свой спам переходи на виндовс11(12,13..) или чего похуже.
аналогично црушные кураторы tails могут установить на виндовс-раздел какую-нибудь гадость (спасибо автомонтированию гнома по умолчанию).
а вдруг между кураторами таилс и виндовс возникнет конфликт башен или рассогласование? что тогда будет с компом?
ничего хорошего.поэтому я перенёс венду на внешний нвме с вентоем (иногда надо прошивать телефоны). линукс тоже на внешке. и вместе их не подключаю и не пересекаю. на компе дисков не держу и никому не советую.
хотя в уефи-устройствах уже есть какая-то энергонезависимая память, которая сохраняет состояния и возможно какую-то мету между выключениями.
кстати, чё вы все против переключателей? они были в компьютерной технике давно и давали пользователям надёжный контроль на аппаратном уровне.
нет тока -- модуль точно не работает. и НБА точно не подсматривает из вебки.
>Вы почти разрушили запланированное устаревание. Поздравляю!людям стараются пропихнуть удобство взамен прав и свобод: уефи взамен свободной установки ОС, чекбокс "выключить камеру" взамен переключателю, такси и доставку еды взамен развития общ.транспорта и замещения мигрантами.
Во многом, очень во многом с Вами согласен.
К счастью, мы с Ваии не делаем погоды в мире! Иначе большинство было бы как минимум раочаровано. Про максимум лучше не думать :(
К счастью, да, вы погоды не делаете.гугли: "фотография стоек центра обработки данных". Было бы очень здорово вас с тем дедулей заставить бегать вдоль рядов, дергая бесконечные переключатели (еще неплохо б сперва вынуть, ОСТОРОЖНО! провода не выдерни из разъемов! вооот ту сорокакилограммовую бандуру, и еще 24 штуки - в одной стойке, следующие сорок - следом, открыть корпус, найти переключатель). Но у вас коленки уже не гнутся, глазки не видят, вы ж эту задачу сфейлите, и придется кому-то помоложе.
Переключатель может быть вынесен наружу.
Не всё оборудование настолько критично.
VLAN и IPMI
Двухфакторная организация
и т.д
Токсичность не понятна.
> Переключатель может быть вынесен наружу.ты так и не загуглил картинку? Причем лучше бы поискать реальную, обычно в личных бложиках, а то на рекламных проспектах hi-tier истиный трындец внутри обычно не показан. Успехов тебе в поисках крошечных переключателей где-то в 1-4м уровне от пола. Ну и в 42м тоже интересно, смотри не навернись. (а бывают и 49U стойки)
Отдельно поищи картинки стоечных серверов - угадаешь, где там окажется тот переключатель.
(подсказка, у них все плохо с охлаждением, и практически вся свободная площадь боковых поверхностей занята вентрешетками, там кнопку reset-то иногда втискивают так что хрен найдешь, хрен нажмешь)> Не всё оборудование настолько критично.
в некритичном тем более не будут тратиться на лишние детали.
> VLAN и IPMI
теперь у нас не просто физический переключатель, что еще как-то можно вписать в смету, ну разорвали дорожку, разъем поставили, как-то дотянулись до места где можно его разместить не посадив сигнал ниже допустимого уровня, ок, а цельная схема управления, через ipmi.
Ты за это будешь платить?
Т.е. от пусть детского но инженерного решения перешли уже к откровенной маниловщине.
Ну ок, мечтать-то ты можешь. Но в лучшем случае такие страсти-мордасти окажутся на какой-нибудь китайской геймерской платке в одном-двух исполнениях. И то если убедишь китайца, зачем ему поднимать себестоимость на целых двенадцать центов.
Дедуля, у вас шапочка из фольги сползла. Поправь, а то ближайшая вышка 5g уже напряженно гудит, прошивая тебе моск (она ж не знает что его там нет).> вы не поверите, но 20 лет назад ты покупал комп с кучей периферии и никакие ПРОШИВКИ
> обновлять не требовалосьто что ты, глупый дедушка, ничего не обновлял - не говорит о том что "не требовалось". Говорит о том что 20 лет назад в околоойти было настолько много лишних денег, что даже тебе почему-то нашлась работа.
У меня вполне себе лежат стопочкой диски с этими самыми прошивками аж 99го года.
Это я еще модемные не храню (чего их хранить, там для "обновления" была нужна уф-лампа, если повезло, и программатор, давно уже ничего этого нет). А ведь у какого фидошника в каком-нибудь 93м тоже стопочкой лежали.
Как хорошо что я перешел на systemd boot, теперь никакие агентства на три буквы меня не взломают.
Ага, не взломают, ведь враг уже внутри.
А SELinux, в дополнение к нему, только укрепит вашу уверенность.
> SELinuxНужно отключать в первую очередь везде и сразу. Просто почитайте по заказу какой конторы оно пилилось.
"большинство из которых приводят к переполнению буфера и могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot"Так это не уязвимости тогда, это фичи! ))
Всё же верным решением было ливнуть на systemd-boot
Так все же пользуются systemd-boot или нет?
512 байт MBR хватит всем
Нет, нужен 1mb для MBR gap.
Воистину, ибо https://man.freebsd.org/cgi/man.cgi?query=boot0cfg
Пользуются тем, что идёт по умолчанию в дистрибутиве. Ваш К.О.
> могут использоваться для обхода механизма верифицированной загрузки UEFI Secure BootПочему каждый раз это подаётся как уязвимость груба? Всё равно как если писать «этот эксплоит имеет уязвимость, позволяющую получить права root».
А кому нужен груб, когда mbr уже лет 10 как почил в Бозе?
Да ну? А мужики-то и не знают!
Все так всполошились, как будто они являются акционерами MS, и для них это неприятная новость.
> Скорее стоит вопрос а достоин ли GRUB чтобы его переписали на Rust?Абсолютно недостоин. Всем известно что на хруст переписывают только особо удостоенные такой чести программы.
Вот, кстати, systemd никому не жалко. Займешься? Я готов даже задонатить пару копеек.
Только Debian не испугался признать, что ошибки есть - другие просто выставили "заглушку", что неверная ссылка или запрос..
У остальных ссылки битые в статье
Подставил вместо v правильный CVE:
У Debian есть ссылка на патч
У SUSE есть ссылка на патч в комментариях
У Ubuntu не нашел ссылки на патч
У RedHat не нашел ссылки на патч
и кто ж тебе глупенькому подсказал это сделать?Если б ты не пытался пихать "правильный cve" в неизвестные тебе недра цгишных потрохов чужих сайтов, а просто воспользовался гуглем - то нашел бы, к примеру, вот это:
https://ubuntu.com/security/CVE-2024-45774
(не тратьте клик - "not affected". Убунта, неожиданно, оказалась немоднявой, и не стала в, сцук, загрузчик - пихать нескучные обои, поддержку чрезвычайно нужной hfs+ и еще кучу всего ценного, непонятно, с чего бы это, как вообще можно загружаться без обоев-то в 2k25?)Так что ссылку на патч можешь дальше ждать. (кстати, зачем они дожны пихать ссылку на патч в информацию о проблеме, не подскажешь? В дистрибутивах принято пихать ссылку на собранный пакет - для тех альтернативно-одаренных, кому зачем-то придет в голову руками его скачивать. Остальным вовсе достаточно знания о том что пора бы запустить автообновление.)
Получил ту же информацию, не прибегая к помощи гугла. Догадки выручали ещё до гугла. Привык анализировать не только URL. )
Зачем GRUB2 разбирать jpeg'и и tar-архивы? Какая-то дичь - если ядерный реактор нагрузить допфункциями типа американских горок, то в итоге будет "упс".
> Зачем GRUB2 разбирать jpeg'и и tar-архивы?Как я еще тебе должен отрисовывать нескучные обои, на фоне которых ты пытаешься расслеповать текст?
tar - один из вариантов файловой системы, тут все нормально. Тебя ж не смущает что initrd сейчас у большинства дистрибутивов - просто cpio архив (или сложно - аж два коряво состыкованных архива)?
помню, как топили за grub2/efi/uefi.. дескать, grub уже не торт, надо по-другому, для большего размера дисков.. про верификацию ключами (M$) как-то скромно умалчивали, топя за "секурную загрузку", хотя, при физ. доступе к машине, толку с "секурбута", нет в принципе.. в итоге.. если раньше chainloader/makeactive грузил почти всё, что шло с бут(страп/блок)-кодом в партиции, то сейчас - refind, например..ещё одна причина перейти на опёнок: man 8 installboot
кмк, запихивание любых "ключей верификации" на этап загрузки - прямая дорога к вендорлоку, малвари и прочим, не менее "нужным и полезным"(ц)(тм) вещам..
это нейросетями нашли, или продвинутым статичкеским анализатром кода?
Просто разрабы вышли на пенсию и опубликовали архивы не исправленных багов-)))
Скорее всего, статическими анализаторами.Тут по работе проверили svace’ом OpenJDK - в его составе есть как более-менее нормально написанные части, так и полный шлак типа HotSpot - куча реальных багов (видно, что студенты писали). Или код поддержки джпег - скорее всего, взятый из того же места, что и в Grub - тоже не айс.
Вообще, все эти CVE в сишном коде по примитивным логическим ошибкам вроде выходов за границы массивов или целочисленным переполнениям - это то, что статические анализаторы находят первыми - легко исправляются. А вот чтобы найти анализаторам ошибки в логике программы - на несоответствие ТЗ, например - то тут какой-то ИИ уже нужен.
Статические анализаторы совершенствуются - находят больше багов именно в том, что легче поддается анализу - в сишном коде. Поэтому и выглядит С/C++ как сито (альтернатива запрещенному на Opennet слову).
А если Rust предлагает заменить один тип логических багов (которые легко находятся анализаторами) на другой (переусложнение логики программы из-за необходимости «победить» компилятор, отсюда сложность понимания кода программистом - а непонятный код - ошибочный по определению, отсюда сложность понимания кода анализаторами - они не найдут реальных ошибок и будет казаться, что код «безопасТный»), то нафиг такое нужно.
Я думаю, скоро статические анализаторы позволят полностью очистить сишный код от подобных CVE и он будет также «безопасТен», как код на Rust (не найдены ошибки - значит, их нет))))
Странно что никто не прошел по ссылке. А ведь там дыр в grub - не много всего 4.
А 15 в любимом linux kernel.
Нет, это именно дыры в GRUB. Там свои колхозные урезанные реализации ФС, с ядром Linux не пересекающиеся. Написаны разработчиками GRUB и доступны под лицензией GPLv3+, несовместимой с лицензией GPLv2 под которой ядро.https://github.com/rhboot/grub2/blob/fedora-41/grub-core/fs/
Вся эта мутотень с безопасной загрузкой - попытка мелкософта контролировать рынок ОС.
Вмешаться в загрузчик удалённо нельзя, а имея физический доступ к железу, можно напихать чего угодно. Это во-первых.
А во-вторых, у кого загрузка системы происходит бесконтрольно? Есть такие?