Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Фонд СПО предупредил о критической уязвимости в хостинге свободного кода GNU Savannah"	+/–
Сообщение от opennews (??), 20-Июн-26, 11:52
Фонд свободного ПО сообщил о выявлении критической уязвимости в хостинге свободного кода GNU Savannah, позволяющей скомпрометировать размещённые репозитории проектов. Продемонстрирован рабочий эксплоит. Следов использования уязвимости для атаки на код, подстановки вредоносных зависимостей или получения доступа к учётным записям не выявлено, но разработчикам, использующим GNU Savannah, рекомендуется убедиться в отсутствии подозрительной активности в их репозиториях... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65730
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от q (ok), 20-Июн-26, 12:09	–9 +/–
Соболезную всем тем, кто ведет проекты в "savannah." К счастью, таких людей наверняка не больше сотни.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от Советский Человек (-), 20-Июн-26, 12:45	+2 +/–
И конечно, в репозитории глянуть не судьба
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #67

4. Сообщение от Аноним (4), 20-Июн-26, 12:45	+1 +/–
Темный пиар тоже пиар. Нужно потыкать, возможно оно живое.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

5. Сообщение от ИмяХ (ok), 20-Июн-26, 13:15	+/–
>>хостинге свободного кода GNU Savannah, позволяющей скомпрометировать размещённые репозитории проектов Явное противоречие. Как можно скомпрометировать то, что и так свободно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

6. Сообщение от Аноним (6), 20-Июн-26, 13:22	+/–
какой ужас! Теперь Фонд свободного ПО засудят?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #28

7. Сообщение от Аноним (7), 20-Июн-26, 13:27	–3 +/–
Хм, даже не знаю, то ли дело в качестве кода GNU проектов. То ли в том что это дрыcтня Shell + C. Зато совершенно не аффилированный фондик поставил ему "рейтинг "A", указывающий на соответствие наивысшим требованиям по обеспечению приватности, свободы и копилефта" Что логично, так как безопасность и корректность кода в списке не указаны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10, #65

8. Сообщение от ИмяХ (ok), 20-Июн-26, 13:31	–1 +/–
Безопасность и корректность всегда реализуется какими-либо ограничениями, а это противоречит свободе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #38

9. Сообщение от Аноним (9), 20-Июн-26, 13:49	–1 +/–
Весёлый хостинг, и фичи у него полезные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

10. Сообщение от Аноним (10), 20-Июн-26, 13:50	+2 +/–
Это старый репозиторий SF. Написан на пхп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от Аноним (9), 20-Июн-26, 13:50	+/–
Зависит от юрисдикции владельца. Вот был бы хостинг Хуавея - тогда бы точно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от Аноним (10), 20-Июн-26, 13:53	–4 +/–
>и существенно проигрывает современным платформам совместной разработки, таким как GitHub и GitLab, с точки зрения удобства работы с кодом GitHub и Gitlab не про работу с кодом, а про то, чтобы тебя взяли на работу. Настоящее удобство работы с кодом было у Sourcehut, где веб-формочки были лишь мордой к мейллисту и скана паспорта для работы не требовали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #43, #69

17. Сообщение от OpenEcho (?), 20-Июн-26, 15:16	+/–
> Как можно скомпрометировать то, что и так свободно? Прочитайте о атаках на цепочки поставок, а "2 словах", - инжект вредоносного пэйлоада в окрытые и полулярные проекты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

18. Сообщение от Аноним (18), 20-Июн-26, 15:30	–1 +/–
Не встречал ни одного значимого СПО-проекта на этом недохостинге. Похоже на какую-то личную песочницу Столлмана, чтоб ему было где поиграть в Великого Разработчика[тм](c).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #24, #25, #44

19. Сообщение от Аноним (19), 20-Июн-26, 15:53	–2 +/–
А вы вообще его открывали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #21

21. Сообщение от Аноним (21), 20-Июн-26, 16:41	+/–
> А вы вообще его открывали? Ссылку на значимый проект давай. Открывать ты наш.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Аноним (22), 20-Июн-26, 16:44	+/–
Зачем нужны все эти промежуточный сервисы, когда е-мейл и локальный гит ничего не требуют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #32

24. Сообщение от Аноним (24), 20-Июн-26, 16:49	+1 +/–
Собирал LFS, кроме ведра почти все исходники тянул из Саваннаха. В Саваннахе хостятся системные утилиты операционной системы GNU/Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #26, #46

25. Сообщение от Аноним (25), 20-Июн-26, 16:54	+2 +/–
https://git.savannah.gnu.org/cgit/emacs.git
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (-), 20-Июн-26, 16:57	–1 +/–
А что такое "операционная система GNU/Linux"? Торвальдс утверждает, что Linux к GNU-сектантам отношения не имеет. Да и не все утилиты линукса это GNU.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #33, #40, #70

28. Сообщение от Аноним (28), 20-Июн-26, 17:18	–4 +/–
Сначала нужно возбудить уголовное дело. А потом в зависимости от обстоятельств, если есть договор об экстрадиции - экстрагируем. Если не явился в суд, а потом вдруг через 10 лет пересёк границу страны суда - получит арест с применением наказания назначенным судом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #47

29. Сообщение от Аноним (29), 20-Июн-26, 17:34	+/–
>Фонд свободного ПО сообщил о выявлении критической уязвимости в хостинге свободного кода Что еще не понятно, что "прибьют" это вскоре.
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (32), 20-Июн-26, 18:46	+2 +/–
Зачем тебе емейл для разработки hello world с самим собой наедине?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

33. Сообщение от Аноним (33), 20-Июн-26, 19:36	+1 +/–
>>Торвальдс утверждает, что Linux к GNU-сектантам отношения не имеет. > Лживый вброс. Сказано громко, но бездоказательно. А вот доказательства моего утверждения Письмо в lkml от Linus Torvalds, за сентябрь 2006 года lkml.org/lkml/2006/9/25/161 Similarly, the fact that rms and the FSF has tried to paint Linux as a GNU project (going as far as trying to rename it "GNU/Linux" at every opportunity they get) is their confusion, not ours. I personally have always been very clear about this: Linux is "Open Source". It was never a FSF project, and it was always about giving source code back and keeping it open, not about anything else. The very first license used for the kernel was _not_ the GPL at all... And please, when you join that fight, use your _own_ copyrights. Not somebody elses. I absolutely hate how the FSF has tried to use my code as a weapon, just because I decided that their license was good.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #55

38. Сообщение от Аркагоблин (?), 20-Июн-26, 21:20	+1 +/–
> Безопасность и корректность всегда реализуется какими-либо ограничениями Эй, не надо путать новояз "безопасность" с прямым значением этого слова. Безопасность реализуется грамотным кодом и обслуживанием, а "безопасность" (цензура корпораций и законов под предлогом благих целей) - ограничениями, как ты сказал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

40. Сообщение от Аноним (40), 20-Июн-26, 21:43	+/–
Linux без userspace обычно ничего не умеет (за исключением специфичной эмбеддовщины, далеко не каждой эмбеддовщины). Как бы "ядро ОС" - это важная часть ОС, но далеко не вся ОС... Большинство кодеров на ядро ОС явно не завязаны (юзают POSIX-совместимые libc, или python или ещё что-то; системные вызовы ядра ОС глубоко под капотом и лазить туда не нужно). userspace в целом не обязательно завязан на софт GNU. Но лет 20 назад почти вся базовая система была GNU и без вариантов. Начиная с компилятора и coreutils. Сейчас варианты есть, но всё равно GNU ещё очень много почти в любом дистре. Наверное уже лет 10 как можно повыёживаться и собрать дистр вообще без GNU, но до массового внедрения таких конфигов ещё долго...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #48

41. Сообщение от Аноним (41), 20-Июн-26, 22:22	+1 +/–
> Следов использования уязвимости [...] не выявлено Неуловимый Джо 80-го уровня. А в начале двухтысячных там бы давно всё дефейснули и скарбезностей написали. Опенсорс мёртв, да здравствует опенсорс.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Ivan_83 (ok), 20-Июн-26, 23:38	+/–
Не замечал чтобы меня кто то приглашал на работу. Может для этого надо бесплатно пару лет в каких то корпоративных репах впахивать?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #60

44. Сообщение от Ivan_83 (ok), 20-Июн-26, 23:39	+/–
freetype там, я даже ради него там регался и мучался с их вебгуем. А фритайп - это один из 2 или трёх движков для рендера текста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #54

45. Сообщение от слабый гусь (?), 21-Июн-26, 02:06	+1 +/–
Новость о ии исправлениях нерешаемой с 2017 года проблемы в amdgpu будет? Уж больно хочется там откомментировать :D
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53, #56

46. Сообщение от Аноним (46), 21-Июн-26, 02:13	+/–
Собрал systems/Linux и системные утилиты uutils. Ни одного GNU компонента в системе не наблюдаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #73

47. Сообщение от Аноним (9), 21-Июн-26, 02:17	+/–
Странно, а санкции без дела вводят просто так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

48. Сообщение от Энтомолог_русолог (ok), 21-Июн-26, 02:28	+1 +/–
OpenWRT и Android — наглядные примеры OS на ядре Linux без GNUшных утилит Из десктопных Void на мюслях с бузибоксом и ChromeOS Да, в принципе, Ubuntu 26.04 на uutils-rs уже тоже без гнутых утилит и массовое внедрение уже идет, свежие инсталлы идут на 26.04, а в августе пойдет и обновление 24.04→26.04
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #49

49. Сообщение от Аноним (49), 21-Июн-26, 03:24	–1 +/–
bash, find и куча другого "core-utils" передают привет огрызкам с busybox на борту. А какие забавные костыли выдумывают, лишь бы не использовать libns с его nsswitch.conf и getaddrinfo... Растовые самопалы вообще существуют только по причине того, что кому-то понадобились не-GPL корутилы. Так то не-GNU код уже есть, тот же busybox, а toybox существующий под подарочной и незащищающей юзера лицензией настолько нахер никому не нужен, что приходится роутероделам писать свои собственные проприетарные аппы, и в тех уязвимостей как грибов после дождя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #51, #62

51. Сообщение от Аноним (51), 21-Июн-26, 06:38	+/–
Сообщение прямо в стиле busybox.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

53. Сообщение от Tita_M (ok), 21-Июн-26, 08:18	+/–
Заинтересовало. На случай если новости не будет, может поделитесь подробностями? Или может сами новость напишете или просто наводку на новость Максиму дадите?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #63

54. Сообщение от Аноним (25), 21-Июн-26, 08:45	+/–
Не очень нужно, в Х11 есть встроенный движок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

55. Сообщение от Аноним (55), 21-Июн-26, 12:38	+/–
Опять, врешь же. Тут он скзал что ядро и утилиты GNU не тождественны. Да, они не тождественны. А ядро всегда была частью операционной системы GNU/Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #57

56. Сообщение от фняк. (?), 21-Июн-26, 12:54	+/–
Перед словами начинающимися на гласную пишется "об"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #58

57. Сообщение от Аноним (57), 21-Июн-26, 13:05	+/–
FSF has tried to paint Linux as a GNU project (going as far as trying to rename it "GNU/Linux" at every opportunity they get) Прямым текстом написано что ФСФ пытается примазать Linux к ГНУ - называя пр каждом удобном случае систему "GNU/Linux". Нет такой системы) Есть просто ядро линукс. К ГНУ оно не относится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59

58. Сообщение от Аноним (58), 21-Июн-26, 15:26	+/–
А запятые дело десятое, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

59. Сообщение от Аноним (59), 21-Июн-26, 16:10	+1 +/–
Ты видимо английского не знаешь. Он пишет, что ядро не тождественно GNU. Про "примазывания" тут нет слов. Опять лжёшь. Ядро относится к GNU, исторически являясь часть операционной системы GNU/Linux. А теперь сотри это сообщение. Ты же ссыкло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #61, #66

60. Сообщение от Аноним (32), 21-Июн-26, 19:51	+/–
> Не замечал чтобы меня кто то приглашал на работу. А то! HR читают твои истерики в багзилле бзды и сразу видят, что culture fit interview ты провалил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #64

61. Сообщение от Аноним (32), 21-Июн-26, 19:54	+/–
> Ты видимо английского не знаешь. Я знаю. Тот выше всё правильно написал. Линус уже десять раз пожалел, что взял GPL, а не написал свою. И именно из-за поведения rms и FSF-фанатиков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Аноним (32), 21-Июн-26, 19:57	+1 +/–
> Растовые самопалы вообще существуют только по причине того, что кому-то понадобились не-GPL корутилы Тебе в голову никогда не приходила мысль о том, почему бы это вдруг кому-то захотелось? Детсад о том как злые корпы хотят зохавать линукс (который они же сами для себя и пишут!) оставим белкам-истеричкам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

63. Сообщение от Аноним (63), 21-Июн-26, 23:42	+/–
https://gitlab.freedesktop.org/drm/amd/-/work_items/4141
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

64. Сообщение от Ivan_83 (ok), 22-Июн-26, 07:49	+/–
Так в багзилле мне не платят потому я остаиваю свои интересы не рискуя ничем. На работе мне платят и я занимаюсь всякой фигатой которая там нужна. Хотя там хватает больных людей которые настаивают на том что работу надо работать будучи полностью связанным, в противогазе, лыжах и стоя в гамаке. Текучка кдаров подтверждает что мне не померещилось :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

65. Сообщение от Аноним (65), 22-Июн-26, 09:49	+/–
Не, там PHP, такой классический, из нулевых, в виде лапши с глобальными переменными. На Shell+C лучше бы было. Вообще, если честно, я не понимаю, зачем до сих пор держать _это_, если есть gogs/gitea/прочие форки. Для луддитов, там просмотр кода без js вполне работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

66. Сообщение от Аноним (66), 22-Июн-26, 10:34	+/–
> Ты видимо английского не знаешь. Достаточно чтобы сдлать TOEFL. > Он пишет, что ядро не тождественно GNU. Разве? Он пишет что гнутые фанатики пытаются использовать GNU/Linux примазываясь к проекту. Прямо как ты)) > Про "примазывания" тут нет слов. Опять лжёшь. Словосочетание paint Linux as a GNU можно перевести как примазывают) > Ядро относится к GNU, исторически являясь часть операционной системы GNU/Linux. Нет такой системы))) Х11, без которой ОС линукс была бы консольной поделкой явно не ГНУ-рак. > А теперь сотри это сообщение. Ты же ссыкло. Что-то не гопническом... не понимаю что ты хотел сказать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #75

67. Сообщение от Axonic (ok), 22-Июн-26, 13:28    Скрыто ботом-модератором	+/–
А зачем ему смотреть? Главное ведь написать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

68. Сообщение от tkzv (ok), 22-Июн-26, 14:31	+/–
> Следов использования уязвимости для атаки на код, подстановки вредоносных > зависимостей или получения доступа к учётным записям не выявлено Неуловимые Джо?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74

69. Сообщение от Аноним (69), 22-Июн-26, 15:36	+/–
> GitHub и Gitlab не про работу с кодом, а про то, чтобы тебя взяли на работу. При чём тут конкретно github и gitlab? Чтобы взяли на работу можно показать портфолио на любом хостинге, хоть архивами на яндекс.диске. А форжи именно про работу с кодом. > Настоящее удобство работы с кодом было у Sourcehut, где веб-формочки были лишь мордой к мейллисту и скана паспорта для работы не требовали. Ну во-первых, что значит был? Они никуда не делся. Во-вторых, скана паспорта и так не требуют нигде. В-третьих, написать в одном предложении мейллист и удобство - расписаться в том что ты настоящую разработку последний раз видел когда у внука на открытом уроке информатике был.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

70. Сообщение от Аноним (75), 22-Июн-26, 15:58	+/–
Мало ли чего онжежфинн утверждает. Но почему-то пользуется GLibc, а не заменами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

73. Сообщение от Аноним (75), 22-Июн-26, 16:01	+/–
А ты вообще читать умеешь? Тот чел ясно написал, что говорит о GNU/Linux, а не о System-rs/linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

74. Сообщение от Аноним (75), 22-Июн-26, 16:03	+/–
Так они и не прятались. Не кричали, что их хостинг самый безопасный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

75. Сообщение от Аноним (75), 22-Июн-26, 16:18	+/–
А GNU/Linux, даже без GUI, уже есть ОС. Да, ОС только с CLI - это тоже ОС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема