![]() |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в Glibc ld.so, позволяющая получить права root в системе" | +/– | ![]() |
Сообщение от opennews (??), 04-Окт-23, 00:18 | ||
Компания Qualys выявила опасную уязвимость (CVE-2023-4911) в компоновщике ld.so, поставляемом в составе системной Си-библиотеки Glibc (GNU libc). Уязвимость позволяет локальному пользователю поднять свои привилегии в системе через указание специально оформленных данных в переменной окружения GLIBC_TUNABLES перед запуском исполняемого файла с флагом suid root, например, /usr/bin/su... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
1. Сообщение от Аноним (1), 04-Окт-23, 00:18 | +11 +/– | ![]() |
сишники не осилили str.split(sep="=", maxsplit=1) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #7, #12, #22, #32, #58, #110, #145 |
3. Сообщение от Аноним (3), 04-Окт-23, 00:19 | +7 +/– | ![]() |
Это же сколько раз они на одни и те же грабли наступили с переменными окружения в suid-программах? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #34, #52, #59, #115 |
4. Сообщение от Аноним (4), 04-Окт-23, 00:49 | +1 +/– | ![]() |
Васян решил добавить самописный парсер строк. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #6 |
5. Сообщение от Аноним (91), 04-Окт-23, 00:58 | +/– | ![]() |
И почему я не удивлён. А разве переменные окружения не должны очищаться при запуске суидных бинарей как раз на такой случай? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #29 |
6. Сообщение от morphe (?), 04-Окт-23, 01:00 | +15 +/– | ![]() |
Зато без всяких cargo! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #4 Ответы: #24, #112 |
7. Сообщение от Вы забыли заполнить поле Name (?), 04-Окт-23, 01:20 | –2 +/– | ![]() |
https://docs.gtk.org/glib/func.strsplit.html | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #13 |
8. Сообщение от Аноним (8), 04-Окт-23, 01:20 | +1 +/– | ![]() |
Debian 11 тоже подвержен уязвимости из-за того, что патч из glibc-2.34 был бэкпоритрован в glibc-2.31-12. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #11, #23 |
9. Сообщение от cheburnator9000 (ok), 04-Окт-23, 01:36 | +4 +/– | ![]() |
Как же вы надоели. Не "уязвимость", а заранее заготовленный "бекдор" для спецслужб США. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #20, #25 |
10. Сообщение от Tron is Whistling (?), 04-Окт-23, 01:40 | +1 +/– | ![]() |
Такого класса дыры нельзя публиковать до устранения. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #26, #43 |
11. Сообщение от marten (ok), 04-Окт-23, 01:42 | +/– | ![]() |
Ubuntu 22.04 - тоже была уязвима, апдейт выпущен | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #8 |
12. Сообщение от Аноня (?), 04-Окт-23, 02:27 | –11 +/– | ![]() |
Да не просто Сишники, а те самые деды! Эксперты, монстры! Отцы-основатели! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #18, #19, #136 |
13. Сообщение от Аноня (?), 04-Окт-23, 02:29 | +11 +/– | ![]() |
glib это не glibc | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #7 |
14. Сообщение от birdie (ok), 04-Окт-23, 03:27 | –3 +/– | ![]() |
Сказать, что я в бешенстве - ничего не сказать. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #16, #35, #40, #53 |
15. Сообщение от Аноним (120), 04-Окт-23, 05:36 | –1 +/– | ![]() |
> Из-за ошибки в коде разбора строки, указанной в переменной окружения GLIBC_TUNABLES, некорректная комбинация параметров в данной переменной приводит к записи разобранного значения за пределы выделенного буфера. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #28 |
16. Сообщение от WE (?), 04-Окт-23, 06:21 | +8 +/– | ![]() |
Зачем пользователям федоры секюр апдейты? подождал неделю и новый релиз. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #14 |
17. Сообщение от Аноним (17), 04-Окт-23, 06:33 | +1 +/– | ![]() |
>CVE-2023-4527 | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
18. Сообщение от Аноним (18), 04-Окт-23, 06:37 | +10 +/– | ![]() |
Деды ... хотя всё возможно - акселерация | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
19. Сообщение от Аноним (18), 04-Окт-23, 06:39 | +7 +/– | ![]() |
Это он. Не сильно на отца-основателя похож. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 Ответы: #31, #36 |
20. Сообщение от ДаНуНафиг (?), 04-Окт-23, 06:42 | –1 +/– | ![]() |
Срочно переписать на русифицированном Си! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 |
21. Сообщение от Аноним (21), 04-Окт-23, 06:50 | +2 +/– | ![]() |
Весь, ВЕСЬ код в dl-tunables.c написан в стиле "дедовское сишное буллшит-бинго", с неявными предположениями о размере буферов, переиспользованием переменных, интами для индексации массивов и хранения длины строк. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #37, #158 |
22. Сообщение от Аноним (22), 04-Окт-23, 07:00 | +2 +/– | ![]() |
А ты не осилил написать glibc. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 |
23. Сообщение от СисадминА (?), 04-Окт-23, 07:00 | –3 +/– | ![]() |
Пушто всякие дебунты это недодистрибутивы, багованые школоподелки. В мире осталось только два нормальных дистрибутива, это Альт и RHEL. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #8 Ответы: #100, #138 |
24. Сообщение от Аноним (22), 04-Окт-23, 07:01 | –1 +/– | ![]() |
И чего там в карго нету глибс на безопасТном? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 |
25. Сообщение от Аноним (22), 04-Окт-23, 07:02 | +/– | ![]() |
Не рушь мир фанатиков безопастного. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 |
26. Сообщение от Аноним (22), 04-Окт-23, 07:04 | –3 +/– | ![]() |
Всё импортозамещение уже взломано. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #10 Ответы: #77, #94 |
27. Сообщение от Аноним (27), 04-Окт-23, 07:18 | +/– | ![]() |
Да что ж это такое, а... Этому безобразию настанет когда-нибудь конец или нет??? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
28. Сообщение от Аноним (28), 04-Окт-23, 07:39 | +2 +/– | ![]() |
Т.е. если в новости не написать на каком, то это автоматом станет для тебя непредсказуемым, а если ещё и физику в школе учить не будешь, то мир вообще будет полон загадок и волшебства | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #15 Ответы: #41, #121 |
29. Сообщение от bergentroll (ok), 04-Окт-23, 07:47 | +2 +/– | ![]() |
Очевидно нет, если переменная предполагается для чтения. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 Ответы: #113 |
31. Сообщение от Аноним (31), 04-Окт-23, 07:55 | +18 +/– | ![]() |
>Siddhesh Poyarekar is a toolchain hacker and a Tech Lead at Linaro, managing a team of toolchain wizards. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #81, #85 |
32. Сообщение от АнонПапка (?), 04-Окт-23, 08:00 | +/– | ![]() |
Кажется это Python, а в С такого нету ))))))) вот и неосилили | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 |
34. Сообщение от Аноним (31), 04-Окт-23, 08:04 | +2 +/– | ![]() |
Всё как завещали деды! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 Ответы: #135 |
35. Сообщение от mos87 (ok), 04-Окт-23, 08:05 | +/– | ![]() |
make a sign | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #14 |
36. Сообщение от Аноним 80_уровня (ok), 04-Окт-23, 08:09 | +/– | ![]() |
Понаведут смуззеров в глибц... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #86 |
37. Сообщение от Аноним (22), 04-Окт-23, 08:12 | +/– | ![]() |
Так ты это молодой, давай переписывай. Критиковать каждый умеет. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #21 Ответы: #49, #61 |
39. Сообщение от Аноним (39), 04-Окт-23, 08:13 | +2 +/– | ![]() |
На Эльбрусах не срабатывает. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #45, #56 |
40. Сообщение от Аноним (22), 04-Окт-23, 08:22 | +6 +/– | ![]() |
Геройствования работы до 4 утра, мало того что это покрытие чьего-то про.кола, это напрочь сбитый лайф баланс. Здоровье не купишь не надо так. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #14 Ответы: #116 |
41. Сообщение от Аноним (22), 04-Окт-23, 08:23 | +2 +/– | ![]() |
Да низкий уровень образования создаёт причудливые логические связи. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #28 |
43. Сообщение от eugener (ok), 04-Окт-23, 08:55 | +/– | ![]() |
Я вчера обнову на дебиан 12 поставил около 10-ти вечера, а новость опубликована в 22:30. Норм. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #10 |
44. Сообщение от ыы (?), 04-Окт-23, 08:56 | +4 +/– | ![]() |
>Предложенный метод эксплуатации также не работает в RHEL 8 и RHEL 9, хотя данные ветки и подвержены уязвимости (для атаки требуется создание иного эксплоита). | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #80 |
45. Сообщение от Аноним (45), 04-Окт-23, 09:13 | +1 +/– | ![]() |
А эти Эльбрусы сейчас с тобой в одной комнате, покажи где ты их трогал? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #39 Ответы: #68 |
47. Сообщение от Анонин (?), 04-Окт-23, 09:19 | +5 +/– | ![]() |
Ахаха, ой не могу! Это уже которая по счету за этот месяц? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #48, #50, #54 |
48. Сообщение от ыы (?), 04-Окт-23, 09:23 | +2 +/– | ![]() |
Все они умеют.. вот как бы вы внедряли бэкдур так чтобы его не заметили? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #47 |
49. Сообщение от фнон (?), 04-Окт-23, 09:25 | +/– | ![]() |
а что лучше критиковать или писать вот такой код? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #37 Ответы: #76 |
50. Сообщение от ыы (?), 04-Окт-23, 09:25 | +/– | ![]() |
Тоесть с апреля 2021 по октябрь 2023 все радетели за "обновляемся скорее свежий ядро завезли недорого без смс" - получили бэкдур... Возможно что и кто надо получил... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #47 Ответы: #57 |
52. Сообщение от фнон (?), 04-Окт-23, 09:27 | +1 +/– | ![]() |
ты понимаешь, что если сделать один раз нормально - то больше код трогать не придется | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 |
53. Сообщение от Анонин (?), 04-Окт-23, 09:31 | +2 +/– | ![]() |
> я в бешенстве | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #14 |
54. Сообщение от Анонин (?), 04-Окт-23, 09:35 | +1 +/– | ![]() |
Не, ну я конечно понимаю, что намного приятнее думать что это бекдор, а не обычный быдлокод... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #47 Ответы: #55 |
55. Сообщение от ыы (?), 04-Окт-23, 09:39 | +1 +/– | ![]() |
" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #54 Ответы: #66 |
56. Сообщение от Аноним (56), 04-Окт-23, 09:40 | +/– | ![]() |
А какая версия Glibc там? Небось, ещё 2.2x какая-то. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #39 Ответы: #69 |
57. Сообщение от фнон (?), 04-Окт-23, 09:44 | +4 +/– | ![]() |
ты конечно был бы прав, если бы не такие от "подарки" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #50 Ответы: #60, #63 |
58. Сообщение от Пряник (?), 04-Окт-23, 09:50 | +/– | ![]() |
Действительно крайне нубская ошибка. Было вроде в каких-то языках или парсерах, но быстро исправляли. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #62 |
59. Сообщение от Пряник (?), 04-Окт-23, 09:51 | +1 +/– | ![]() |
Вообще концепция suid напрягает. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 Ответы: #78 |
60. Сообщение от Аноним (60), 04-Окт-23, 09:57 | +/– | ![]() |
> уязвимости было больше 15 лет (Карл! еще бы годик и у нее наступил возраст согласия! хотя линуксоидов она и так поимела) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #57 Ответы: #65, #122 |
61. Сообщение от Пряник (?), 04-Окт-23, 09:57 | +/– | ![]() |
Одно другому не мешает :) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #37 |
62. Сообщение от фнон (?), 04-Окт-23, 10:02 | +1 +/– | ![]() |
а тут целое ядро и 2 года не могли заметить... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #58 Ответы: #64, #103, #149 |
63. Сообщение от Пряник (?), 04-Окт-23, 10:06 | +/– | ![]() |
Нахождения старых уязвимостей - это хорошо. Но вот повторное наступление на грабли в 2021? Ни в какие ворота. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #57 |
64. Сообщение от Пряник (?), 04-Окт-23, 10:07 | +3 +/– | ![]() |
И статические анализаторы кода. Должны были ещё при коммите заметить сразу. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #62 Ответы: #72 |
65. Сообщение от Анонин (?), 04-Окт-23, 10:08 | +/– | ![]() |
Ого, впечатляет! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #60 |
66. Сообщение от fuji (?), 04-Окт-23, 10:27 | +/– | ![]() |
"Таак, тут какая-то фигня. Надо правильно считать размеры буфера. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #55 |
68. Сообщение от Аноним (68), 04-Окт-23, 10:42 | +3 +/– | ![]() |
и на столе есть и МЦСТ даёт доступ по ssh, погуглите | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #45 Ответы: #108 |
69. Сообщение от Аноним (68), 04-Окт-23, 10:43 | +/– | ![]() |
yukari:~$ ls -l /lib/*libc* | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #56 Ответы: #70 |
70. Сообщение от Аноним (68), 04-Окт-23, 10:44 | +/– | ![]() |
@yukari:~$ lcc -v | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #69 |
71. Сообщение от Шарп (ok), 04-Окт-23, 10:52 | +3 +/– | ![]() |
Закономерный итог. Сам язык си и практики, сложившиеся вокруг него, подталкивают к написанию своих велосипедов. Не могут осилить общие библиотеки по работе со строками. Каждый программист переизобретает заново свою версию, вместо использования общей хорошо протестированной реализации. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #73, #75, #79, #82, #106 |
72. Сообщение от Аноним (72), 04-Окт-23, 10:53 | +1 +/– | ![]() |
А разве в ядре есть обязательный стат. анализатор? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #64 |
73. Сообщение от Аноним (72), 04-Окт-23, 11:02 | +2 +/– | ![]() |
я бы еще добавил "стандартная библиотека" мало того что написана ногами, так еще и бедная как церковная мышь | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #71 Ответы: #97 |
74. Сообщение от Аноним (77), 04-Окт-23, 11:07 | +/– | ![]() |
И где все эти кексперты по экономии места посредством отказа от статического связывания? Поливают результатом своей мозговой деятельности язык реализации, не понимая причины? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
75. Сообщение от Анонимусс (?), 04-Окт-23, 11:09 | +/– | ![]() |
Фиг с ней с библиотекой. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #71 |
76. Сообщение от Аноним (76), 04-Окт-23, 11:12 | +1 +/– | ![]() |
В твой случае лучше молчать | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #49 |
77. Сообщение от Аноним (77), 04-Окт-23, 11:26 | +/– | ![]() |
Зачем "партнёры" будут ломать своих агентов, внедрившиз бэкдур в госструктуры? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 |
78. Сообщение от Чи (?), 04-Окт-23, 11:31 | +/– | ![]() |
Ну отказаться от этой концепции видимо уже не получится. Как вариант обмазать все эти суид бинари правилами selinux в обязательно порядке. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #59 Ответы: #88, #91, #111, #146 |
79. Сообщение от Аноним (79), 04-Окт-23, 11:46 | +/– | ![]() |
Жалко только Торвальдс не поменял своего мнения о C++, который мог бы ему значительно помочь в разработке ядра. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #71 Ответы: #83, #96 |
80. Сообщение от Вы забыли заполнить поле Name (?), 04-Окт-23, 11:52 | +/– | ![]() |
Засланый казачок | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #44 |
81. Сообщение от Аноним (81), 04-Окт-23, 12:20 | +7 +/– | ![]() |
все честно написано: Siddhesh Poyarekar is a toolchain hacker | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #31 Ответы: #102 |
82. Сообщение от Аноним (82), 04-Окт-23, 13:43 | –2 +/– | ![]() |
>Не могут осилить общие библиотеки по работе со строками. Каждый программист переизобретает заново свою версию, вместо использования общей хорошо протестированной реализации. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #71 Ответы: #87, #132 |
83. Сообщение от фнон (?), 04-Окт-23, 13:49 | +2 +/– | ![]() |
и чем плюсы лучше? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #79 Ответы: #93 |
84. Сообщение от ИмяХ (?), 04-Окт-23, 13:50 | –1 +/– | ![]() |
Почитал диффы... Ошибка настолько тупейшая, что её никак нельзя назвать ошибкой. Таких тупых вообще не допускают коммитить в ядро. Явно намеренно внедренный бекдор, который просуществовал два с половиной года, несмотря на тысячи глаз. А ещё говорят, мол, линукс безопаснее виндовса. Да этих линyкcoидов откровенно взламывают без всяких вирусов, а они всёпродолжают верить в его "безопасность." | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #90 |
85. Сообщение от Аноним (-), 04-Окт-23, 13:57 | +/– | ![]() |
Так он же индус! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #31 |
86. Сообщение от Аноним (-), 04-Окт-23, 13:57 | +/– | ![]() |
Он не смуззер, он индус. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #36 Ответы: #165 |
87. Сообщение от фнон (?), 04-Окт-23, 13:58 | +1 +/– | ![]() |
Хахаха, "хорошо оттестированной реализации", прекрати человек-петроссян! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #82 Ответы: #147 |
88. Сообщение от Аноним (-), 04-Окт-23, 13:58 | +/– | ![]() |
SELinux - лишнее звено. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #78 |
90. Сообщение от Аноним (72), 04-Окт-23, 14:06 | +1 +/– | ![]() |
> её никак нельзя назвать ошибкой | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #84 |
91. Сообщение от Аноним (91), 04-Окт-23, 14:29 | –1 +/– | ![]() |
Почему не отказаться? Что из этого нельзя выкинуть? А других гнилых бинарей у меня и нет. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #78 |
92. Сообщение от Аноним (92), 04-Окт-23, 14:30 | +/– | ![]() |
Ну что ты будешь делать? Опять каких-то анскильных лалок вместо Настоящих Программистов код писать пустили... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
93. Сообщение от Шарп (ok), 04-Окт-23, 14:47 | +1 +/– | ![]() |
> а там то же самое, memory corruption, out-of-bounds и тд | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #83 Ответы: #98 |
94. Сообщение от Neon (??), 04-Окт-23, 14:51 | +/– | ![]() |
Американские сервера тоже))) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 |
95. Сообщение от Вы забыли заполнить поле Name (?), 04-Окт-23, 14:52 | +/– | ![]() |
У сишников хотя бы есть софт, в котором можно делать уязвимости... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #133 |
96. Сообщение от vdb (?), 04-Окт-23, 14:54 | +/– | ![]() |
В плюсах тащится совместимость с Си, стало быть, все сишные грабли по-прежнему доступны, плюс разложено много новых. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #79 Ответы: #99 |
97. Сообщение от Neon (??), 04-Окт-23, 14:55 | +1 +/– | ![]() |
Стандартные библиотеки С и С++ еще и написаны больным на голову. Более уродского и неудобного нужно поискать. Логика там рептилоидов, а не людей. Да еще и дико убогие | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #73 |
98. Сообщение от фнон (?), 04-Окт-23, 15:41 | +/– | ![]() |
Верю! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #93 Ответы: #101, #123 |
99. Сообщение от фнон (?), 04-Окт-23, 15:43 | +/– | ![]() |
Ну так в названии ++ что зря поставили? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #96 |
100. Сообщение от еизвестный (?), 04-Окт-23, 15:55 | +/– | ![]() |
Alt очень хорош. Ядро без нареканий собирают. Завидую. У меня норм только 4.19 получается.( | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #23 |
101. Сообщение от Аноним (21), 04-Окт-23, 16:17 | +/– | ![]() |
В 2022 отказались от C89. C99 в ядре никогда не было. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #98 Ответы: #104 |
102. Сообщение от Аноним (102), 04-Окт-23, 16:20 | +4 +/– | ![]() |
> все честно написано: Siddhesh Poyarekar is a toolchain hacker | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #81 |
103. Сообщение от Аноним (102), 04-Окт-23, 16:21 | +2 +/– | ![]() |
> а тут целое ядро и 2 года не могли заметить... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #62 |
104. Сообщение от фнон (?), 04-Окт-23, 16:33 | +/– | ![]() |
сорян, опечатался | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #101 |
105. Сообщение от Tester (??), 04-Окт-23, 17:31 | +/– | ![]() |
> уязвимость вызвана изменением, внесённым в апреле 2021 года | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #107 |
106. Сообщение от DildoZilla (?), 04-Окт-23, 17:43 | +/– | ![]() |
Надеюсь, речь не о Расте, который изменяемые в будущем объекты пытается отловить до их появления, т.е. на этапе компиляции? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #71 Ответы: #109 |
107. Сообщение от Аноним (72), 04-Окт-23, 17:46 | +/– | ![]() |
А если бы ее нашли лет через 10? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #105 Ответы: #163 |
108. Сообщение от An (??), 04-Окт-23, 18:00 | +/– | ![]() |
Сначала нужно, чтобы он появился в продаже по сравнимым с интелом и амд ценам. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #68 Ответы: #152 |
109. Сообщение от Анонин (?), 04-Окт-23, 18:06 | +/– | ![]() |
Не, речь именно о нем. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #106 |
110. Сообщение от Аноним (110), 04-Окт-23, 18:27 | +/– | ![]() |
Как часто вижу подобные комментарии. Но почему никто не написал ничего на другом языке? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 |
111. Сообщение от Аноним (111), 04-Окт-23, 18:37 | +1 +/– | ![]() |
Получится, если будет политическая воля. Более 20 лет шло балабольство о невозможности отказа от GIL. Потом пришёл Micro$oft, нанял ключевых разрабов, и в течение года проблема будет решена, а несогласным придётся утереться. Если найдётся корпорация, которая смажет всё деньгами - проблема мигом будет решена. И suid уберут, и программы, которые нужно будет править, либо поправят, либо на свалку истории отправят. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #78 |
112. Сообщение от мяя (?), 04-Окт-23, 18:42 | +/– | ![]() |
Но Раст базируется на libc. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #118 |
113. Сообщение от Аноним (113), 04-Окт-23, 18:50 | +1 +/– | ![]() |
А есть какие-то иные переменные окружения? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #29 |
115. Сообщение от Аноним (115), 04-Окт-23, 19:42 | +4 +/– | ![]() |
Причем каждый раз когда я пишу про SUID на этом форуме всегда найдется парочка долбоящеров, которые будут оборонять эту дрянь и пищать про какой-то там UNIX way!!! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 Ответы: #117, #119, #120, #150, #156 |
116. Сообщение от Аноним (116), 04-Окт-23, 19:42 | +/– | ![]() |
> это напрочь сбитый лайф баланс | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #40 |
117. Сообщение от Анонин (?), 04-Окт-23, 21:14 | +1 +/– | ![]() |
Просто интересно, а если ли хоть какая-то система где все перечисленное реализовано, причем правильно, или хотя бы близко к нему? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #115 |
118. Сообщение от Аноним (118), 04-Окт-23, 21:52 | +1 +/– | ![]() |
> Но Раст базируется на libc. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #112 |
119. Сообщение от User (??), 04-Окт-23, 22:21 | +/– | ![]() |
Осталось ответить на вопрос "ну и вот нахрена это ХОТЬ КОМУ-НИБУДЬ чтоб это самому делать или хотя бы денег за это заплатить"? И можно в путь. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #115 Ответы: #129 |
120. Сообщение от Аноним (120), 04-Окт-23, 22:28 | +/– | ![]() |
> Решается эта проблема так: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #115 Ответы: #128 |
121. Сообщение от Аноним (120), 04-Окт-23, 22:34 | +/– | ![]() |
Дружище, если что-то писать на делфи, то с высокой степенью вероятности в коде будут глюки вида "объект на форму кинули, но все нужные методы для него создать забыли". Если питонятина, то можно ждать что штука которая запускалась пару версий назад не запустится на текущей. Если сишка - жди проблем с памятью. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #28 Ответы: #162 |
122. Сообщение от Аноним (120), 04-Окт-23, 22:40 | +/– | ![]() |
Дарю для комплекта CVE-2021-3999. Она старше Windows 95. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #60 |
123. Сообщение от Вы забыли заполнить поле Name (?), 04-Окт-23, 23:31 | +/– | ![]() |
> Так C11/C17 тоже существуют, вот толку если ядро пишется на некрофильской версии | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #98 Ответы: #126, #127 |
124. Сообщение от Аноним (124), 05-Окт-23, 02:54 | +/– | ![]() |
> Уязвимость в Glibc ld.so | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
125. Сообщение от Аноним (125), 05-Окт-23, 09:25 | +1 +/– | ![]() |
> Уязвимость устранена в патче, добавленном 2 октября. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, Gentoo, ALT Linux. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #164 |
126. Сообщение от Анонн (?), 05-Окт-23, 09:41 | +2 +/– | ![]() |
У раста кроме версий, которые выходят раз в 6 недель и являются просто процессом развития языка, еще есть editions. Вот они больше соответствуют версиям С/С++. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #123 Ответы: #139 |
127. Сообщение от Анонн (?), 05-Окт-23, 09:56 | +/– | ![]() |
Когда-то в отдаленном будущем у editions тоже будет end of life. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #123 |
128. Сообщение от Аноним (115), 05-Окт-23, 12:18 | +3 +/– | ![]() |
Во-первых не просто Windows, а именно Windows NT. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #120 Ответы: #130, #157 |
129. Сообщение от Аноним (115), 05-Окт-23, 12:54 | +/– | ![]() |
Вопросы по всем перечисленным пунктам многократно поднимались в списках рассылки ядра, были неоднократные попытки реализовать и Rich ACLs и дескрипторы. Практика показывает, что это не вопрос денег, это вопрос принятия патчей. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #119 Ответы: #137 |
130. Сообщение от Аноним (130), 05-Окт-23, 13:05 | +/– | ![]() |
Suid не обходит selinux. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #128 Ответы: #131 |
131. Сообщение от Аноним (115), 05-Окт-23, 13:26 | +/– | ![]() |
Он не обходит его на этапе работы с контекстом вызываемой утилиты, в том и только в том случае если есть специально оформленное правило в рамках Targeted Policy. Политика мандатного контроля по умолчанию всегда является таргетированной, она не распространяется на ВСЁ, за исключением единичных случаев, когда в рамках корпоративного использования её вменяют на шаблонизированные рабочие станции и сервера. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #130 |
132. Сообщение от Аноним (132), 05-Окт-23, 15:53 | +/– | ![]() |
> вместо хорошо оттестированной реализации библиотек тащить в ядро безопасТный cargo-мусор? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #82 |
133. Сообщение от Аноним (132), 05-Окт-23, 16:03 | +/– | ![]() |
у растовиков тоже есть - уже немало кода в последних версиях андроида (на декабрь 2022-го 21% всего нового нативного кода, т.е. С/С++/Rust), но вот беда - за несколько лет внесения туда расто-кода в компонентах на нем не было совершено НИ ОДНОЙ ошибки работы с памятью. Так что поправлю, перефразирую - "У сишников хотя бы есть язык, в котором при работе с памятью можно делать уязвимости..." - гордись, у растовиков с этим труднее. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #95 Ответы: #134 |
134. Сообщение от Вы забыли заполнить поле Name (?), 05-Окт-23, 16:48 | +/– | ![]() |
>уже немало кода в последних версиях андроида (на декабрь 2022-го 21% всего нового нативного кода, т.е. С/С++/Rust) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #133 |
135. Сообщение от InuYasha (??), 05-Окт-23, 17:24 | +/– | ![]() |
AT&T - та ещё корпорация зла. Позлее гугла в свои времена. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #34 |
136. Сообщение от Аноним (136), 05-Окт-23, 18:52 | +2 +/– | ![]() |
> Уязвимость вызвана изменением, внесённым в апреле 2021 года и вошедшим в состав выпуска glibc 2.34. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #12 |
137. Сообщение от User (??), 05-Окт-23, 19:07 | +/– | ![]() |
>[оверквотинг удален] | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #129 |
138. Сообщение от Аноним (130), 05-Окт-23, 19:23 | +/– | ![]() |
Slackware отличный. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #23 |
139. Сообщение от Вы забыли заполнить поле Name (?), 05-Окт-23, 19:31 | +/– | ![]() |
> которые выходят раз в 6 недель и являются просто процессом развития языка, еще есть editions. Вот они больше соответствуют версиям С/С++ | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #126 Ответы: #140 |
140. Сообщение от Анонн (?), 05-Окт-23, 20:15 | +1 +/– | ![]() |
Нет, это не подмена понятий. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #139 Ответы: #141 |
141. Сообщение от Вы забыли заполнить поле Name (?), 05-Окт-23, 20:18 | +/– | ![]() |
> Но с растом есть еще другой путь, который описал выше. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #140 Ответы: #142 |
142. Сообщение от Анонн (?), 05-Окт-23, 20:30 | +/– | ![]() |
Тебе не нужно по компилятору на каждый edition. Это ж тебе не сишка. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #141 Ответы: #144 |
144. Сообщение от Вы забыли заполнить поле Name (?), 06-Окт-23, 00:49 | +/– | ![]() |
> Понимаю, что звучит слишком круто и вызывает недоверие :) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #142 Ответы: #151 |
145. Сообщение от uis (??), 06-Окт-23, 12:19 | +/– | ![]() |
strstr | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 |
146. Сообщение от uis (??), 06-Окт-23, 12:24 | +/– | ![]() |
Эммм... POSIX file capabilities. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #78 |
147. Сообщение от uis (??), 06-Окт-23, 12:44 | +/– | ![]() |
Матчасть учи, Dirty COW не вв либе был. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #87 |
149. Сообщение от Kuromi (ok), 06-Окт-23, 17:12 | +1 +/– | ![]() |
Как вариант - не заметили потому что отвернулись в сторону. Я не фанат конспирологии, но иногда слишком уж похоже. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #62 |
150. Сообщение от Kuromi (ok), 06-Окт-23, 17:21 | +/– | ![]() |
"Я в реальной жизни встречал баранов, которые выключили SELinux, понаставили "chmod 777" и пренебрежительно рассказывают мне о высочайшей безопасности Linux и про то что Windows на железо им страшно ставить. " | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #115 |
151. Сообщение от Анонн (?), 06-Окт-23, 17:58 | +/– | ![]() |
Но ты не можешь часть сорцов ядра собрать одним стандартом, а часть - другим. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #144 Ответы: #153 |
152. Сообщение от Аноним (152), 06-Окт-23, 18:03 | +/– | ![]() |
Зачем? Ты не нужен, сиди и жди халяву дальше. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #108 Ответы: #155 |
153. Сообщение от Вы забыли заполнить поле Name (?), 06-Окт-23, 23:25 | +1 +/– | ![]() |
> Но ты не можешь часть сорцов ядра собрать одним стандартом, а часть | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #151 |
155. Сообщение от An (??), 08-Окт-23, 16:36 | +/– | ![]() |
Ну ок. Тогда смотрим на альтернативы: x86_64, ARM, RISC-V. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #152 |
156. Сообщение от крокодил мимо.. (?), 08-Окт-23, 18:53 | +/– | ![]() |
> Решается эта проблема так: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #115 |
157. Сообщение от Аноним (157), 08-Окт-23, 21:13 | +/– | ![]() |
> из принципа не следует стандартам POSIX | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #128 Ответы: #159 |
158. Сообщение от Аноним (157), 08-Окт-23, 21:26 | +/– | ![]() |
> деды дали в рейтузы | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #21 |
159. Сообщение от User (??), 10-Окт-23, 09:44 | +/– | ![]() |
>> из принципа не следует стандартам POSIX | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #157 Ответы: #160 |
160. Сообщение от Аноним (160), 10-Окт-23, 10:04 | +/– | ![]() |
Одна только унификация - на вес золота. Много хорошего, за неимением лучшего. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #159 Ответы: #161 |
161. Сообщение от User (??), 10-Окт-23, 10:14 | +/– | ![]() |
> Одна только унификация - на вес золота. Много хорошего, за неимением лучшего. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #160 |
162. Сообщение от inferrna (ok), 12-Окт-23, 16:13 | +/– | ![]() |
>питонятина | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #121 |
163. Сообщение от Tester (??), 22-Дек-23, 16:43 | +/– | ![]() |
> А если бы ее нашли лет через 10? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #107 |
164. Сообщение от Tester (??), 22-Дек-23, 16:45 | +/– | ![]() |
>> Уязвимость устранена в патче, добавленном 2 октября. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, Gentoo, ALT Linux. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #125 |
165. Сообщение от 128557 (?), 31-Янв-24, 16:14 | +/– | ![]() |
Индус - это диагноз. Каким выглядит мир, когда в голове одни танцы? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #86 |
166.
Сообщение от Werenter![]() | +/– | ![]() |
У меня ничего не произошло, просто выдало --help | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |