forum.opennet.ru - "Уязвимость в GNU screen, позволяющая выполнить код с правами root" (92)

"Уязвимость в GNU screen, позволяющая выполнить код с правами root"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GNU screen, позволяющая выполнить код с правами root"	+/–
Сообщение от opennews (?), 12-Май-25, 23:52
В консольном оконном менеджере (мультиплексоре терминалов) GNU screen, предоставляющем многооконный интерфейс в консоли, выявлено 5 уязвимостей. Наиболее опасная проблема (CVE-2025-23395) позволяет получить права root в системе. Исправление выключено в состав сегодняшнего выпуска screen 5.0.1... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63226
Ответить \| Правка \| Cообщить модератору

Оглавление

Некорректное использование функции strncpy , Витюшка (?), 23:52 , 12-Май-25, (1) +11

приводящее к аварийному завершению при выполнении специально оформленных команд , Аноним (2), 23:59 , 12-Май-25, (2) +8

А вы в сяшечке всё так же любите игнорировать предыдущие 4 уязвимости, лишь бы р, НяшМяш (ok), 00:17 , 13-Май-25, (4) +7

Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти , Нуину (?), 00:48 , 13-Май-25, (7) +4

Да-да, только никто этого не делает , Rev (ok), 02:14 , 13-Май-25, (24) +1

Делают , anonymous (??), 12:08 , 13-Май-25, (84) +1
В том то и проблема что делают Каждый раз заново и каждый раз получается уродски, Аноним (-), 12:24 , 13-Май-25, (87) +2

Убрать ошибку на корню - это юзать нормальный язык вместо С Но это ж надо уметь , Аноним (49), 08:10 , 13-Май-25, (49) –7
Скрыто модератором, Аноним (-), 11:11 , 13-Май-25, (75)
Мешает традиционная сишечная халатность Писать нормальный строковый тип - это же, Аноним (88), 12:30 , 13-Май-25, (88)

Ну, судя по тому, что никто не использует rustscreen или что-то подобное, похоже, Нуину (?), 01:18 , 13-Май-25, (12) +10

Молодой человек не слышал про Zellij , Аноним (-), 09:21 , 13-Май-25, (55) +1

Не трать зря время По расту методичка такая на нём ничего не написано, а если , Аноним (62), 10:01 , 13-Май-25, (62) +1
Нет, не слышали Что-то ещё, кроме фаерфокса, вспомните , Аноним (111), 13:53 , 13-Май-25, (111)

Ой, а типа gnu screen кто-то использует Не, ну найдутся пару извращенцев, котор, Аноним (-), 12:34 , 13-Май-25, (91) +3

screen умеет открывать COM порт, а tmux попсовый нет, вот и думай что тру, а что, streametch (?), 13:33 , 13-Май-25, (108)

ух, вот целый день сижу и компорты открываю Москвич-408 можно было заправлять бе, Аноним (-), 14:32 , 13-Май-25, (118) +1
Скрыто модератором, Аноним (-), 15:49 , 13-Май-25, (124)

Так есть и другие способы работы со строками, даже не в C , но и в С, и в том ч, _kp (ok), 01:53 , 13-Май-25, (21) +1

Стандартные строковые функции - идеальны Делают ровно то, что заявляют Если не, анонимммм (?), 07:17 , 13-Май-25, (48)

Си идеален, делает то что заявляет Никто ведь не заявлял, что программы на си б, Аноним (92), 12:36 , 13-Май-25, (92) +1
Легендарные сишные строковые функции, как будто специально придуманные для переп, Аноним (116), 14:23 , 13-Май-25, (116) +1

А из предыдущих четырёх раст бы защитил от одной - с состоянием гонки А остальн, Оно ним (?), 03:00 , 13-Май-25, (30) +1
Behavior undefined, это нормально для системного языка программирования Ненорма, Аноним (-), 06:26 , 13-Май-25, (45)

Ага Допускаешь ошибку и у тебя удаляет все файлы из корня Почему Потому что п, anonymous (??), 08:23 , 13-Май-25, (50)

ага, вступил не туда и остался в лучшем случае без пятки, чвкп дор , Аноним (93), 12:36 , 13-Май-25, (93)

Нет, не нормально Неопределённое поведение нужно было для запуска си на разных , Аноним (92), 12:40 , 13-Май-25, (95)

Так уцелевшие архитектуры тоже содержат в себе кучу легаси , Аноним (113), 14:07 , 13-Май-25, (113)

Вопрос не в наличии легаси как такогового, вопрос в том, что при программировани, Аноним (92), 14:26 , 13-Май-25, (117)

По-хорошему, следует признаться себе, что никаких 171 строк 187 в нормально, Аноним (51), 08:32 , 13-Май-25, (51) +1

или уроки учи, str ты наш, 12yoexpert (ok), 10:51 , 13-Май-25, (69)

Деды обижаются , Аноним (51), 11:54 , 13-Май-25, (80) +1

wannabe обижаются Дiдам уже давно похрен , User (??), 15:59 , 13-Май-25, (126)

Я расстрою очередного к експерта, но panic - это _контролируемое_ завершение пр, Аноним (5), 00:30 , 13-Май-25, (5) +5

Дак ведь SIGABRT тоже на сишке написан в ядре , что не нравится то , Аноним (2), 01:50 , 13-Май-25, (20) +1
Но не всегда уместное А вне десктопа и совсем не уместное тут не ручной перезап, _kp (ok), 02:00 , 13-Май-25, (22) +1

Ты всё перепутал Это как раз на десктопе таким пугать пользователя нельзя А на, Аноним (32), 03:27 , 13-Май-25, (32)

к вменяемому серверу прилагается админ Проблема закрыта А если например контрол, _kp (ok), 15:18 , 13-Май-25, (122)

Монады изобретены, но сишники как всегда об этом не знают , Аноним (92), 12:44 , 13-Май-25, (98)

Идея паники понятна, но аноним попался на незнании ОС ни Сижки sukabrt это тебе, Аноним (34), 03:55 , 13-Май-25, (34)
SIGABRT это тоже контролируемое, по вызову abort Настоящие сишники любят SIGS, Аноним (116), 14:45 , 13-Май-25, (120)

Крашнуться, то есть срочно завершиться - это наилучшее поведение при непредусмот, Соль земли (?), 10:20 , 13-Май-25, (65)
Как и ожидалось, про монады сишники ничего не слышали И даже сейчас, они не пой, Аноним (92), 12:31 , 13-Май-25, (89) +1

Просьба уточнить использование термина монады имеется ввиду та самая разновид, Аноним (114), 14:14 , 13-Май-25, (114)

Скрыто модератором, Аноним (92), 16:28 , 13-Май-25, (130)

просто оставлю это здесь https undeadly org cgi action article sid 2009071219, крокодил мимо.. (-), 01:01 , 13-Май-25, (8) +2
То есть диды написали тонны сишного кода в ГНУ Линуксах и уходят, а сопровождать, sena (ok), 01:04 , 13-Май-25, (10) +2

А где там в gnu screen тонна кода Получается некому, а те, кто могут, не хотят , Нуину (?), 01:15 , 13-Май-25, (11)

Тогда все эти мансы с растом обретают иной смысл - просто Торвальдс хочет привле, sena (ok), 01:25 , 13-Май-25, (14)

Я думаю там замешаны конторы, у которых ставка на раст У них профит простой ну, Нуину (?), 01:35 , 13-Май-25, (15) +1

Для дешёвых разрабов нужен низкой порог входа и превышение предложения над спрос, Карлос Сношайтилис (ok), 10:21 , 13-Май-25, (66)

меня больше тревожит, что некоторые не умеют в русский язык , 12yoexpert (ok), 02:28 , 13-Май-25, (27)

Почем тебя это тревожет, Аноним (34), 03:57 , 13-Май-25, (36)

потому-что на нем можно писать прозрачные слова белый листочек А4 или спокойно, Аноним (93), 12:45 , 13-Май-25, (99)

И совершенно правильно делает Оно им надо, в кучах дедовского г 8230 копаться, Аноним (51), 09:55 , 13-Май-25, (60)

Понять можно, простить - никогда Надо писать научный труд отсутствие преемст, sena (ok), 10:54 , 13-Май-25, (71)

Деда ответ с Интересно, писал ли кто-то подобное в стиле молодежь не хочет, Аноним (-), 11:05 , 13-Май-25, (74)

Ты переоцениваешь возможности корпов, даже бабло не всемогуще Если разрабов спо, sena (ok), 11:19 , 13-Май-25, (76)

Скрыто модератором, Аноним (-), 16:19 , 13-Май-25, (127)
Ну будет как с modern perl ом - пользуемся, пока работает, как ломается - перепи, User (??), 16:21 , 13-Май-25, (128)

Варианта, что ядро будет написано на нормальном языке, а не там, чуть ли не на к, Аноним (92), 13:18 , 13-Май-25, (107)

Шансы не нулевые Если Торвальдс успеет сейчас оперативно массово привлечь молод, sena (ok), 15:52 , 13-Май-25, (125)

Написать заново, с нуля, можно мс-дос или миникс, с соответствющим функционалом , Аноним (92), 16:37 , 13-Май-25, (131)

А кто платить то будет , Аноним (93), 12:39 , 13-Май-25, (94)

Угу чудовищная безответственность А ты бы хотел ковыряться в старых жигулях как , Аноним (-), 10:59 , 13-Май-25, (72)

Я, поднимая седую бороду от жигулей а что кто здесь Вообще-то я не осуждаю, п, sena (ok), 11:44 , 13-Май-25, (78)

Я знаю одного знакомого деда, который на старости по образованию был преподават, Аноним (-), 12:02 , 13-Май-25, (82)

Тогда уже можно закапывать А здесь хоть есть молодёжь, опросы проводили , sena (ok), 12:14 , 13-Май-25, (86)

Снобизмом попахивают слова твои На темную сторону силы ведет сей путь А молодеж, Аноним (-), 12:32 , 13-Май-25, (90) +1

МИРУ НУЖНО НОВОЕ ЯДРО , Аноним (110), 13:40 , 13-Май-25, (110)

Миру нужны стандарты, ядра могут быть собственной разработки , Аноним (115), 14:22 , 13-Май-25, (115)

Всё, что нужно знать о GNU , Krtek (?), 01:24 , 13-Май-25, (13) –2
Zellij, tab-rs , Аноним (17), 01:40 , 13-Май-25, (17) –1
А нынешний сопровождающий 8212 это alexander_naumov opensuse org ведь Они та, Аноним (19), 01:45 , 13-Май-25, (19) +2

Не суди строго должно быть бро открыл олдскульную кодовую базу и у него глаза п, Аноним (37), 04:07 , 13-Май-25, (37) +2
Эта новость основана на репорте SUSE Мнение другой стороны, Александра, upstrea, вася пупкин (?), 13:40 , 13-Май-25, (109) +2

Кстати интересно Он у них получается вообще дурачок дурачок, который ничего не , Null (??), 14:36 , 13-Май-25, (119) +1

Это 100 совпадение конечно наверно но 4 из 5 найденых SUSE проблем, это ко, вася пупкин (?), 15:41 , 13-Май-25, (123)

Роллинг это быстрые фиксы с одной стороны и новые вулны с другой , Аноним (31), 03:01 , 13-Май-25, (31)
Спасибо этим господам что побегали для нас по минному полю и разминировали прямо, Аноним (43), 06:09 , 13-Май-25, (43)

Им спасибо, а мы продолжим юзать tmux в роли терминал-мультиплексора, Аноним (44), 06:25 , 13-Май-25, (44) +3
В NetBSD в 3rd-party пакетах есть обе версии, а в базовой системе идет tmux , Аноним (2), 13:12 , 13-Май-25, (105)

Как обычно, у проектов GNU код низкого качества Ничего хорошего от этой конторк, Аноним (52), 08:35 , 13-Май-25, (52) +1

пользоваться им я конечно не буду, Аноним (81), 12:00 , 13-Май-25, (81)

Врети - в BSD tmux вместо скрина А GNU пора закопать на свалке истории как что-, name (??), 08:56 , 13-Май-25, (54)

Ну вот и сиди на своём tmux, а нам на GNU screen хорошо , Аноним (64), 10:15 , 13-Май-25, (64) +1

В Debian без setuid setgid Но как же он тогда работает Дебьяновская магия , Соль земли (?), 10:10 , 13-Май-25, (63)
Про NetBSD какая-то ложь В pkgsrc есть две версии pkgsrc misc screen и pkgsrc , Аноним (2), 11:01 , 13-Май-25, (73) +1
Какой-то странный эксплойт Не желает он в подмененный файл писать, поскольку эт, Аноним (101), 12:54 , 13-Май-25, (101)

Хм, а они успели разделиться на 4 и 5 ветки, оказывается, а я всё проспал К сча, Аноним (101), 13:03 , 13-Май-25, (103)

setuid на бинарник для мультиплексинга экранов А чё на tee сразу setuid не , Аноним (111), 14:01 , 13-Май-25, (112)
Авторо новости просто перечислил системы про которые слышал хоть и не видел как, Мимокрокодил (?), 16:23 , 13-Май-25, (129)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +11 +/–

Сообщение от Витюшка (?), 12-Май-25, 23:52

Некорректное использование функции strncpy()...

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +8 +/–

Сообщение от Аноним (2), 12-Май-25, 23:59

приводящее к аварийному завершению при выполнении специально оформленных команд.
Вы же вроде в расте как раз такое и любите - чуть что - сразу паника (аварийное завершение)

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +7 +/–

Сообщение от НяшМяш (ok), 13-Май-25, 00:17

А вы в сяшечке всё так же любите игнорировать предыдущие 4 уязвимости, лишь бы растовиков попинать. Почитал описание функции strncpy и за голову схватился - словосочетание "behavior undefined" встречается аж 3 раза. Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой, ничего при этом не испортив, чем как сяшечники звучно оподливившись в шаровары.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +4 +/–

Сообщение от Нуину (?), 13-Май-25, 00:48

> Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой
Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки на корню.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Rev (ok), 13-Май-25, 02:14

Да-да, только никто этого не делает :(

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от anonymous (??), 13-Май-25, 12:08

Делают.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +2 +/–

Сообщение от Аноним (-), 13-Май-25, 12:24

> Да-да, только никто этого не делает :(
В том то и проблема что делают.
Каждый раз заново и каждый раз получается уродский велосипед.
А потом RCE в самописном split string.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

49. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." –7 +/–

Сообщение от Аноним (49), 13-Май-25, 08:10

> Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки на корню
Убрать ошибку на корню - это юзать нормальный язык вместо С.
Но это ж надо уметь делать выводы из полувека наступаней на грабли...

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

75. Скрыто модератором +/–

Сообщение от Аноним (-), 13-Май-25, 11:11

широкая душа краев не видит

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

88. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (88), 13-Май-25, 12:30

> Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки
Мешает традиционная сишечная халатность.
Писать нормальный строковый тип - это же что-то там шевелиться надо, тестировать, да и мысли крамольные в голову лезут типа "ну и накой я изобретаю велосипед вместо использования C++?".
А вот православный пердолинг с буферами и str*cpy() - вот он, уже готовый под рукой!

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

12. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +10 +/–

Сообщение от Нуину (?), 13-Май-25, 01:18

> Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой,
Ну, судя по тому, что никто не использует rustscreen или что-то подобное, похоже растовщики по прежнему наворачиваются с подробным стектрейсом и ошибкой.
>  ничего при этом не испортив
Да, сложно испортить код, которого нет.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

55. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (-), 13-Май-25, 09:21

Молодой человек не слышал про Zellij?

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (62), 13-Май-25, 10:01

Не трать зря время. По расту методичка такая: на нём ничего не написано, а если что-то и написано, то это безоговорочно какая-то смешная или ненужная ерунда для пацанят на электроскутерах.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (111), 13-Май-25, 13:53

Нет, не слышали. Что-то ещё, кроме фаерфокса, вспомните?

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

91. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +3 +/–

Сообщение от Аноним (-), 13-Май-25, 12:34

> Ну, судя по тому, что никто не использует rustscreen
Ой, а типа gnu screen кто-то использует))
Не, ну найдутся пару извращенцев, которым любой kaл, лишь бы gnu... но все нормальные пользуются tmux.
> Да, сложно испортить код, которого нет.
Таки есть. Zellij например. Или  wezterm.
Но откуда хейтерочку об этом знать.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

108. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от streametch (?), 13-Май-25, 13:33

>> Не, ну найдутся пару извращенцев, которым любой kaл, лишь бы gnu... но
>> все нормальные пользуются tmux.
screen умеет открывать COM порт, а tmux попсовый нет, вот и думай что тру, а что kал

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (-), 13-Май-25, 14:32

> screen умеет открывать COM порт, а tmux попсовый нет,
ух, вот целый день сижу и компорты открываю)
> вот и думай что тру, а что kал
Москвич-408 можно было заправлять бензом с ослиной моchой, но почему-то очереди из желающих окунуться в прдолинг с устаревшей техникой как-то не наблюдается.
Ты бы еще поныл, что в городе лошадь припарковать негде и овес не продают на каждом шагу.

Ответить | Правка | Наверх | Cообщить модератору

124. Скрыто модератором +/–

Сообщение от Аноним (-), 13-Май-25, 15:49

> Не, ну найдутся пару извращенцев
> screen умеет открывать COM порт
А вот и первый пожаловал :)

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

21. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от _kp (ok), 13-Май-25, 01:53

Так есть и другие способы работы со строками, даже не в C++, но и в С, и в том числе на микроконтроллерах.
А тащить бородатые "стандартные функции", которые на каждый чих надо обкладывать проверками, но на это  все равно где нибудь забьют, так себе стиль.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

48. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от анонимммм (?), 13-Май-25, 07:17

Стандартные строковые функции - идеальны. Делают ровно то, что заявляют. Если не хочется обкладывать код проверками, то эти проверки придётся интегрировать в сами функции, которые тем не менее придётся обкладывать проверками.
"Так себе стиль" - просто норма жизни. Без проверок нельзя.

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (92), 13-Май-25, 12:36

>Стандартные строковые функции - идеальны. Делают ровно то, что заявляют
Си идеален, делает то что заявляет. Никто ведь не заявлял, что программы на си будут корректны, правильно? Правильно. Так что всё хорошо, программы на си для того и пишутся, чтобы портить память
>которые тем не менее придётся обкладывать проверками.
Внормальных языках будет ошибка компиляции, если вы проверку забудете.

Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (116), 13-Май-25, 14:23

Легендарные сишные строковые функции, как будто специально придуманные для переполнения буферов.
Особенно идеальна strncpy. Очевидно, что функция с таким названием копирует строку? А нет, копирует не более n ненулевых байтов из источника и добивает буфер до n нулями (зачем?), ломая инвариант - в буфере после копирования не строка.
Отличная функция для строковой библиотеки, чувствуется могучий дедовский дизайн - собрать столько бесполезной функциональности в одной функции.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

30. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Оно ним (?), 13-Май-25, 03:00

А из предыдущих четырёх раст бы защитил от одной - с состоянием гонки. А остальные точно так же и в расте были бы.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

45. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (-), 13-Май-25, 06:26

Behavior undefined, это нормально для системного языка программирования. Ненормально когда люди проектирующие язык программирования пытаются полностью устранить Behavior undefined.
Behavior undefined - это просто объективное явление, его невозможно полностью устранить. И наличие в языке behavior undefined, не делает язык автоматически плохим. Вам надо уметь гибко мыслить, шаблонное мышление, это плохо.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

50. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от anonymous (??), 13-Май-25, 08:23

> Behavior undefined, это нормально для системного языка программирования
Ага. Допускаешь ошибку и у тебя удаляет все файлы из корня. Почему? Потому что поведение неопределено - компилятор что хочет, то и делает.

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (93), 13-Май-25, 12:36

> Ага. Допускаешь ошибку и у тебя удаляет все файлы из корня.
ага, вступил не туда и остался в лучшем случае без пятки, чвкп*дор :)

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (92), 13-Май-25, 12:40

>Behavior undefined, это нормально для системного языка программирования
Нет, не нормально. Неопределённое поведение нужно было для запуска си на разных экзотических архитектурах. Сейчас, когда приличная часть этих архитектур сохранилась разве что в музеях, си продолжает хранить в себе те компромисы, которые давным давно уже никому не нужы

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

113. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (113), 13-Май-25, 14:07

Так уцелевшие архитектуры тоже содержат в себе кучу легаси.

Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (92), 13-Май-25, 14:26

Вопрос не в наличии легаси как такогового, вопрос в том, что при программировании в 2025 году под современный гну/линукс, приходится сталквиваться с ограничениями прямоиком из 1970 года, в перемешку с ограничениями всяких экзотических архитектур типа avr. Если бы screen активно исползьовался под тем допотопным юниксом или на микроконтроллере, то это могло бы иметь смысл, а так это ограничения ради ограничений.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (51), 13-Май-25, 08:32

По-хорошему, следует признаться себе, что никаких «строк» (в нормальном понимании) в сишечке нет, и избегать библиотечных функций str* как огня.
Но — зачем напрягаться. Что дедам было хорошо, и нам сгодится.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

69. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от 12yoexpert (ok), 13-Май-25, 10:51

или уроки учи, str* ты наш

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (51), 13-Май-25, 11:54

Деды обижаются.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от User (??), 13-Май-25, 15:59

wannabe обижаются. Дiдам уже давно похрен )

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +5 +/–

Сообщение от Аноним (5), 13-Май-25, 00:30

>> приводящее к аварийному завершению при выполнении специально оформленных команд.
>> Bad strncpy() Use Leads to Crashes when Sending Commands
> Вы же вроде в расте как раз такое и любите - чуть что - сразу паника (аварийное завершение)
Я расстрою очередного (к)експерта, но panic - это _контролируемое_ завершение программой самой себя, в случае непредвиденной (или осознанно проигнорированной погроммистом) ошибки-ситуации.
А не вот это вот любимое Настоящими Погроммистами "мы тут немного попортили память за пределами буфера, вследствии чего код далее делал незнамо что, пока не прилетел SIGABRT" ...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

20. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (2), 13-Май-25, 01:50

Дак ведь SIGABRT тоже на сишке написан (в ядре), что не нравится то?

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от _kp (ok), 13-Май-25, 02:00

> panic - это _контролируемое_ завершение..
Но не всегда уместное. А вне десктопа и совсем не уместное.
> немного попортили память за пределами буфера
тут не ручной перезапуск уместен, а замена ПО требуется.
Ну, можно же и на Си нормально работь со строками, без неандертальских функций и тупых строковых буферов. Ну, ладно, хотя бы  в коде не требующего сверхбыстродействия.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

32. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (32), 13-Май-25, 03:27

> А вне десктопа и совсем не уместное.
Ты всё перепутал. Это как раз на десктопе таким пугать пользователя нельзя. А на сервере я как раз хочу чтобы упало, а не тихонько неизвестно как то ли работало, то ли память портило. Как падения софта мониторить давно придумали и решили сотней разных способов. А вот как мониторить порчу памяти до сих пор не договорились.

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от _kp (ok), 13-Май-25, 15:18

> на сервере я как раз хочу чтобы упало
к вменяемому серверу прилагается админ. Проблема закрыта.
А если например контроллер теплицы, или контроллер съёмки с телескопа, то если и упал, поднялся и снова работать. А лучше вовсе не падать.
> как мониторить порчу памяти до сих пор не договорились.
Не использовать без обоснования ретро функции, и нет проблемы.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (92), 13-Май-25, 12:44

>Но не всегда уместное
Монады изобретены, но сишники как всегда об этом не знают.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

34. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (34), 13-Май-25, 03:55

Идея паники понятна, но аноним попался на незнании ОС ни Сижки: sukabrt это тебе он сегфоулт, он швыряется тоже по пурпоузу, как и эксепшен этот ваш панический. Если словил аборт это как раз самое контролируемое что ни на есть

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

120. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (116), 13-Май-25, 14:45

SIGABRT это тоже контролируемое, по вызову abort(). Настоящие сишники любят SIGSEGV.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

65. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Соль земли (?), 13-Май-25, 10:20

Крашнуться, то есть срочно завершиться - это наилучшее поведение при непредусмотренной работе программы. Так ты быстрее всего поймёшь, что что-то не так.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

89. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (92), 13-Май-25, 12:31

>Вы же вроде в расте как раз такое и любите - чуть что - сразу паника
Как и ожидалось, про монады сишники ничего не слышали. И даже сейчас, они не пойдут выяснять, что это такое. Память сама себя не испортит, а патч, против порчи памяти, сам себя не напишет.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

114. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (114), 13-Май-25, 14:14

Просьба уточнить использование термина "монады": имеется ввиду та самая разновидность функтора из теории категорий или кто-то что-то левое назвал "монадой" для большей крутости?

Ответить | Правка | Наверх | Cообщить модератору

130. Скрыто модератором +/–

Сообщение от Аноним (92), 13-Май-25, 16:28

>>= и >|= если впрочем понимаете, о чём я.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +2 +/–

Сообщение от крокодил мимо.. (-), 13-Май-25, 01:01

просто оставлю это здесь..
https://undeadly.org/cgi?action=article;sid=20090712190402

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +2 +/–

Сообщение от sena (ok), 13-Май-25, 01:04

> нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта
То есть диды написали тонны сишного кода в ГНУ/Линуксах и уходят, а сопровождать его вместо них некому.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Нуину (?), 13-Май-25, 01:15

> То есть диды написали тонны сишного кода в ГНУ/Линуксах и уходят
А где там в gnu screen тонна кода?
> а сопровождать его вместо них некому.
Получается некому, а те, кто могут, не хотят. Об этом яжфин говорил, что проблема есть в сопровождающих.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от sena (ok), 13-Май-25, 01:25

> Об этом яжфин говорил, что проблема есть в сопровождающих.
Тогда все эти мансы с растом обретают иной смысл - просто Торвальдс хочет привлечь к разработке молодёжь, а она в си не умеет и не хочет. Ну и скандал, борьба, революция, всё это тоже важно для привлечения молодёжи.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Нуину (?), 13-Май-25, 01:35

> Тогда все эти мансы с растом обретают иной смысл - просто Торвальдс хочет привлечь к разработке молодёжь, а она в си не умеет и не хочет. Ну и скандал, борьба, революция, всё это тоже важно для привлечения молодёжи.
Я думаю там замешаны конторы, у которых ставка на раст. У них профит простой: нужны дешевые разрабы.
> а она в си не умеет и не хочет.
Справедливости ради молодёжь много чего не умеет не хочет. А нет, умеют писать жручие и тормозные поделия на электроне.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Карлос Сношайтилис (ok), 13-Май-25, 10:21

> Я думаю там замешаны конторы, у которых ставка на раст. У них профит простой: нужны дешевые разрабы.
Для дешёвых разрабов нужен низкой порог входа и превышение предложения над спросом. В расте ни того ни другого не наблюдается.
Скорее гошка, но даже там рынок не насыщен исчо.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от 12yoexpert (ok), 13-Май-25, 02:28

меня больше тревожит, что некоторые "не умеют в русский язык"

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

36. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (34), 13-Май-25, 03:57

Почем тебя это тревожет

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (93), 13-Май-25, 12:45

потому-что на нем можно писать прозрачные слова (белый листочек А4) или спокойно одно слово подменять другим и вовсе не синонимичным. Ипаразитным словом теперь является не "б*ять", а "наш". Вот такой вот аксиомный бихевиор.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (51), 13-Май-25, 09:55

> а она в си не умеет и не хочет
И совершенно правильно делает. Оно им надо, в кучах дедовского г… копаться?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

71. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от sena (ok), 13-Май-25, 10:54

>> а она в си не умеет и не хочет
> И совершенно правильно делает. Оно им надо, в кучах дедовского г… копаться?
Понять можно, простить - никогда. :)
Надо писать научный труд "отсутствие преемственности в айти". :)
На самом деле, если Торвальдс молодёжи не наберёт, то Линукс тихонечко умрёт, да и многие другие важные свободные проекты тоже.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (-), 13-Май-25, 11:05

> Понять можно, простить - никогда. :)
Деда ответ (с) )))
> Надо писать научный труд "отсутствие преемственности в айти". :)
Интересно, писал ли кто-то подобное в стиле "молодежь не хочет ухаживать за лошадками! им подавай эти новомодные автомобили!!!
А ведь лошадка это не бездушная железка, у нее есть характер, она умеет фыркать, кушать вкусняшки и пахнуть навозом!"
> На самом деле, если Торвальдс молодёжи не наберёт, то Линукс тихонечко умрёт,
Не умрет.
Есть корпорации у которых наемные рабочие, которые будут делать то, что им скажут.
Правда тогда в ядре код от "индивидуалов" будет вообще около нуля, а не процентов 10 как сейчас.
> да и многие другие важные свободные проекты тоже.
Если на них забили и они умерли - значит не настолько и важные.

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от sena (ok), 13-Май-25, 11:19

> Есть корпорации у которых наемные рабочие, которые будут делать то, что им
> скажут.
Ты переоцениваешь возможности корпов, даже бабло не всемогуще. Если разрабов способных разобраться в сишечке не будет, то их не будет, сколько бабла не вливай.
Всё что корпы смогут сделать в этом случае - найти новый молодой проект с молодым условным Торвальдсом и вложиться в его поддержку.
Но я думаю старый Торвальдс смекнул что к чему и возможно он успеет омолодить состав, хотя и не факт.
> Если на них забили и они умерли - значит не настолько и
> важные.
Ну в принципе да, так и есть. Монолит не нужен.

Ответить | Правка | Наверх | Cообщить модератору

127. Скрыто модератором +/–

Сообщение от Аноним (-), 13-Май-25, 16:19

> Ты переоцениваешь возможности корпов, даже бабло не всемогуще.
Возможно переоцениваю.
Но я смотрю со своей колокольни полче 10+ лет работы на такую корпу.
Да и дело не столько в бабле (но деньги тоже очень важны), сколько в ресурсах в общем смысле.
> Если разрабов способных разобраться в сишечке не будет, то их не будет, сколько бабла не вливай.
Почему?  Они не исчезнут мгновенно, как если бы растоманы наняли киллера, который бы стукал ложкой сишника по лбу за каждый выход за границы буфера.
Их кол-во будет уменьшаться, цена будет расти.
У корпа будет несколько путей решения проблемы:
- просто нанимать сишников, несмотря на цену
- перевести проект в легаси и фиксить только баги и этим срезать стоимость на кол-ве людей
- нанять сишника и посадить своих сотрудников за парту
- переписать на другой ЯП или просто написать "то же самое" на другом ЯП с нуля
- и тд...
У корпов даже есть ресурсы чтобы создать спрос на ЯП.
Например они объявляют вакансии на редкий язык. За хорошие деньги.
Народ видит что "ого, за N платят в 3 раза больше чем то на чем я пишу сейчас".
Дальше это "рекламируется" и продвигается: например блогпосты с примерами использования, какие-то трюки, видео с конференций.
Потом подтягиваются онлайн курсы и даже университеты.
А потом у тебя GOшка становится стандартом.
> Всё что корпы смогут сделать в этом случае - найти новый молодой проект с молодым условным Торвальдсом и вложиться в его поддержку.
У корпов есть одна хорошая и одновременно плохая особенность - они по большей части практичны.
Если им будет быстрее/дешевле найти нового торвальдса - они будут так делать.
Если выгоднее тянуть старое - будут тянуть.
Их за это люто ненавидит сообщество, тк стоит они дропнут старую архитектуру или версию, если на ней останется пару нетакусиков.

Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от User (??), 13-Май-25, 16:21

Ну будет как с modern perl'ом - пользуемся, пока работает, как ломается - переписываем и выкидываем.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

107. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (92), 13-Май-25, 13:18

>На самом деле, если Торвальдс молодёжи не наберёт, то Линукс тихонечко умрёт
Варианта, что ядро будет написано на нормальном языке, а не там, чуть ли не на каждой строке - неопределённое поведение, вы конечно же не рассматриваете
>Понять можно, простить - никогда. :)
Молодёжь не хочет мазохизма с  неопределённым поведением, удивительно то как

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

125. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от sena (ok), 13-Май-25, 15:52

>>На самом деле, если Торвальдс молодёжи не наберёт, то Линукс тихонечко умрёт
> Варианта, что ядро будет написано на нормальном языке, а не там, чуть
> ли не на каждой строке - неопределённое поведение, вы конечно же
> не рассматриваете
Шансы не нулевые. Если Торвальдс успеет сейчас оперативно массово привлечь молодёжь, то может что-то и получится, но будет нелегко. А если не успеет, то молодёжи гораздо проще и быстрее будет написать новое ядро заново с нуля, разумеется не на сях.

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (92), 13-Май-25, 16:37

>А если не успеет, то молодёжи гораздо проще и быстрее будет написать новое ядро заново с нуля
Написать заново, с нуля, можно мс-дос или миникс, с соответствющим функционалом. У миникса, например, первая файловая система могла быть размером до 64 Мб. Сами понимаете, насколько пригодной получится такая система. Всё остальное требует огромных затрат по времени, в течении которых нужно будет чем-то пользоваться

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (93), 13-Май-25, 12:39

> Получается некому, а те, кто могут, не хотят.
А кто платить то будет?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

72. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (-), 13-Май-25, 10:59

> То есть диды написали тонны сишного кода в ГНУ/Линуксах
Угу.
> и уходят
чудовищная безответственность!
> а сопровождать его вместо них некому.
А ты бы хотел ковыряться в старых жигулях как дед на выходных?
Или лучше взять и заняться чем-то более интересным?
Я уже молчу что качество того кода мягко говоря отстойное, судя по кол-ву дыр и тяп-ляпов в стиле "мамой клянусь тут не будет переполнения".

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

78. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от sena (ok), 13-Май-25, 11:44

> А ты бы хотел ковыряться в старых жигулях как дед на выходных?
Я, поднимая седую бороду от жигулей: а? что? кто здесь?
> Или лучше взять и заняться чем-то более интересным?
> Я уже молчу что качество того кода мягко говоря отстойное, судя по
> кол-ву дыр и тяп-ляпов в стиле "мамой клянусь тут не будет
> переполнения".
Вообще-то я не осуждаю, по крайней мере вслух. ;)
Я констатирую факт. А уж что с этим делать? Может действительно миру нужно новое ядро и новый, молодой Сталман и Торвальдс.
Где та молодая шпана?

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (-), 13-Май-25, 12:02

> Я, поднимая седую бороду от жигулей: а? что? кто здесь?
Я знаю одного знакомого деда, который на старости (по образованию был преподавателем) освоил миг-маг сварку и сейчас варит каркас для самопального электо-велосипедо-скутера.
А до этого сделал для внуков карт и катамаран из пятилитровых баклажек.
Главное душой не стареть (с)
Надеюсь я в старости буду таким же)))
> Я констатирую факт. А уж что с этим делать? Может действительно миру нужно новое ядро и новый, молодой Сталман и Торвальдс.
Не, давайте обойдемся без столлманов.
Хватило одного поборника идей "отнять и поделить" и писателей коммунистических манифестов.
А на вопрос "что делать?" уже ответили - добавляйте в ядро то, что эту молодежь привлечет.
Например новые подходы, языки и схемы управления.
> Где та молодая шпана?
Думаю в дискордах или тиктоках.
На ютубе тоже много.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от sena (ok), 13-Май-25, 12:14

>> Где та молодая шпана?
> Думаю в дискордах или тиктоках.
> На ютубе тоже много.
Тогда уже можно закапывать. :)
А здесь хоть есть молодёжь, опросы проводили?

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (-), 13-Май-25, 12:32

> Тогда уже можно закапывать. :)
Снобизмом попахивают слова твои.
На темную сторону силы ведет сей путь.
> А здесь хоть есть молодёжь, опросы проводили?
А молодежь это кто)?
Мне например 30+ и я себя старым не считаю.
Особенно по сравнению с древностями которые на всяких БЭСМ начинали.
Можно конечно зубоскалить, но на ютубе можно посмотреть какой-то тyпoе видео, а можно что-то типа "MIT 6.0001 Introduction to Computer Science and Programming in Python" или "MIT 6.5630 Advanced Topics in Cryptography, Fall 2023"
И каждый найдет то, что ему интересно.
Половина моих одноклассников которые росли в 90х спилась.
Я в лет 7-10 развлекался тем, что прыгал по гаражам, лопал выкинутые на помойку кинескопы от телевизора березка и плавил свинец из старых аккумов.
Так что я не рассчитываю, что прям все нынешние 16-20 летки станут гениями программирования, но от них это и не требуется)

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (110), 13-Май-25, 13:40

> миру нужно новое ядро.
МИРУ НУЖНО НОВОЕ ЯДРО.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

115. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (115), 13-Май-25, 14:22

Миру нужны стандарты, ядра могут быть собственной разработки.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." –2 +/–

Сообщение от Krtek (?), 13-Май-25, 01:24

>они так и не смогли подготовить исправления для всех уязвимостей
Всё, что нужно знать о GNU.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." –1 +/–

Сообщение от Аноним (17), 13-Май-25, 01:40

Zellij, tab-rs.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +2 +/–

Сообщение от Аноним (19), 13-Май-25, 01:45

> сотрудникам SUSE пришлось подготовить некоторые патчи самостоятельно. По мнению проводивших аудит исследователей, нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта и не способны полностью разобраться в выявленных проблемах безопасности.
А нынешний сопровождающий — это alexander_naumov@opensuse.org ведь? Они там меж собой в suse договориться не могут даже?

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +2 +/–

Сообщение от Аноним (37), 13-Май-25, 04:07

Не суди строго: должно быть бро открыл олдскульную кодовую базу и у него глаза потекли, моментально окислился

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +2 +/–

Сообщение от вася пупкин (?), 13-Май-25, 13:40

Эта новость основана на репорте SUSE. Мнение другой стороны, Александра, upstream, мы не знаем. Интересным мне показалось, как они написали, что он им ничего так и не смог предоставить. Никаких патчей. А потом, в их же репорте, что после публикации SUSE патчей, он потребовал изменить авторство, ЧТО ОНИ И СДЕЛАЛИ %) Так на каком основании он потребовал это? И зачем они внесли изменения в авторство патчей (исправили со своего, на его), если не он предоставил пачти, как они написали, а они? =))

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

119. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Null (??), 13-Май-25, 14:36

Кстати интересно. Он у них получается вообще дурачок дурачок, который ничего не делал, потом начал делать, потом ничего так и не сделал, а потом ещё чуть и эмбарго не нарушил. Ещё он якобы в коде проекта не разбирается.
В copyright написано, что он занимается screen уже 10 лет. И кстати именно в его изменениях для 5.0.0 security issues они не нашли. Может человек заниматься проектом столько лет, выпускать релизы, и не знать проект так хорошо, как проверяющие из suse? Наверное что-то не поделили, вот они и решили его убрать. Тоже интересно, что нигде от его имени никаких запросов на аудит кода нет.

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от вася пупкин (?), 13-Май-25, 15:41

Это 100% совпадение конечно.. наверно... но 4 из 5 найденых SUSE проблем, это код, который был добавлен в screen как раз сотрудниками SUSE...
Последняя, пятая, с logfile, это то, получилось после того, как безопасную проверку удалил прошлый мэйнтейнер Амадеус, который сейчас покинул проект. И именно эту проблему исправил (добавил обратно) Александр. И SUSE написал критику в его адрес в своем репорте. Ох уж эти совпадения =)

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (31), 13-Май-25, 03:01

Роллинг это быстрые фиксы с одной стороны и новые вулны с другой.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (43), 13-Май-25, 06:09

> только в ветке screen 5.0.0, которая поставляется в Fedora Linux, Arch Linux,
> NetBSD, OpenBSD и Alpine.
Спасибо этим господам что побегали для нас по минному полю и разминировали прямо его своими тушками :)

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +3 +/–

Сообщение от Аноним (44), 13-Май-25, 06:25

Им спасибо, а мы продолжим юзать tmux в роли терминал-мультиплексора

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (2), 13-Май-25, 13:12

В NetBSD в 3rd-party пакетах есть обе версии, а в базовой системе идет tmux.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

52. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (52), 13-Май-25, 08:35

Как обычно, у проектов GNU код низкого качества. Ничего хорошего от этой конторки ждать нельзя.
Лучше пользоваться TMUX. У него фич больше, конфиг вменяемый. Сделано людьми для людей.

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (81), 13-Май-25, 12:00

.. пользоваться им я конечно не буду

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от name (??), 13-Май-25, 08:56

Врети - в BSD tmux вместо скрина! А GNU пора закопать на свалке истории как что-то нелепое и в лучших традициях неудавшееся.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (64), 13-Май-25, 10:15

Ну вот и сиди на своём tmux, а нам на GNU screen хорошо.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Соль земли (?), 13-Май-25, 10:10

В Debian без setuid/setgid. Но как же он тогда работает? Дебьяновская магия!

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +1 +/–

Сообщение от Аноним (2), 13-Май-25, 11:01

Про NetBSD какая-то ложь. В pkgsrc есть две версии: pkgsrc/misc/screen и pkgsrc/misc/screen4. Первая (без цифры в названии) это 5я версия, но ни одна из них не входит в состав базовой системы.

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (101), 13-Май-25, 12:54

Какой-то странный эксплойт. Не желает он в подмененный файл писать, поскольку это уже не тот файл:
Error writing logfile: Bad file descriptor
Ну и: Screen version 4.09.01 (GNU) 20-Aug-23
FreeBSD 14.2

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (101), 13-Май-25, 13:03

Хм, а они успели разделиться на 4 и 5 ветки, оказывается, а я всё проспал. К счастью, видимо.

Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Аноним (111), 13-Май-25, 14:01

... setuid на бинарник для мультиплексинга экранов? А чё на tee сразу setuid не впихнуть?

Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в GNU screen, позволяющая выполнить код с правами..." +/–

Сообщение от Мимокрокодил (?), 13-Май-25, 16:23

Авторо новости просто перечислил системы про которые слышал (хоть и не видел как минимум большинство из них), а поставляется ли система действительно с screen или нет нет - дело десятое - главное побольше систем перечислить? :)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+11 +/–
Сообщение от Витюшка (?), 12-Май-25, 23:52
Некорректное использование функции strncpy()...
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+8 +/–
	Сообщение от Аноним (2), 12-Май-25, 23:59
	приводящее к аварийному завершению при выполнении специально оформленных команд. Вы же вроде в расте как раз такое и любите - чуть что - сразу паника (аварийное завершение)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+7 +/–
	Сообщение от НяшМяш (ok), 13-Май-25, 00:17
	А вы в сяшечке всё так же любите игнорировать предыдущие 4 уязвимости, лишь бы растовиков попинать. Почитал описание функции strncpy и за голову схватился - словосочетание "behavior undefined" встречается аж 3 раза. Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой, ничего при этом не испортив, чем как сяшечники звучно оподливившись в шаровары.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+4 +/–
	Сообщение от Нуину (?), 13-Май-25, 00:48
	> Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки на корню.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Rev (ok), 13-Май-25, 02:14
	Да-да, только никто этого не делает :(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от anonymous (??), 13-Май-25, 12:08
	Делают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	87. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+2 +/–
	Сообщение от Аноним (-), 13-Май-25, 12:24
	> Да-да, только никто этого не делает :( В том то и проблема что делают. Каждый раз заново и каждый раз получается уродский велосипед. А потом RCE в самописном split string.
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	49. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	–7 +/–
	Сообщение от Аноним (49), 13-Май-25, 08:10
	> Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки на корню Убрать ошибку на корню - это юзать нормальный язык вместо С. Но это ж надо уметь делать выводы из полувека наступаней на грабли...
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	75. Скрыто модератором	+/–
	Сообщение от Аноним (-), 13-Май-25, 11:11
	широкая душа краев не видит
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	88. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (88), 13-Май-25, 12:30
	> Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки Мешает традиционная сишечная халатность. Писать нормальный строковый тип - это же что-то там шевелиться надо, тестировать, да и мысли крамольные в голову лезут типа "ну и накой я изобретаю велосипед вместо использования C++?". А вот православный пердолинг с буферами и str*cpy() - вот он, уже готовый под рукой!
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	12. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+10 +/–
	Сообщение от Нуину (?), 13-Май-25, 01:18
	> Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой, Ну, судя по тому, что никто не использует rustscreen или что-то подобное, похоже растовщики по прежнему наворачиваются с подробным стектрейсом и ошибкой. > ничего при этом не испортив Да, сложно испортить код, которого нет.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	55. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (-), 13-Май-25, 09:21
	Молодой человек не слышал про Zellij?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (62), 13-Май-25, 10:01
	Не трать зря время. По расту методичка такая: на нём ничего не написано, а если что-то и написано, то это безоговорочно какая-то смешная или ненужная ерунда для пацанят на электроскутерах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	111. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (111), 13-Май-25, 13:53
	Нет, не слышали. Что-то ещё, кроме фаерфокса, вспомните?
	Ответить \| Правка \| К родителю #55 \| Наверх \| Cообщить модератору


	91. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+3 +/–
	Сообщение от Аноним (-), 13-Май-25, 12:34
	> Ну, судя по тому, что никто не использует rustscreen Ой, а типа gnu screen кто-то использует)) Не, ну найдутся пару извращенцев, которым любой kaл, лишь бы gnu... но все нормальные пользуются tmux. > Да, сложно испортить код, которого нет. Таки есть. Zellij например. Или wezterm. Но откуда хейтерочку об этом знать.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	108. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от streametch (?), 13-Май-25, 13:33
	>> Не, ну найдутся пару извращенцев, которым любой kaл, лишь бы gnu... но >> все нормальные пользуются tmux. screen умеет открывать COM порт, а tmux попсовый нет, вот и думай что тру, а что kал
	Ответить \| Правка \| Наверх \| Cообщить модератору


	118. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (-), 13-Май-25, 14:32
	> screen умеет открывать COM порт, а tmux попсовый нет, ух, вот целый день сижу и компорты открываю) > вот и думай что тру, а что kал Москвич-408 можно было заправлять бензом с ослиной моchой, но почему-то очереди из желающих окунуться в прдолинг с устаревшей техникой как-то не наблюдается. Ты бы еще поныл, что в городе лошадь припарковать негде и овес не продают на каждом шагу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	124. Скрыто модератором	+/–
	Сообщение от Аноним (-), 13-Май-25, 15:49
	> Не, ну найдутся пару извращенцев > screen умеет открывать COM порт А вот и первый пожаловал :)
	Ответить \| Правка \| К родителю #108 \| Наверх \| Cообщить модератору


	21. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от _kp (ok), 13-Май-25, 01:53
	Так есть и другие способы работы со строками, даже не в C++, но и в С, и в том числе на микроконтроллерах. А тащить бородатые "стандартные функции", которые на каждый чих надо обкладывать проверками, но на это все равно где нибудь забьют, так себе стиль.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	48. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от анонимммм (?), 13-Май-25, 07:17
	Стандартные строковые функции - идеальны. Делают ровно то, что заявляют. Если не хочется обкладывать код проверками, то эти проверки придётся интегрировать в сами функции, которые тем не менее придётся обкладывать проверками. "Так себе стиль" - просто норма жизни. Без проверок нельзя.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	92. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (92), 13-Май-25, 12:36
	>Стандартные строковые функции - идеальны. Делают ровно то, что заявляют Си идеален, делает то что заявляет. Никто ведь не заявлял, что программы на си будут корректны, правильно? Правильно. Так что всё хорошо, программы на си для того и пишутся, чтобы портить память >которые тем не менее придётся обкладывать проверками. Внормальных языках будет ошибка компиляции, если вы проверку забудете.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	116. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (116), 13-Май-25, 14:23
	Легендарные сишные строковые функции, как будто специально придуманные для переполнения буферов. Особенно идеальна strncpy. Очевидно, что функция с таким названием копирует строку? А нет, копирует не более n ненулевых байтов из источника и добивает буфер до n нулями (зачем?), ломая инвариант - в буфере после копирования не строка. Отличная функция для строковой библиотеки, чувствуется могучий дедовский дизайн - собрать столько бесполезной функциональности в одной функции.
	Ответить \| Правка \| К родителю #48 \| Наверх \| Cообщить модератору


	30. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Оно ним (?), 13-Май-25, 03:00
	А из предыдущих четырёх раст бы защитил от одной - с состоянием гонки. А остальные точно так же и в расте были бы.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	45. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (-), 13-Май-25, 06:26
	Behavior undefined, это нормально для системного языка программирования. Ненормально когда люди проектирующие язык программирования пытаются полностью устранить Behavior undefined. Behavior undefined - это просто объективное явление, его невозможно полностью устранить. И наличие в языке behavior undefined, не делает язык автоматически плохим. Вам надо уметь гибко мыслить, шаблонное мышление, это плохо.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	50. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от anonymous (??), 13-Май-25, 08:23
	> Behavior undefined, это нормально для системного языка программирования Ага. Допускаешь ошибку и у тебя удаляет все файлы из корня. Почему? Потому что поведение неопределено - компилятор что хочет, то и делает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	93. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (93), 13-Май-25, 12:36
	> Ага. Допускаешь ошибку и у тебя удаляет все файлы из корня. ага, вступил не туда и остался в лучшем случае без пятки, чвкп*дор :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	95. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (92), 13-Май-25, 12:40
	>Behavior undefined, это нормально для системного языка программирования Нет, не нормально. Неопределённое поведение нужно было для запуска си на разных экзотических архитектурах. Сейчас, когда приличная часть этих архитектур сохранилась разве что в музеях, си продолжает хранить в себе те компромисы, которые давным давно уже никому не нужы
	Ответить \| Правка \| К родителю #45 \| Наверх \| Cообщить модератору


	113. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (113), 13-Май-25, 14:07
	Так уцелевшие архитектуры тоже содержат в себе кучу легаси.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	117. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (92), 13-Май-25, 14:26
	Вопрос не в наличии легаси как такогового, вопрос в том, что при программировании в 2025 году под современный гну/линукс, приходится сталквиваться с ограничениями прямоиком из 1970 года, в перемешку с ограничениями всяких экзотических архитектур типа avr. Если бы screen активно исползьовался под тем допотопным юниксом или на микроконтроллере, то это могло бы иметь смысл, а так это ограничения ради ограничений.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (51), 13-Май-25, 08:32
	По-хорошему, следует признаться себе, что никаких «строк» (в нормальном понимании) в сишечке нет, и избегать библиотечных функций str* как огня. Но — зачем напрягаться. Что дедам было хорошо, и нам сгодится.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору