1.6, Michael Shigorin (ok), 12:45, 27/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –61 +/– |
В альте и suid-ных PIE-бинарей нет, и аргументов столько привилегированной программе напихать не получится.
PS: s/у нас //
| |
|
2.37, pi (??), 16:18, 27/09/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
Нет PIE -бинарей? Пойду удалю дебиан и установлю Альт!
| |
|
3.61, _ (??), 18:34, 27/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
У меня в Jessie тоже нет ... я что то сломал, да?!
| |
|
4.74, Аноним (-), 20:08, 27/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> У меня в Jessie тоже нет ... я что то сломал, да?!
В Stretch зато есть. И это затрудняет эксплуатацию огромного числа дыр, так что гордиться их отсутствием глупо.
| |
|
5.92, Аноним (-), 02:19, 28/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В Stretch зато есть. И это затрудняет эксплуатацию огромного числа дыр, так
> что гордиться их отсутствием глупо.
Шигорину можно, он в безопасности такой же эксперт как и во всем остальном.
| |
|
6.130, Anonymoustus (ok), 21:31, 29/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> В Stretch зато есть. И это затрудняет эксплуатацию огромного числа дыр, так
>> что гордиться их отсутствием глупо.
> Шигорину можно, он в безопасности такой же эксперт как и во всем
> остальном.
Золотые слова. Высечь в камне.
| |
|
|
|
|
|
3.122, pavlinux (ok), 02:12, 29/09/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
В новости пример безопасности, реальный, а не теоретический. :)
Но всё равно будем верить Гентушникам из Бельгии и космонафту из Африки,
потому, что написано не на русском. :)
| |
|
4.126, Аноним (-), 07:25, 29/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Ну и Ну отключите Вы PIE у себя, а уязвимость при налезании стека на кучу у вас... большой текст свёрнут, показать | |
|
3.123, pavlinux (ok), 02:19, 29/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> (запись в readonly приведёт к завершению программы
Ага, во время банковской транзакции на пару мильярдов....
- Ой, не получилось сейчас перезапустим... Запустили!
Да только курс за это время уже вырос на 0.00001$ (на мильярд умножить?)
Дысь, годовую зарплату прое...
| |
|
4.125, Аноним (-), 07:16, 29/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
То есть не получилось э то лучше, чем получилось, но число изменилось по непонятной причине на несколько нулей? К тому же, если правильно продумать архитектуру, то падение никто не заметит (разделение ПО по процессам с автоматическим перезапуском и восстановлением после ошибки). Почитайте, как сейчас github работает. У них периодически ядро в панику уходит. Но никто этого не замечает, а они пишут, что даже так выгоднее, чем раньше было.
Знаете показатель качества кода? Это не код без ошибок, а код, где ошибок на 100 строк очень мало. Под ошибками понимается даже банальное игнорирование проверки переполнения при сложении двух чисел, которую не делает вообще почти никто из-за сильного разрастания кода (или незнания).
| |
|
5.127, Аноним (-), 07:33, 29/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> по непонятной причине на несколько нулей? К тому же, если правильно
> продумать архитектуру, то падение никто не заметит (разделение ПО по процессам
> с автоматическим перезапуском и восстановлением после ошибки). Почитайте, как сейчас github
> работает. У них периодически ядро в панику уходит. Но никто этого
> не замечает, а они пишут, что даже так выгоднее, чем раньше
> было.
> Знаете показатель качества кода? Это не код без ошибок, а код, где
> ошибок на 100 строк очень мало. Под ошибками понимается даже банальное
> игнорирование проверки переполнения при сложении двух чисел, которую не делает вообще
> почти никто из-за сильного разрастания кода (или незнания).
Опечатался, поправлю себя, - на 1000 строк кода.
| |
|
6.136, pavlinux (ok), 02:20, 30/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> То есть не получилось э то лучше, чем получилось, но число изменилось
> по непонятной причине на несколько нулей?
О, я тоже так умею: да, лучше бомба взорвётся через плюс 1000000 сек,
нежели сразу после запуска таймера; да, лучше кардиостимулятор выдаст
пульс +20 от нормы, чем вообще вырубиться... и ещё мильон примеров,
когда нарушение логики, может повысить вероятность, но не приведёт
к летальным результатам.
| |
|
7.143, Аноним (-), 10:43, 30/09/2017 [^] [^^] [^^^] [ответить] | +/– | Я Вам реальный пример привёл, а Вы непонятно что Вопрос в убытках которые понес... большой текст свёрнут, показать | |
|
|
5.135, pavlinux (ok), 02:02, 30/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Под ошибками понимается даже банальное игнорирование проверки переполнения при сложении двух чисел
long long int a;
int b, c;
bool u, v, w;
...
a = b + c;
w = u + v;
Фсё, пцц, ошибки :)
| |
|
6.144, Аноним (-), 10:52, 30/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Под ошибками понимается даже банальное игнорирование проверки переполнения при сложении двух чисел
> long long int a;
> int b, c;
> bool u, v, w;
> ...
> a = b + c;
> w = u + v;
> Фсё, пцц, ошибки :)
Да, хорошие примеры ошибок.
sizeof(long long int) >= sizeof(long) >= sizeof(int). Ключевой момент в равно. В реальной жизни такое только на контроллерах будет, но всё же. Надо использовать int32_fast_t, int64_fast_t, это да.
В случае с bool пример ошибки непонятный. В переменной w будет 2, а ошибка будет зависеть от того, как эту булеву переменную используют. Непонятно, что подразумевалось в примере.
| |
|
7.148, Аноним (-), 20:06, 30/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Опять меня попутало, поправлю себя, int_fast32_t, int_fast64_t. Постоянно начинаю неправильно эти типы писать.
| |
|
6.146, Аноним (-), 18:03, 30/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Фсё, пцц, ошибки :)
А ты думаешь, чего в C99 типы сделали с явной битностью? :)
| |
|
7.149, Аноним (-), 20:09, 30/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Фсё, пцц, ошибки :)
> А ты думаешь, чего в C99 типы сделали с явной битностью? :)
Я больше даже скажу, в языке Go сделали на них упор, т. к. это слишком частая ошибка у С-программистов. Незначительно пожертвовали производительностью, но намного уменьшили потенциальное количество ошибок.
| |
|
|
5.137, pavlinux (ok), 02:22, 30/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Почитайте, как сейчас github работает. У них периодически ядро в панику уходит.
> Но никто этого не замечает, а они пишут, что даже так выгоднее, чем раньше было.
На кардиостимуляторы, спутники, ракеты тоже 1024-нодовые кластеры собирать?
| |
|
6.145, Аноним (-), 10:57, 30/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Почитайте, как сейчас github работает. У них периодически ядро в панику уходит.
>> Но никто этого не замечает, а они пишут, что даже так выгоднее, чем раньше было.
> На кардиостимуляторы, спутники, ракеты тоже 1024-нодовые кластеры собирать?
Что лучше, если каржиостимулятор начтёт работать в 10 раз быстрее, от чего у человека будет инсульт, либо если он периодически будет останавливаться на секунду, перезапускаться и снова работать? Второй вариант человек может даже не заметит, а если заметит, обратиться к врачу и там смогут разобраться в проблеме.
| |
6.147, Аноним (-), 18:10, 30/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> На кардиостимуляторы, спутники, ракеты тоже 1024-нодовые кластеры собирать?
Маск на своих ракетах ставит несколько компьютеров как раз. С линухом и из обычных (не rad-hard) компонентов. А в кардиостимуляторе тебе Linux вообще зачем? Жить не можешь без доступа по сети и хранения самого ценного ближе к сердцу? А что, идея, вебморда к кардиостимулятору. Вывесишь опеннетчикам?
| |
|
|
|
|
2.71, Аноним (-), 20:01, 27/09/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Миша, зачем коммент про неосиляторство PIE потёр? Сходил бы лучше почитал, что это такое и для чего нужно.
Интересно, у вас там и SSP нет?
| |
|
3.93, Аноним (-), 02:27, 28/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Миша, зачем коммент про неосиляторство PIE потёр? Сходил бы лучше почитал, что
> это такое и для чего нужно.
> Интересно, у вас там и SSP нет?
Ты еще спроси урезают ли они права сервисам SECCOMPом и знают ли они что такое CAPABILITIES. Или совсем уж крамола - потребуй пуск сервиса в отдельном namespace, как в попсовой убунте.
| |
|
|
|
4.108, _ (??), 16:11, 28/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
:-D
Сейчас начнутся площадные и массовые возгорания диванов, чтож ты змей делаешь! :-)))
| |
|
|
2.102, Аноним (-), 09:40, 28/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> В альте <...> нет, <...> не получится.
То есть фиксить ядро не будете?
| |
|
1.7, лютый жабист__ (?), 12:46, 27/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –11 +/– |
>В ядре Linux проблема была исправлена ещё в апреле 2015 года, без акцентирования на связь исправления с проблемами безопасности
Просто возмутительно. У меня много лет был аргумент за линух в виде "в отличие от винды, security-обновления выходят через день-два". А сейчас какие преимущества остались?!
| |
|
|
3.10, лютый жабист__ (?), 13:02, 27/09/2017 [^] [^^] [^^^] [ответить]
| –9 +/– |
>в линуксе нет неотключаемого Windows Telemetry
В виндовсе тоже нет НЕОТКЛЮЧАЕМОГО Windows Telemetry.
Вообще, я лично опять на БЗДы посмотрю, а не на винду.
| |
|
4.15, a1x (ok), 13:17, 27/09/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
Впервые недавно поставил десяточку. Всё поотключал со всех сторон всякими твиками, воткнул 3G - 60 метров скушалось в неизвестном направлении в первый раз, а потом понемногу всё равно капает. А под линью если ничего не запустил сетевого, передача на нуле.
| |
|
5.83, пох (?), 23:08, 27/09/2017 [^] [^^] [^^^] [ответить] | +1 +/– | прежде чем лезть в незнакомую систему со всякими твиками , неплохо бы прочитать... большой текст свёрнут, показать | |
|
6.121, Аноним (-), 20:46, 28/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Загуглил, что еще за смолт такой, на wiki написано, что smolt включать надо было, чтоб работал. Получается, ты балабол.
| |
6.131, Anonymoustus (ok), 21:40, 29/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> прежде чем лезть в незнакомую систему со "всякими твиками", неплохо бы прочитать
> по ней книжку какую-нибудь, можно даже "для чайников".
Полагаю, что книжек по шпионским свойствам W10 в открытом доступе нет априори. Причем некоторые анонимы интернетов говорят, что даже в ентерпрайзной LTSB какая-то телеметрия таки есть, судя по вялой произвольной сетевой активности непонятного назначения.
| |
|
|
4.16, пох (?), 13:19, 27/09/2017 [^] [^^] [^^^] [ответить]
| +8 +/– |
> В виндовсе тоже нет НЕОТКЛЮЧАЕМОГО Windows Telemetry.
э... поздравляю с разморозкой - с прошлогодней 1607 она таки неотключаема для всех, кроме корпоративных пользователей - можно лишь поумерить ей прыти.
Если вы мне расскажете, как частному лицу купить корпоративную лицензию не за все свои деньги и еще квартиру продать - я с удовольствием послушаю.
С другой стороны - обычно на "ужасную неотключаемую телеметрию" жалуются таскающие на себе два-три гуглошпиона (помимо мобилы еще непременно часы и еще какую-то 'умную' гадость), которые о тебе далеко не "basic" информацию знать хотят, причем помимо гугля о тебе все знает еще штук пять крупных и невесть сколько мелких корпораций. Да еще и твоих знакомых тщательно изучает, сперев телефонную книжку.
| |
|
5.18, 123 (??), 13:25, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Люди просто не очень понимают что любой установленный мессенджер (кроме совсем маргинальных) знает о них не менее чем Гугл, т.к. имеет доступ ко всей информации на телефоне. Вон Яндекс Карты даже на тайной записи голоса и отсылке на сервера подлавливали.
| |
|
6.27, пох (?), 14:22, 27/09/2017 [^] [^^] [^^^] [ответить] | +5 +/– | к яндекс-картам как и ко всем яндекс-хреням прилагается отдельный троян, это уж ... большой текст свёрнут, показать | |
|
7.32, Аноним (-), 15:27, 27/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Всё правильно, батенька. Поэтому выпилил gapps (а точнее - не подключал к сети новый телефон пока не залил прошивку без gapps), и юзаю XPrivacy даже для СПО, и не юзаю проприетарные мессенджеры и соцсетки. Последние и так узнают многое собирая инфу из вторичных источников, если захотят.
| |
|
8.38, пох (?), 16:21, 27/09/2017 [^] [^^] [^^^] [ответить] | +/– | вы, конечно,собственноручно верифицировали xprivacy А то она залезает в такие к... текст свёрнут, показать | |
8.45, Аноним (-), 17:30, 27/09/2017 [^] [^^] [^^^] [ответить] | +3 +/– | Если один маргинал выпал из слежки, то информация о нем достроится из инфы собра... текст свёрнут, показать | |
|
9.54, Аноним (-), 18:13, 27/09/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Поэтому расслабь отверстие и получай удовольствие, так И еще помоги на себя дос... текст свёрнут, показать | |
|
10.110, _ (??), 16:15, 28/09/2017 [^] [^^] [^^^] [ответить] | –2 +/– | В паспорте и правах у тебя тоже покемоны вклеены Знвют они твою морду лица, не ... текст свёрнут, показать | |
|
|
8.72, Аноним (-), 20:07, 27/09/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Верной дорогой идёте Так всё СПО станет зонданутым, но всем будет всё равно, ... текст свёрнут, показать | |
|
7.36, Аноним (-), 16:13, 27/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Но и обычный всосап отлично ворует телефонную книжку - и сливает ее...правильно, мордокниге,
Ну для этого там надо галочку нажать: «разрешаю украсть телефонную книжку».
| |
|
8.39, пох (?), 16:24, 27/09/2017 [^] [^^] [^^^] [ответить] | +/– | галочки появились только с шестого андроеда, перекрывают далеко не все возможные... текст свёрнут, показать | |
|
9.64, Аноним (-), 18:45, 27/09/2017 [^] [^^] [^^^] [ответить] | +/– | Более того, если устанавливать черти что и сбоку яндекс бар, можно даже в дескто... текст свёрнут, показать | |
|
10.77, пох (?), 21:13, 27/09/2017 [^] [^^] [^^^] [ответить] | –2 +/– | мазилу с гуглохреном уже отфильтровали Стабильный и надежный lynx вовеки skype... большой текст свёрнут, показать | |
|
11.90, Аноним (-), 00:53, 28/09/2017 [^] [^^] [^^^] [ответить] | +1 +/– | В приличных дистрах хромиум и лису патчат до того как в репы положить Скайпа от... большой текст свёрнут, показать | |
|
12.105, пох (?), 14:08, 28/09/2017 [^] [^^] [^^^] [ответить] | –2 +/– | главное - верить покажите хоть один патч приличного дистрибутива , не связа... большой текст свёрнут, показать | |
|
13.140, Аноним (-), 03:27, 30/09/2017 [^] [^^] [^^^] [ответить] | +/– | В дебиане apt-get source того же браузера - и изучай себе У них оно файрфоксом ... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
6.33, Аноним (-), 15:32, 27/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> телефоне
Кто пользуется смартфонами в 2017 году? А что ещё обо мне моя нокла знает?
| |
|
7.41, пох (?), 16:35, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Кто пользуется смартфонами в 2017 году? А что ещё обо мне моя
> нокла знает?
и как тебе с ноклы читается опеннет? (я со своей nokia вполне еще могу его почитать, она вообще-то в свое время считалась смартфоном, но это только до тех пор, пока работают прокси-сервера оперы-jme - давно, кстати, не проверял)
Нужный дом ищешь опрашивая местных жителей (теперь уже и неместных - они достают из кармана смарт и говорят тебе, ретроман, как пройти туда, куда сами доселе не знали) или носишь с собой автомобильный жпс 2007го года выпуска?
Или вообще - два шага от розетки, все, добро пожаловать в прошлый век?
| |
|
8.58, Аноним (-), 18:25, 27/09/2017 [^] [^^] [^^^] [ответить] | +/– | Он со всего чего угодно читается, верстка из 90х и кодировка кои8 Я OSMом польз... текст свёрнут, показать | |
|
|
|
|
Часть нити удалена модератором |
|
13.68, Аноним (-), 19:00, 27/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | июль 17, 180 км от москвы на англицком туристы-чайники были ни бельмеса, им объя... текст свёрнут, показать | |
|
|
|
|
9.79, пох (?), 21:31, 27/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | нокла уже отрастила себе браузер, в своих, сколько там - 32 килобайта оперативы ... большой текст свёрнут, показать | |
|
10.91, Аноним (-), 02:14, 28/09/2017 [^] [^^] [^^^] [ответить] | +/– | У моей ноклы 256 метров, гиг свопа и движок на основе геки Можно заказ на али о... большой текст свёрнут, показать | |
|
11.107, пох (?), 14:43, 28/09/2017 [^] [^^] [^^^] [ответить] | –2 +/– | тогда она, безусловно, за тобой следит спасибо, но нет, за эти деньги я приличн... большой текст свёрнут, показать | |
|
|
|
8.99, Аноним (-), 06:01, 28/09/2017 [^] [^^] [^^^] [ответить] | +/– | Давай начнём с того, что там нет интернета Я читаю со стационарника анально огр... текст свёрнут, показать | |
|
9.118, пох (?), 19:50, 28/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | сочувствую Моя паранойя пока не настолько мешает жить Все остальные, как видиш... текст свёрнут, показать | |
|
|
|
|
5.48, Аноним (-), 17:35, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> э... поздравляю с разморозкой - с прошлогодней 1607 она таки неотключаема для
> всех, кроме корпоративных пользователей - можно лишь поумерить ей прыти.
Вы ответили на свой вопрос? Корп береться там же где и все винды и стоит столько же. Поддержка 10 лет без гемроя. Если речь о "обычном домашнем пользователе".
| |
|
6.80, пох (?), 21:38, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Вы ответили на свой вопрос? Корп береться там же где и все
> винды и стоит столько же. Поддержка 10 лет без гемроя. Если
"где и все" у меня взялись вполне штатным образом, ms'овским апгрейдом с предустановленной 7 или 8. Ни разу, разумеется, не корпоративной. Стоило мне это ровно 0.
Где частное лицо может купить корпоративную десятку - для меня по прежнему загадка.
> речь о "обычном домашнем пользователе".
"это дубли у нас простые". В смысле, обычные.
Если тебя не устраивает телеметрия - ты уже явно необычный (например, ты знаешь что это такое, или думаешь что знаешь), и не относишься к тем 80% юзеров, которые и приносят ms основной доход.
| |
|
5.70, Drist (ok), 19:53, 27/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Купить?! Они нас уничтожают, а вы им средства кровные свои?! Не берите пример с власть имущих, у вас своя голова на плечах есть.
| |
|
6.81, пох (?), 21:39, 27/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Купить?! Они нас уничтожают, а вы им средства кровные свои?!
я бы еще и доплатил. Но хреново они вас уничтожают, к сожалению.
| |
|
7.104, Аноним (-), 12:30, 28/09/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> я бы еще и доплатил. Но хреново они вас уничтожают, к сожалению.
Ты все правильно понимаешь, скоро ты ощутишь себя рабовладельцем после войны севера и юга.
| |
|
|
|
4.17, Анонимный Бздун (?), 13:25, 27/09/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Вообще, я лично опять на БЗДы посмотрю, а не на винду.
А может не надо? Ничего кроме OpenJDK у нас нет, да и вообще, свой штатный жабист уже имеется!
| |
4.26, YetAnotherOnanym (ok), 14:01, 27/09/2017 [^] [^^] [^^^] [ответить]
| +11 +/– |
> В виндовсе тоже нет НЕОТКЛЮЧАЕМОГО Windows Telemetry.
Наличие в экране настроек надписи "ON", которая по клику мыши заменяется на надпись "OFF" не означает, что при этом что-то реально отключается.
| |
4.52, _ (??), 18:09, 27/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>Вообще, я лично опять на БЗДы посмотрю, а не на винду.
Ну посмотришь ... и чо? Всё равно ведь на винде останешься :) Потому что больше ничего и не умеешь. И программы у вас, хоть и написаны на Яве, но работают только под виндой :)))
| |
|
5.82, пох (?), 22:15, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Потому что больше ничего и не умеешь. И программы у вас,
> хоть и написаны на Яве, но работают только под виндой :)))
циске поганой это расскажи. С ее псевдоредхатом, последние восемь лет.
под виндой, кстати, работало лучше. (или раньше и трава была зеленее?)
| |
|
6.95, Аноним (-), 02:35, 28/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
Цыска немного взялась за ум. Надо им кодек для трепа в вебе и вообще - они его и пишут. Вместе с остальными. А вы там можете рвать глотки другим, потом только добить размочаленных выживших - и дело в шляпе.
| |
|
|
|
3.89, Аноним (-), 00:38, 28/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
С разморозкой. Открой уже для себя анализаторы сетевого трафика.
| |
|
2.9, rm12 (?), 12:57, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Michael Davidson <md@google.com>
Совершенно очевидно что виноват гугл, налицо наплевательское отношение к вопросам безопасности. Мог бы написать внятнее в патче, что его нужно бэкпортировать.
| |
2.12, 123 (??), 13:07, 27/09/2017 [^] [^^] [^^^] [ответить]
| –6 +/– |
Да, ну. "Никогда такого не было и вот опять."
Dirty COW (CVE-2016-5195)
Уязвимость была обнаружена в самом ядре Linux и, что немаловажно, присутствует в составе любых дистрибутивов почти десять лет => 2.6.22.
Ну и когда говорят о "Винде", то подразумевают всю ОС. Когда говорят о "Линукс" - то ядро.
Я просто напомню, что "В X.Org Server выявлена удалённая уязвимость, присутствующая с 1993 года".
http://www.opennet.dev/opennews/art.shtml?num=38124
| |
|
3.19, лютый жабист__ (?), 13:25, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Уязвимость была обнаружена в самом ядре Linux и присутствует в составе любых дистрибутивов почти десять лет
Ну, важнее не сколько присутствует, а за сколько починили. Раньше с этим было намного лучше :(
>В X.Org Server выявлена удалённая уязвимость, присутствующая с 1993 года
Справедливости ради, оно в сеть не торчит у 99.9%
| |
|
4.40, пох (?), 16:29, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ну, важнее не сколько присутствует, а за сколько починили. Раньше с этим было намного
> лучше :(
ваше раньше кончилось с ядром 2.2 (то есть именно после 2.2.31 или какое оно там, прозвучало знаменитое "в вашем дистрибутиве". А потом и вовсе убили "стабильную" ветку в ее первоначальном смысле)
> Справедливости ради, оно в сеть не торчит у 99.9%
а причем тут сеть? Локальный юзер (или кто-то от его имени) может стать рутом точно так же.
А так-то PIE программы своими шелл-параметрами тоже в сеть, обычно, не торчат.
| |
|
3.23, Michael Shigorin (ok), 13:47, 27/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Ну и когда говорят о "Винде", то подразумевают всю ОС.
> Когда говорят о "Линукс" - то ядро.
Посмотрите, дети, на разморозившегося разносчика Microsoft FUD образца примерно десятилетней давности. Только у тех тогда было в моде сравнивать кол-вол уязвимостей в голой винде с полновесными линуксовыми дистрибутивами.
С тех пор там именно так вроде уже перестали делать, зато пошли мегапаки и тихие фиксы для "улучшения" статистики.
| |
|
4.28, 123 (??), 14:26, 27/09/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Но ведь теперь всё делают с точностью до наоборот Когда говорят о дырах винды ... большой текст свёрнут, показать | |
|
5.35, Michael Shigorin (ok), 15:48, 27/09/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Но ведь теперь всё делают с точностью до наоборот.
А я о чём?
> Когда говорят о дырах "gnu/linux" то рассматривают всю ОС.
> Когда об дырах винды - "офис это не ОС" и "ОС это не офис".
Ну.
> Linux конечно же имеет уязвимости (один баг с copy-on-write не так давно
> описанный на хабре чего стоит), даже при его открытости мы всё равно не можем
> судить о их реальном кол-ве.
Вы-то уж точно.
> Но говоря о винде не стоит забывать о том что уже не однократно находились дыры
> которым год, два, пять, десять.
...и пара десятков лет там тоже не предел (как минимум для спулера печати).
В общем, неубедительный у Вас текст получился, если берём его за другой конец и возвращаем.
| |
|
|
3.30, пох (?), 14:29, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Да, ну. "Никогда такого не было и вот опять."
ну, все же не корова - в апстриме поправлено давным-давно, кто ж виноват, что майнтейнеры редхата пропустили этот комит (а, ну да, конечно же не те люди, которые сделали необходимой эту ненужную хренотень, в виде необходимости отслеживания посторонними людьми каждого письма в lkml, и не человек-с-пальцем, гордо заявивший "стабильное ядро - в вашем дистрибутиве!"), а все остальные являются бестолковыми копипастерами.
"Корова" была занимательна именно тем, что уютно жила в апстриме все эти годы.
К тому же pie нынче давно не модно - я вот сомневаюсь, что у меня найдется хоть один pie-бинарник, который еще и можно использовать для повышения привиллегий, так что уровень угрозы - "средний"(c)редхат.
| |
|
4.75, Аноним (-), 20:27, 27/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> К тому же pie нынче давно не модно
Поставь свежий дебиан/убунту/арч и удивись. До редхата дойдёт, как обычно, годика через два-три.
| |
|
5.84, пох (?), 23:18, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> К тому же pie нынче давно не модно
> Поставь свежий дебиан/убунту/арч и удивись.
чего ж это у любителей всего свежего ядро-то оказалось двухлетней "свежести"?
> До редхата дойдёт, как обычно, годика через два-три.
так там, глядишь, и новое ведро повесят, версии примерно 4.0
| |
|
6.96, Аноним (-), 02:43, 28/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> чего ж это у любителей всего свежего ядро-то оказалось двухлетней "свежести"?
Вообще-то там есть и свежие ядра. А если ты хотел стабильность... знаешь, я чудаков с XP вижу. Как ты думаешь, сколько у них vuln-ов на которые уже никогда не будет апдейт?
> так там, глядишь, и новое ведро повесят, версии примерно 4.0
У них ядро 4.0 будет наполовину 4.15 каким-нибудь, им не лень портировать. То что они прошляпили - shit happens. В разработке софта он всегда happens. Вон у махровых проприетариев под виндой через их сервис можно было нахаляву SYSTEM получить. Они тихо заделали, вообще ничего клиентуре не сказав.
| |
|
7.106, пох (?), 14:26, 28/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> чего ж это у любителей всего свежего ядро-то оказалось двухлетней "свежести"?
> Вообще-то там есть и свежие ядра. А если ты хотел стабильность... знаешь,
все же два года - это уже не стабильность, это по другому называется (у рх, заметим, ядро обновляется, даром что они не трогают abi)
> У них ядро 4.0 будет наполовину 4.15 каким-нибудь, им не лень портировать.
> То что они прошляпили - shit happens. В разработке софта он
нет, это by design, к сожалению. Такая нынче у нас разработка. И да, ресурсов человечества, угробливаемых на это бэкпортирование (и потом еще отдельно на попытки выковырять патчи из редхата или повторить с чистого листа в других дистрибутивах) несколько жаль.
А по другому никак - "стабильное ядро в вашем дистрибутиве"(c)Linus
| |
|
8.142, Аноним (-), 05:52, 30/09/2017 [^] [^^] [^^^] [ответить] | +/– | Оно у них обновляется, но очень уж своеобразно И на самом деле в таком виде это... большой текст свёрнут, показать | |
|
|
|
|
|
|
2.20, freehck (ok), 13:33, 27/09/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
>> В ядре Linux проблема была исправлена ещё в апреле 2015 года, без акцентирования на связь исправления с проблемами безопасности
> Просто возмутительно. У меня много лет был аргумент за линух в виде "в отличие от винды, security-обновления выходят через день-два". А сейчас какие преимущества остались?!
Ну во-первых, не через день-два. В некоторых дистрибутивах бывает, что в срок до двух недель.
А во-вторых, аргумент остаётся тот же, потому что "через день-два после *обнаружения* уязвимости"
| |
|
3.86, пох (?), 23:24, 27/09/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Так они и вышли больше двух лет назад, чем ты недоволен?
воооот где мы переплюнули microsoft! "исправления уязвимости выпущены за два года до ее обнаружения!"
| |
|
4.97, Аноним (-), 02:49, 28/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
> воооот где мы переплюнули microsoft! "исправления уязвимости выпущены за два года до
> ее обнаружения!"
Если кто-то пытается быть святее апстрима - иногда он за это обламывается.
| |
|
|
|
1.129, Anonymoustus (ok), 21:26, 29/09/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>> Поэтому в LTS-ядра и пакеты с ядром некоторых дистрибутивов данное исправление не было перенесено.
Прекрасно, просто прекрасно.
| |
|
2.139, pavlinux (ok), 02:27, 30/09/2017 [^] [^^] [^^^] [ответить]
| +/– |
>>> Поэтому в LTS-ядра и пакеты с ядром некоторых дистрибутивов данное исправление не было перенесено.
> Прекрасно, просто прекрасно.
В Бубунте, ядре 4.8 всё на месте.
| |
|
|