forum.opennet.ru - "Уязвимости в пакетных менеджерах Nix, Lix и Guix" (46)

"Уязвимости в пакетных менеджерах Nix, Lix и Guix"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
Сообщение от opennews (ok), 25-Июн-25, 14:03
В пакетных менеджерах GNU Guix, Nix и Lix выявлены уязвимиости (Nix, Guix, Lix), позволяющие выполнить код с правами пользователей, под которыми запускаются сборочные задания (например, nixbld* в Nix/Lix), что может использоваться для записи своих данных в сборочное окружение и внесения изменений в сборочный процесс. Проблемы присутствуют в фоновых процессах guix-daemon и nix-daemon, применяемых для организации доступа непривилегированных пользователей к сборочным операциям... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63464
Ответить \| Правка \| Cообщить модератору

Оглавление

Эти уязвимости кого надо уязвимости Нужно больше дистрибутивов и больше систем, , IMBird (ok), 14:03 , 25-Июн-25, (1) +4

И в целом там и о расте адекватно задумываются - как о возможности, а не панацее, bOOster (ok), 14:21 , 25-Июн-25, (10) +1

Исходный код раст открыт Как он с GNU уживётся Если проприетарный раст будет и, Аноним (-), 14:50 , 25-Июн-25, (18)

Война 8212 это мир Свобода 8212 это рабство Раст - проприетарный , Аноним (-), 15:53 , 25-Июн-25, (39)

И самые неуловимые, как Джо , Аноним (12), 14:28 , 25-Июн-25, (12)

Это раньше было что Джо неуловимый потому что никому не нужен По текущим нормам, Аноним (35), 15:45 , 25-Июн-25, (35)

Больше пакетных менеджеров и пакетов, пакетов, пакетов , Аноним (-), 14:44 , 25-Июн-25, (16)
В FreeBSD до недавнего времени скачивание и сборка производились под рутом, без , Аноним (19), 14:50 , 25-Июн-25, (19) –1

Главное, не забывать повторять услышанное в перепеве Рабиновича кстати, сборка, Аноним (43), 16:44 , 25-Июн-25, (43)

Топорные топоры из каменного века, не способные почти ни на что , Аноним (32), 15:38 , 25-Июн-25, (32) –4

Иногда топоры покрайней мере надёжные, а все новомодные пукалки не вызывают дове, Аноним (35), 15:48 , 25-Июн-25, (36) +1

Я надеюсь, что еду себе вы готовите на костре, дрова для которого, срублены каме, Аноним (32), 15:56 , 25-Июн-25, (40) –2
Они у вас лишь иногда надёжные А всё остальное время тоже не вызывают доверия , Голум (?), 17:07 , 25-Июн-25, (44)

Какие созвучные имена пакетных менеджеров, прямо как из сказки про трех поросят, Анонимище (?), 14:04 , 25-Июн-25, (2) +7

Интересеное у тебя воображение У меня эти названия ни с чем не ассоциируются Ни, Аноним (-), 14:12 , 25-Июн-25, (6) –4

Есть просто такой троп, когда у близких сущностей похожие имена Например, одну , Анонимище (?), 14:29 , 25-Июн-25, (13) +3
Это автор сказки солевым был , Аноним (12), 14:32 , 25-Июн-25, (14) –4
У тебя воображение не интересное или вообще отсутствует И при чём здесь иностр, Аноним (25), 15:15 , 25-Июн-25, (25)
У поросят был старший брат - Нах-Нах Но, послухам, на момент написания сказки о, ryoken (ok), 15:33 , 25-Июн-25, (30) –1

Зато волк его не достал , Аноним (35), 15:49 , 25-Июн-25, (38)
У того ещё был двоюродный брат Пох-Пох , Аноним (49), 19:39 , 25-Июн-25, (49)

Я злой и страшный серый волк, я в поросятах Wпакетных менеджерах знаю толк , Кошкажена (?), 15:38 , 25-Июн-25, (33)

Фоновые процессы для установки программ, вот это клиника, Fracta1L (ok), 14:08 , 25-Июн-25, (3) +5

Почему , Аноним (-), 14:14 , 25-Июн-25, (8) –1
Фоновые процессы для монтирования размонтирования, для вывода звука, для вывода , Аноним (17), 14:49 , 25-Июн-25, (17)

Это всё можно понять, потому что для нормальной комфортной работы этих подсистем, Fracta1L (ok), 15:17 , 25-Июн-25, (26) +1

в унбунте до сих пор нельзя выключить попапы обновлений без rm -rf что-то-там , 12yoexpert (ok), 15:24 , 25-Июн-25, (27)
Событие собери скачай такой-то дериватив Это позволяет обычным пользователям , Аноним (17), 15:25 , 25-Июн-25, (29)
Сразу видно ыксперда Событие - пользователь инициировал сборку чего-то там Дал, Аноним (32), 15:44 , 25-Июн-25, (34) +2

и для этого всего нужен демон это же обычный сценарий, который можно и по крону, Аноним (48), 19:22 , 25-Июн-25, (48)

О про Nix Все пытаюсь узнать - можно ли одной общей настройкой сделать сборку св, Аноним (4), 14:10 , 25-Июн-25, (4)

Flakes Overlays вам в помощь , Amerigo (?), 14:26 , 25-Июн-25, (11)

Быстро просмотрел Но, кажется, там нет возможности задать использование разных , Аноним (4), 14:55 , 25-Июн-25, (20)

Это ж сколько там будет версий Попробуй взять калькулятор и рассчитать, сколько, Аноним (17), 15:06 , 25-Июн-25, (23)
Можно, map reduce изобретён Ну разумеется, если исходный код и компилятор такое, Аноним (32), 15:36 , 25-Июн-25, (31)
А вообще, в никсе так не принято Да и нигде так не принято Ты оформляешь пак, Аноним (17), 15:48 , 25-Июн-25, (37) +1

Не совсем Вот есть, например pkgs pkgsMusl, который хранит в себе дерево пакето, Аноним (32), 16:03 , 25-Июн-25, (41)

Это тот самый NIX который используется в самой лучшей по мнению её фанатов Nix, Аноним (-), 14:11 , 25-Июн-25, (5) +1

Ага , Аноним (-), 14:14 , 25-Июн-25, (7)
Что же безопасно , Аноним (9), 14:19 , 25-Июн-25, (9)

Скрыто модератором, Аноним (49), 19:41 , 25-Июн-25, (50)

Лабораторная уязвимость В реальности недостижимо , Шарп (ok), 14:40 , 25-Июн-25, (15) +2

Вообще-то стандартная Делаешь свою сборку пытающуюся использовать эту уязвимост, Аноним (4), 14:58 , 25-Июн-25, (22)
Поди што и чинить не надо Хотя не rhel с ubuntu ой - на той машине с NIX ом , User (??), 15:12 , 25-Июн-25, (24)

Не доверяю я всем этим никсам Раздражает все это жуткое дробление, каждый норов, Аноним (46), 17:46 , 25-Июн-25, (46)

Вам лишь бы зарегулировать и патрулей наставить, ей богу , аноним1277zx (?), 18:01 , 25-Июн-25, (47) +2

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +4 +/–

Сообщение от IMBird (ok), 25-Июн-25, 14:03

Эти уязвимости кого надо уязвимости.
Нужно больше дистрибутивов и больше систем, чтобы никто адекватный об аудите даже не задумывался.
Пакетные системы BSD и гайки всё ещё самые адекватные по реализации.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +1 +/–

Сообщение от bOOster (ok), 25-Июн-25, 14:21

И в целом там и о расте адекватно задумываются - как о возможности, а не панацее..

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (-), 25-Июн-25, 14:50

Исходный код раст открыт? Как он с GNU уживётся? Если проприетарный раст будет использоваться, то GNU уже будет не торт. Весь смысл потеряется. Люди тогда прежде чем покупать устройство под PureOS, могут и задуматься - а зачем? Устройства Librem не такие уж и дешевые как кажутся: https://puri.sm/products/

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (-), 25-Июн-25, 15:53

> Если проприетарный раст будет использоваться
Война — это мир.
Свобода — это рабство.
Раст - проприетарный.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (12), 25-Июн-25, 14:28

>Пакетные системы BSD и гайки всё ещё самые адекватные по реализации.
И самые неуловимые, как Джо.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

35. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (35), 25-Июн-25, 15:45

Это раньше было что Джо неуловимый потому что никому не нужен. По текущим нормам корпорации за информацию сколько любой самый ненужный Джо с дивана вставал уже давятся.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (-), 25-Июн-25, 14:44

Больше пакетных менеджеров и пакетов, пакетов, пакетов!

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

19. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" –1 +/–

Сообщение от Аноним (19), 25-Июн-25, 14:50

>Пакетные системы BSD и гайки всё ещё самые адекватные по реализации.
В FreeBSD до недавнего времени скачивание и сборка производились под рутом, без какого-либо ограничения доступа к системе.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

43. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (43), 25-Июн-25, 16:44

> В FreeBSD до недавнего времени скачивание и сборка производились под рутом, без какого-либо ограничения доступа к системе.
Главное, не забывать повторять услышанное в перепеве Рабиновича (кстати, "сборка" чего? pkg ничего не собирает)
commit c239d131dc920d6f3dead18a8e9a772372fe9578
Author: Bryan Drewery <bryan@shatow.net>
Date:   Wed Jan 31 15:53:19 2018 -0800
    audit: Drop privileges after opening the files/database but before parsing.
commit f3b0469eb8669967d76d18fb56222853ca30871d
Author: Baptiste Daroussin <bapt@FreeBSD.org>
Date:   Fri Nov 11 22:18:25 2016 +0100

    Stop dropping privileges when fetching as it causes more issues than it
    solved
commit fcceab3f1e0ae780e8a91918488aab3ba5f5ea1c
Author: Baptiste Daroussin <bapt@FreeBSD.org>
Date:   Sat Aug 20 01:17:34 2016 +0200

    drop privileges when using libfetch

Вот еще немного "на закуску"

pkg_repo.c
   /*
   * We need to load this pubkey from meta
   */

   if (pkg_emit_sandbox_get_string(pkg_repo_meta_extract_pubkey, &cbdata
pkg_sandbox.c
int
pkg_handle_sandboxed_get_string(pkg_sandbox_cb func, char **result, int64_t *len,
                void *ud)
...
/* Here comes child process */
        close(pair[1]);
        pkg_drop_privileges();
        rl_zero.rlim_cur = rl_zero.rlim_max = 0;
        if (setrlimit(RLIMIT_NPROC, &rl_zero) == -1)
                err(EXIT_FAILURE, "Unable to setrlimit(RLIMIT_NPROC)");
#ifdef HAVE_CAPSICUM
#ifndef PKG_COVERAGE
        if (cap_enter() < 0 && errno != ENOSYS) {
void
pkg_drop_privileges(void)
{
        struct passwd *nobody;
        if (geteuid() == 0) {
                nobody = getpwnam("nobody");
                if (nobody == NULL)
                        errx(EXIT_FAILURE, "Unable to drop privileges: no 'nobody' user");
                setgroups(1, &nobody->pw_gid);

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" –4 +/–

Сообщение от Аноним (32), 25-Июн-25, 15:38

>Пакетные системы BSD и гайки всё ещё самые адекватные по реализации.
Топорные топоры из каменного века, не способные почти ни на что?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

36. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +1 +/–

Сообщение от Аноним (35), 25-Июн-25, 15:48

Иногда топоры покрайней мере надёжные, а все новомодные пукалки не вызывают доверия.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" –2 +/–

Сообщение от Аноним (32), 25-Июн-25, 15:56

Я надеюсь, что еду себе вы готовите на костре, дрова для которого, срублены каменным топором. Мангал, печь и другихе хипсторские смузитехнологии не используете.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Голум (?), 25-Июн-25, 17:07

Они у вас лишь иногда надёжные? А всё остальное время тоже не вызывают доверия?

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

2. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +7 +/–

Сообщение от Анонимище (?), 25-Июн-25, 14:04

Какие созвучные имена пакетных менеджеров, прямо как из сказки про трех поросят

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" –4 +/–

Сообщение от Аноним (-), 25-Июн-25, 14:12

Интересеное у тебя воображение. У меня эти названия ни с чем не ассоциируются.
Ниф-ниф, Наф-наф, Нуф-нуф. Это поросята из иностранной сказки. Русские свиней называли - Машка, Боря, Борис. Звали свиней  словами: чух-чух.! Если бы среди 3-х немецких свиней била русская свинья, то её бы звали "Чух-чух".

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +3 +/–

Сообщение от Анонимище (?), 25-Июн-25, 14:29

Есть просто такой троп, когда у близких сущностей похожие имена. Например, одну сестру могу звать Лина, другую Луна, а третью Лала. Сказка про трех поросят это просто широкоизвестный пример (как бы обычно предпологается, что они братья) этого тропа

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" –4 +/–

Сообщение от Аноним (12), 25-Июн-25, 14:32

>Ниф-ниф, Наф-наф, Нуф-нуф
Это автор сказки солевым был.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

25. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (25), 25-Июн-25, 15:15

> Интересеное у тебя воображение.
> У меня эти названия ни с чем не ассоциируются.
У тебя воображение не интересное или вообще отсутствует. И при чём здесь "иностранные" и "русские" - вообще непонятно.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

30. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" –1 +/–

Сообщение от ryoken (ok), 25-Июн-25, 15:33

У поросят был старший брат - Нах-Нах. Но, послухам, на момент написания сказки он уже сидел.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

38. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (35), 25-Июн-25, 15:49

Зато волк его не достал.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (49), 25-Июн-25, 19:39

У того ещё был двоюродный брат Пох-Пох.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

33. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Кошкажена (?), 25-Июн-25, 15:38

> Какие созвучные имена пакетных менеджеров, прямо как из сказки про трех поросят
Я злой и страшный серый волк, я в поросятах^Wпакетных менеджерах знаю толк!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +5 +/–

Сообщение от Fracta1L (ok), 25-Июн-25, 14:08

Фоновые процессы для установки программ, вот это клиника

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" –1 +/–

Сообщение от Аноним (-), 25-Июн-25, 14:14

Почему?

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (17), 25-Июн-25, 14:49

Фоновые процессы для монтирования/размонтирования, для вывода звука, для вывода окошек, для показа диалога "Открыть файл", для отправки сообщения в третий процесс через шину, для всего подряд. А ты тут про какую-то установку программ.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

26. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +1 +/–

Сообщение от Fracta1L (ok), 25-Июн-25, 15:17

Это всё можно понять, потому что для нормальной комфортной работы этих подсистем нужно ловить события. А какие к чёрту события могут быть у менеджера пакетов, что это потребовало демона?

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от 12yoexpert (ok), 25-Июн-25, 15:24

в унбунте до сих пор нельзя выключить попапы обновлений без rm -rf что-то-там?

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (17), 25-Июн-25, 15:25

Событие "собери/скачай такой-то дериватив". Это позволяет обычным пользователям пользоваться услугами сборщика. Почему так сделано? Ответ в твоем комменте: "для нормальной комфортной работы".

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

34. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +2 +/–

Сообщение от Аноним (32), 25-Июн-25, 15:44

>А какие к чёрту события могут быть у менеджера пакетов, что это потребовало демона?
Сразу видно ыксперда. Событие - пользователь инициировал сборку чего-то там. Далее, от непривилегированного пользователя запускается скачиваение и сборка всего этого дела в чистом окружении. Добавим сюда тот факт, что это системный пакетный менеджер, который кеширует результаты сборок, делая их разделяемыми для всей системы целиком, а не только для текущего проекта, удаляет ставшие ненужными пакеты, занимается перезапуском различных служб и так далее.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

48. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (48), 25-Июн-25, 19:22

> и так далее
и для этого всего нужен демон? это же обычный сценарий, который можно и по крону запустить, демон зачем?

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (4), 25-Июн-25, 14:10

О про Nix.
Все пытаюсь узнать - можно ли одной общей настройкой сделать сборку своего пакета во множестве вариантов (все используемые библиотеки всех версий)?
Типа написал один конфиг сборки - и генерируешь пакеты своей программы на каждую комбинацию библиотек.
Иначе смысла для разработчиков в Nix особо не вижу.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Amerigo (?), 25-Июн-25, 14:26

Flakes + Overlays вам в помощь.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (4), 25-Июн-25, 14:55

Быстро просмотрел. Но, кажется, там нет возможности задать использование разных версий библиотек в разных комбинациях.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (17), 25-Июн-25, 15:06

> все используемые библиотеки всех версий
Это ж сколько там будет версий! Попробуй взять калькулятор и рассчитать, сколько миллиардов сборок тебе придется сделать.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

31. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (32), 25-Июн-25, 15:36

>Типа написал один конфиг сборки - и генерируешь пакеты своей программы на каждую комбинацию библиотек.
Можно, map reduce изобретён. Ну разумеется, если исходный код и компилятор такое переживёт, со стороны nix таких ограничений нет. Всё же nix это функциональный язык.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

37. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +1 +/–

Сообщение от Аноним (17), 25-Июн-25, 15:48

А вообще, в никсе так не принято. (Да и нигде так не принято.) Ты оформляешь пакет в виде функции, которая: 1) принимает все свои зависимости во входном attrset, 2) возвращает дериватив. Далее этот пакет вызываешь при помощи pkgs.callPackage. И все, финальный пакет соберется с зависимостями, подтянутыми из pkgs. Но если кому-то приспичило подменить одну зависимость на другую, он сделает your-package.override { libfoo = libfoo-123; }. Пытаться сразу собирать пакет со всеми возможными комбинациями действительно приведет к миллиардам сборок: месяцами будешь тестировать 24/7 и платить за электричество.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

41. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (32), 25-Июн-25, 16:03

>А вообще, в никсе так не принято. (Да и нигде так не принято.)
Не совсем. Вот есть, например pkgs.pkgsMusl, который хранит в себе дерево пакетов для musl. Или есть pkgs.linuxPackages, который позволяет как выбрать версию ядра, так и сразу какой-то набор патчей. Так что уже прямо в репозитории есть готовые пакеты несколькоих разных версий.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +1 +/–

Сообщение от Аноним (-), 25-Июн-25, 14:11

Это тот самый NIX который используется в самой лучшей (по мнению её фанатов) NixOS ?
Которая самая удобная и безопасная, не то что ваши эти...

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (-), 25-Июн-25, 14:14

Ага.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (9), 25-Июн-25, 14:19

Что же безопасно...

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

50. Скрыто модератором +/–

Сообщение от Аноним (49), 25-Июн-25, 19:41

А если ещё и на безопастном переписать?

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +2 +/–

Сообщение от Шарп (ok), 25-Июн-25, 14:40

Лабораторная уязвимость. В реальности недостижимо.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (4), 25-Июн-25, 14:58

Вообще-то стандартная. Делаешь свою сборку пытающуюся использовать эту уязвимость. 100000 соберут - у одного сработает. Все - профит.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от User (??), 25-Июн-25, 15:12

Поди што и чинить не надо?
Хотя... не rhel с ubuntu'ой - на той машине с NIX'ом один черт, ничего интересного нет, а те 5 сольдо что есть - проще выцыганить звонком про "безопасный счет ФСБ"...

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

46. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +/–

Сообщение от Аноним (46), 25-Июн-25, 17:46

Не доверяю я всем этим никсам. Раздражает все это жуткое дробление, каждый норовит придумать свою систему сборки, свой линукс, свой язык. Думает, что лучше других знает как надо программировать.
А простве работяги от этого страдают, захламляют свои системы всяким барахлом, нужным для одного конкретного пакета.
Думаю, что nih синдром пора классифицировать как реальное заболевание и принудительно лечить на рабочих местах(и организовать патрули в местах проживания/скопления программистов)

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в пакетных менеджерах Nix, Lix и Guix" +2 +/–

Сообщение от аноним1277zx (?), 25-Июн-25, 18:01

Вам лишь бы зарегулировать и патрулей наставить, ей богу.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+4 +/–
Сообщение от IMBird (ok), 25-Июн-25, 14:03
Эти уязвимости кого надо уязвимости. Нужно больше дистрибутивов и больше систем, чтобы никто адекватный об аудите даже не задумывался. Пакетные системы BSD и гайки всё ещё самые адекватные по реализации.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+1 +/–
	Сообщение от bOOster (ok), 25-Июн-25, 14:21
	И в целом там и о расте адекватно задумываются - как о возможности, а не панацее..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (-), 25-Июн-25, 14:50
	Исходный код раст открыт? Как он с GNU уживётся? Если проприетарный раст будет использоваться, то GNU уже будет не торт. Весь смысл потеряется. Люди тогда прежде чем покупать устройство под PureOS, могут и задуматься - а зачем? Устройства Librem не такие уж и дешевые как кажутся: https://puri.sm/products/
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (-), 25-Июн-25, 15:53
	> Если проприетарный раст будет использоваться Война — это мир. Свобода — это рабство. Раст - проприетарный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (12), 25-Июн-25, 14:28
	>Пакетные системы BSD и гайки всё ещё самые адекватные по реализации. И самые неуловимые, как Джо.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	35. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (35), 25-Июн-25, 15:45
	Это раньше было что Джо неуловимый потому что никому не нужен. По текущим нормам корпорации за информацию сколько любой самый ненужный Джо с дивана вставал уже давятся.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (-), 25-Июн-25, 14:44
	Больше пакетных менеджеров и пакетов, пакетов, пакетов!
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	19. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	–1 +/–
	Сообщение от Аноним (19), 25-Июн-25, 14:50
	>Пакетные системы BSD и гайки всё ещё самые адекватные по реализации. В FreeBSD до недавнего времени скачивание и сборка производились под рутом, без какого-либо ограничения доступа к системе.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	43. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (43), 25-Июн-25, 16:44
	> В FreeBSD до недавнего времени скачивание и сборка производились под рутом, без какого-либо ограничения доступа к системе. Главное, не забывать повторять услышанное в перепеве Рабиновича (кстати, "сборка" чего? pkg ничего не собирает) commit c239d131dc920d6f3dead18a8e9a772372fe9578 Author: Bryan Drewery <bryan@shatow.net> Date: Wed Jan 31 15:53:19 2018 -0800 audit: Drop privileges after opening the files/database but before parsing. commit f3b0469eb8669967d76d18fb56222853ca30871d Author: Baptiste Daroussin <bapt@FreeBSD.org> Date: Fri Nov 11 22:18:25 2016 +0100 Stop dropping privileges when fetching as it causes more issues than it solved commit fcceab3f1e0ae780e8a91918488aab3ba5f5ea1c Author: Baptiste Daroussin <bapt@FreeBSD.org> Date: Sat Aug 20 01:17:34 2016 +0200 drop privileges when using libfetch Вот еще немного "на закуску" pkg_repo.c /* * We need to load this pubkey from meta / if (pkg_emit_sandbox_get_string(pkg_repo_meta_extract_pubkey, &cbdata pkg_sandbox.c int pkg_handle_sandboxed_get_string(pkg_sandbox_cb func, char result, int64_t len, void ud) ... / Here comes child process / close(pair[1]); pkg_drop_privileges(); rl_zero.rlim_cur = rl_zero.rlim_max = 0; if (setrlimit(RLIMIT_NPROC, &rl_zero) == -1) err(EXIT_FAILURE, "Unable to setrlimit(RLIMIT_NPROC)"); #ifdef HAVE_CAPSICUM #ifndef PKG_COVERAGE if (cap_enter() < 0 && errno != ENOSYS) { void pkg_drop_privileges(void) { struct passwd nobody; if (geteuid() == 0) { nobody = getpwnam("nobody"); if (nobody == NULL) errx(EXIT_FAILURE, "Unable to drop privileges: no 'nobody' user"); setgroups(1, &nobody->pw_gid);
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	–4 +/–
	Сообщение от Аноним (32), 25-Июн-25, 15:38
	>Пакетные системы BSD и гайки всё ещё самые адекватные по реализации. Топорные топоры из каменного века, не способные почти ни на что?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	36. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+1 +/–
	Сообщение от Аноним (35), 25-Июн-25, 15:48
	Иногда топоры покрайней мере надёжные, а все новомодные пукалки не вызывают доверия.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	–2 +/–
	Сообщение от Аноним (32), 25-Июн-25, 15:56
	Я надеюсь, что еду себе вы готовите на костре, дрова для которого, срублены каменным топором. Мангал, печь и другихе хипсторские смузитехнологии не используете.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Голум (?), 25-Июн-25, 17:07
	Они у вас лишь иногда надёжные? А всё остальное время тоже не вызывают доверия?
	Ответить \| Правка \| К родителю #36 \| Наверх \| Cообщить модератору

2. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+7 +/–
Сообщение от Анонимище (?), 25-Июн-25, 14:04
Какие созвучные имена пакетных менеджеров, прямо как из сказки про трех поросят
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	–4 +/–
	Сообщение от Аноним (-), 25-Июн-25, 14:12
	Интересеное у тебя воображение. У меня эти названия ни с чем не ассоциируются. Ниф-ниф, Наф-наф, Нуф-нуф. Это поросята из иностранной сказки. Русские свиней называли - Машка, Боря, Борис. Звали свиней словами: чух-чух.! Если бы среди 3-х немецких свиней била русская свинья, то её бы звали "Чух-чух".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+3 +/–
	Сообщение от Анонимище (?), 25-Июн-25, 14:29
	Есть просто такой троп, когда у близких сущностей похожие имена. Например, одну сестру могу звать Лина, другую Луна, а третью Лала. Сказка про трех поросят это просто широкоизвестный пример (как бы обычно предпологается, что они братья) этого тропа
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	–4 +/–
	Сообщение от Аноним (12), 25-Июн-25, 14:32
	>Ниф-ниф, Наф-наф, Нуф-нуф Это автор сказки солевым был.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	25. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (25), 25-Июн-25, 15:15
	> Интересеное у тебя воображение. > У меня эти названия ни с чем не ассоциируются. У тебя воображение не интересное или вообще отсутствует. И при чём здесь "иностранные" и "русские" - вообще непонятно.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	30. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	–1 +/–
	Сообщение от ryoken (ok), 25-Июн-25, 15:33
	У поросят был старший брат - Нах-Нах. Но, послухам, на момент написания сказки он уже сидел.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	38. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (35), 25-Июн-25, 15:49
	Зато волк его не достал.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (49), 25-Июн-25, 19:39
	У того ещё был двоюродный брат Пох-Пох.
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	33. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Кошкажена (?), 25-Июн-25, 15:38
	> Какие созвучные имена пакетных менеджеров, прямо как из сказки про трех поросят Я злой и страшный серый волк, я в поросятах^Wпакетных менеджерах знаю толк!
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+5 +/–
Сообщение от Fracta1L (ok), 25-Июн-25, 14:08
Фоновые процессы для установки программ, вот это клиника
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	–1 +/–
	Сообщение от Аноним (-), 25-Июн-25, 14:14
	Почему?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (17), 25-Июн-25, 14:49
	Фоновые процессы для монтирования/размонтирования, для вывода звука, для вывода окошек, для показа диалога "Открыть файл", для отправки сообщения в третий процесс через шину, для всего подряд. А ты тут про какую-то установку программ.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	26. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+1 +/–
	Сообщение от Fracta1L (ok), 25-Июн-25, 15:17
	Это всё можно понять, потому что для нормальной комфортной работы этих подсистем нужно ловить события. А какие к чёрту события могут быть у менеджера пакетов, что это потребовало демона?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от 12yoexpert (ok), 25-Июн-25, 15:24
	в унбунте до сих пор нельзя выключить попапы обновлений без rm -rf что-то-там?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (17), 25-Июн-25, 15:25
	Событие "собери/скачай такой-то дериватив". Это позволяет обычным пользователям пользоваться услугами сборщика. Почему так сделано? Ответ в твоем комменте: "для нормальной комфортной работы".
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	34. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+2 +/–
	Сообщение от Аноним (32), 25-Июн-25, 15:44
	>А какие к чёрту события могут быть у менеджера пакетов, что это потребовало демона? Сразу видно ыксперда. Событие - пользователь инициировал сборку чего-то там. Далее, от непривилегированного пользователя запускается скачиваение и сборка всего этого дела в чистом окружении. Добавим сюда тот факт, что это системный пакетный менеджер, который кеширует результаты сборок, делая их разделяемыми для всей системы целиком, а не только для текущего проекта, удаляет ставшие ненужными пакеты, занимается перезапуском различных служб и так далее.
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	48. "Уязвимости в пакетных менеджерах Nix, Lix и Guix"	+/–
	Сообщение от Аноним (48), 25-Июн-25, 19:22
	> и так далее и для этого всего нужен демон? это же обычный сценарий, который можно и по крону запустить, демон зачем?
	Ответить \| Правка \| Наверх \| Cообщить модератору