Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs"	+/–
Сообщение от opennews (??), 01-Апр-26, 14:38
Во FreeBSD устранена уязвимость... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65118
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 01-Апр-26, 14:38	+7 +/–
>Vim и Emacs Когда ещё можно услышать вместе эти два названия?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

2. Сообщение от Аноним (2), 01-Апр-26, 14:38	–2 +/–
FreeBSD нужно переписать на FreeGNU, а GNU/Linux на BSD/Linux!!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #26

3. Сообщение от Аноним (3), 01-Апр-26, 14:41	+1 +/–
15-ю после релиза покрутил у себя немного, хорошо работала без сбоев. https://www.freebsd.org/ru/ Кто-нибудь ставил себе, какие впечатления ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от пох. (?), 01-Апр-26, 14:44	–1 +/–
можно, но зачем?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8, #62

5. Сообщение от Аноним (8), 01-Апр-26, 14:44	–1 +/–
> при проверке подписи данные из пакета копируются в фиксированный буфер без должной проверки соответствия размера. Прям как диды в 4̶5̶м̶ unix4! Потомки держат марку и продолжают упорно делать одни и те же ошибки. Такое упорство (и упоротость) внушает уважение.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

6. Сообщение от Аноним (6), 01-Апр-26, 14:46	+/–
Debian GNU/kFreeBSD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #42

7. Сообщение от анонимус (??), 01-Апр-26, 14:49	–1 +/–
уже мертво
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от Аноним (8), 01-Апр-26, 14:49	+3 +/–
Чтобы почувствовать запах ылитарности и академичности. И немного запах нафталина. Но ладно, не хурд и слава богу, не буду осуждать чужие странности)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #21

9. Сообщение от Аноним (9), 01-Апр-26, 14:51	+/–
В gentoo не воспроизвелось. Vim версии 9.1.1652, вроде бы должен быть подвержен, ибо Affected versions > 9.1.1390 && < 9.2.0172
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

10. Сообщение от Аноним (10), 01-Апр-26, 14:52	+/–
ох уж ваши шуточки, поручик
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (-), 01-Апр-26, 14:53	+/–
> сводились к примитивной постановке задачи, такой как "найди 0-day уязвимость в Vim, возникающую при открытии файла". В итоге модель Claude успешно нашла ранее не известные уязвимости. Кто там в темах про "AI проверка в ядре" куракекал "Не нужон ваш ЫЫ!" ? Что теперь скажите? Тыщи глаз проблему не видели годами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #63

12. Сообщение от Useruser (?), 01-Апр-26, 14:53	+4 +/–
Vim vs emacs
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

13. Сообщение от Аноним (14), 01-Апр-26, 14:57	–1 +/–
modeline само по себе сомнительная фича, которая включаться должна опционально. Хз зачем её выставили по дефолту в включенное состояние.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (14), 01-Апр-26, 14:59	+1 +/–
Почитай, что ещё может сделать modeline, и пойми, что те кто шарят выключали его и так сразу. Раньше у этой фичи и песочницы не было никакой, просто проект оброс фичами и про modeline забыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Фонтимос (?), 01-Апр-26, 15:00	+1 +/–
Сегодня день антрофика или первое апреля? > "найди 0-day уязвимость в Vim, возникающую при открытии файла" пошел заставлять клод сделать: "найди любую уязвимость в ядре линукса при загрузке и сделай мне эксплойт"
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от bOOster (ok), 01-Апр-26, 15:04	+1 +/–
Не жилось спокойно c Heimdal, потянули это гавno в базу - MIT kerberos. И да, причем тут FreeBSD? Ее пользовать можно с Heimdal.
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (19), 01-Апр-26, 15:07	–4 +/–
> Удалённо эксплуатируемые уязвимости в ядре FreeBSD > Проблема вызвана тем, что при проверке подписи данные из пакета копируются в фиксированный буфер без должной проверки соответствия размера. Ну кто бы сомневался... Шел шестой десяток лет наступания на одни и те же грабли. > Уязвимость была выявлена [...] при помощи AI-ассистента Claude. "Статические анализаторы решают все проблемы", говорили они. "Галлюцинирующий ИИ для этого нинужон", говорили они. > использовав Claude для выявления уязвимостей в Vim и Emacs, позволяющих добиться выполнения своего кода > промпты к модели сводились к примитивной постановке задачи, такой как "найди 0-day уязвимость в Vim, возникающую при открытии файла". В итоге модель Claude успешно нашла ранее не известные уязвимости. Поздравляю всех сишочных бракоделов: теперь буквально любой васян, даже в глаза не видевший программирования, может ломануть систему, в которой есть наовняканый вами код. А ИИшка для этого ему не только дырочки найдет, но и даже всю структуру для взлома засетапит. Слава богу, хоть развитие ИИ наконец-то положит конец этим десятилетиям халатного бракодельства на недоязыке из 70х. Ибо сколько уже это можно терпеть?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

18. Сообщение от Аноним (18), 01-Апр-26, 15:08	–2 +/–
FreeBSD надо на дырясте переписать. FFMpeg, вон, переходит уже. "FFmpeg is moving to Rust Our use of C and Assembly in FFmpeg has been an unacceptable violation of safety. FFmpeg will be running 10x slower - but we're doing it for your safety. All your videos will appear green - safety first, working software later."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #25, #45

19. Сообщение от Аноним (19), 01-Апр-26, 15:10	–1 +/–
> Потомки держат марку и продолжают упорно делать одни и те же ошибки. Причем уже шестой десяток к ряду. За это время иные люди успели родиться, жениться, вырастить детей, понянчить внуков и отправиться на тот свет. А сишочники все за буферы вылазят. П - прогресс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

20. Сообщение от bOOster (ok), 01-Апр-26, 15:12	–2 +/–
Ты со свечкой что-ли стоял - когда ИИ уязвимость искал? Очередной бред для придурков видящих в лжеИИ панацею от всех болезней.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #24, #68

21. Сообщение от Аноним (21), 01-Апр-26, 15:15	+/–
Академичность - это в нетбсдшке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #29, #60

22. Сообщение от пох. (?), 01-Апр-26, 15:19	+/–
> FreeBSD надо на дырясте переписать. FFMpeg, вон, переходит уже. НАЧАТЬ переписывать! > All your videos will appear green - safety first, working software later." Вот! Чуваки правильно понимают фишку!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Аноним (24), 01-Апр-26, 15:23    Скрыто ботом-модератором	+/–
> Дополнительно можно отметить ещё две уязвимости: >    CVE-2026-33150 - обращение к памяти после её освобождения >    CVE-2026-34743 - переполнение буфера в lzma_index_append() Ha-ha, classic! Штош, ждем фонтана dыреней во всех проектах на дидовом недоязыке.
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (24), 01-Апр-26, 15:25	+4 +/–
> Очередной бред для придурков видящих в лжеИИ панацею ИИ баг нашел bOOster баг не нашел. И кто из вас таки идийот?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #30, #31

25. Сообщение от Аноним (25), 01-Апр-26, 15:27	+/–
Первоапрельский наброс сразу видно. "FFmpeg will be running 10x slower" Но возможно если на расте будут писать чуваки у которых с десяток CVE 10.0 и которые до сих пор пишут подобное CVE-2024-22860 - CVSS score 9.8 - FFmpeg jpegxl_anim_read_packet Integer Overflow Remote Code Execution Vulnerability Integer overflow vulnerability in FFmpeg before n6.1, allows remote attackers to execute arbitrary code via the jpegxl_anim_read_packet component in the JPEG XL Animation decoder. То да, такие уни-калы могут и раст умудриться замедлить в 10 раз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (26), 01-Апр-26, 15:32	+1 +/–
И оба переписать на Emacs Lisp.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

27. Сообщение от Сладкая булочка (?), 01-Апр-26, 15:34	+1 +/–
> Уязвимость в Emacs вызвана автоматической обработкой содержимого каталога .git/, когда он размещён в одном каталоге с открываемым файлом. В этом случае Emacs при открытии файла запускает команды "git ls-files" и "git status", выполняемые в контексте содержимого ".git/". Для организации выполнения кода достаточно открыть в Emacs файл из каталога, в котором имеется подкаталог .git/ с файлом конфигурации "config", включающим опцию "core.fsmonitor" с указанной атакующим командой для запуска. Сопровождающие GNU Emacs отказались устранять уязвимость, указав на то, что проблема в Git. Ну то есть уязивмости в Emacs нет по факту. Почему тогда заголовок не поправлен?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

29. Сообщение от Аноним (29), 01-Апр-26, 15:36    Скрыто ботом-модератором	+1 +/–
> Академичность - это в нетбсдшке. Простите. В сортах бсд разбирают плохо. Так что вам виднее :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

30. Сообщение от bOOster (ok), 01-Апр-26, 15:46	–2 +/–
Конечно же ты, такой большой.. Такой толстый... А в сказки веришь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #43

31. Сообщение от Аноним (31), 01-Апр-26, 15:47	+1 +/–
>И кто из вас таки идийот?)) Очень похоже на рекламную многоходовку. 1)Люди находят багу 2)Пишем разгромную статью про преслести нашего ЫЫ 3)идийоты покупаются пачками Для проверки теории, сам попроси твой любимый ЫЫ найти тебе 0-day дыру где нибудь, и эксплойт написать. А потом расскажи нам, что у тебя получилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #55

34. Сообщение от Аноним (35), 01-Апр-26, 15:52	–1 +/–
Отличная первоапрельская шутка. Фрибсд полностью идеален и неуязвим его писали люди с академическим образованием.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Аноним (35), 01-Апр-26, 15:53	+/–
На самом деле потому что у разрабов емакс руки не из того места.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #49

36. Сообщение от iPony128052 (?), 01-Апр-26, 15:56	+/–
Хорошие шутки на 1 апреля
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (37), 01-Апр-26, 16:10	+/–
> Уязвимость в Emacs вызвана автоматической обработкой содержимого каталога .git/ А autorun.inf он не обрабатывает автоматически?
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 01-Апр-26, 16:28    Скрыто ботом-модератором	+/–
Ты удивишся, но в Slackware Linux тоже некоторые уязвимости не работают. Сам замечал. Почему так? Не знаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

41. Сообщение от Аноним (-), 01-Апр-26, 16:40	+/–
> Во FreeBSD устранена уязвимость (CVE-2026-4747), > позволяющая через отправку сетевых пакетов к NFS-серверу > добиться выполнения кода на уровне ядра Безопасная система, все как фаны FreeBSD обещали. Хоть что-то в ней в безопасности. Например, дыра.
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (-), 01-Апр-26, 16:41    Скрыто ботом-модератором	+/–
>  Debian GNU/kFreeBSD Так там тоже уязвимый кернель тогда будет...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

43. Сообщение от Аноним (-), 01-Апр-26, 16:44	–1 +/–
>  Конечно же ты, такой большой.. Такой толстый... А в сказки веришь... Это ты - деволюционировал куда-то обратно на ветки деревьев. Я буквально вчера починил реальный баг отрепорченый AI. А у тебя будущее все так и не наступило. Как-как, говорите, объекты тяжелее воздуха - летать не могут?! Надо рассказать пилотам что их не существует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

45. Сообщение от Аноним (-), 01-Апр-26, 16:56	+1 +/–
> All your videos will appear green - safety first, working software later." Finally! All videos are Safe For Work. Safety everywhere!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

49. Сообщение от Аноним (49), 01-Апр-26, 17:07	–1 +/–
Ну да, они же должны были накостылять вокруг, чтоб обойти уязвимость. Но реальная уязмимость-то, всё равно, останется в Git.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

51. Сообщение от Аноним (51), 01-Апр-26, 17:31	+/–
>Уязвимость в Emacs >в котором имеется подкаталог .git/ с файлом конфигурации "config", включающим опцию "core.fsmonitor" с указанной атакующим командой для запуска. А Emacs тут каким боком? Уязвимость будет везде, где есть гит интеграция.
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Аноня (?), 01-Апр-26, 17:37	+/–
> Проблема присутствует в реализации API GSS (Generic Security Services), позволяющего устанавливать защищённые аутентифицированные каналы связи с сервером Как всегда, это прекрасно. Защищайса через наши дыры )
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (54), 01-Апр-26, 18:25	+/–
Это первоапрельская новость что ли? В emacs действительно не по адресу, тут должны быть уязвимы даже шелл-промпты, показывающие текущую ветку, однако - а ОТКУДА в .git/config возьмется такая настройка? Гит не клонирует config как раз из соображений безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59, #67

55. Сообщение от Аноним (19), 01-Апр-26, 18:30	+/–
> Очень похоже на рекламную многоходовку. > 1)Люди находят багу > 2)Пишем разгромную статью про преслести нашего ЫЫ Нет, это похоже на копиум любителей торий заговоров. Других объяснений неудобным фактам вы не допускаете, чтобы не рушить свою уютную картину мира. Это стадия отрицания. Это пройдет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #56, #57

56. Сообщение от Аноним (56), 01-Апр-26, 18:40	+/–
Если бы это не было рекалмой ЫЫ, то фиг бы упомянули про ЫЫ, взали бы на себя все лавры. Тут же классическое рекламное гонево, даже слог соответствующий
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #64

57. Сообщение от Аноним (31), 01-Апр-26, 18:44	–1 +/–
>Это стадия отрицания. Это пройдет. Нельзя доказать отсутствие чего то. Но я предложил эксперимент. И отсутсвие твоих результатов как бы намекает. Но если тебе приятно думать, что у меня отрицание, то я конечно не стану лишать тебя сладкого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #58, #66

58. Сообщение от Аноним (58), 01-Апр-26, 18:52    Скрыто ботом-модератором	+2 +/–
> Но я предложил эксперимент. Ты слился "до сперва добейся"? Реально думаешь, что кто-то купится на такой вброс?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

59. Сообщение от Аноним (59), 01-Апр-26, 18:56	+/–
> а ОТКУДА в .git/config возьмется такая настройка? У любителей качать архивы с серверов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #61

60. Сообщение от Аноним (8), 01-Апр-26, 19:09	+/–
Знал универсиетских преподавателей они душой тяготели почему-то к FreeBSD. Если академичность то скорее это именно FreeBSD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

61. Сообщение от Аноним (61), 01-Апр-26, 19:11	+/–
У таких, наверное, и гита нет -- нечему запускаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Аноним (62), 01-Апр-26, 19:38	+/–
Ровно за тем, зачем ставят линукс. Удобнее решать свои задачи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #65

63. Сообщение от Аноним (62), 01-Апр-26, 19:40	+/–
> Кто там в темах про "AI проверка в ядре" куракекал "Не нужон ваш ЫЫ!" ? Ты в недалёком будущем. Когда шеф скажет: "мне тут ИИ нашептал что ты мало работаешь, да и вообще можно тебя уволить..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

64. Сообщение от Аноним (19), 01-Апр-26, 19:40	+/–
> Если бы это не было рекалмой ЫЫ, то фиг бы упомянули про ЫЫ, взали бы на себя все лавры. Чего вдруг? Лавры статических анализаторов и прочих валгриндов никто себе не присваивает. > Тут же классическое рекламное гонево, даже слог соответствующий В патче кроме "Credits: Nicholas Carlini using Claude, Anthropic" об ИИ ни слова. https://www.freebsd.org/security/advisories/FreeBSD-SA-26:08... Причем упоминание факта использования ИИ - это нынче обычное требование в большинстве проектов, включая Linux: https://docs.kernel.org/process/coding-assistants.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

65. Сообщение от нах. (?), 01-Апр-26, 19:41	+/–
но какие?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

66. Сообщение от Аноним (19), 01-Апр-26, 19:43	+/–
> Нельзя доказать отсутствие чего то. С фига ли? > Но я предложил эксперимент. И отсутсвие твоих результатов как бы намекает. Нет, раз ты утверждаешь, что это реклама и сговор - тебе это и доказывать. Бремя доказательства лежит на утверждающем - слышал такое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

67. Сообщение от нах. (?), 01-Апр-26, 19:44	+/–
ты конечно же вспомнишь об этом, решив посмотреть ЧУЖОЙ файлик в чужом каталоге?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

68. Сообщение от Аноним (19), 01-Апр-26, 19:45	+/–
> бред для [...] видящих в лжеИИ панацею от всех болезней. А речь и не идет про "все болезни". Речь идет конкретно о типичных сишных дыренях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема