|
2.32, Аноним (32), 14:38, 14/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну если код коммуниздили, а это наверняка так, то естесственно.
| |
|
3.57, lufog (ok), 19:22, 14/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Исходные тексты eBPF для Windows открыты под лицензией MIT. Если бы хоть намек был что код коммуниздили уже бы такая вонь поднялась.
| |
|
|
|
2.4, нах.. (?), 13:08, 14/05/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
ну вон в isotp нет джит, а перфорация первосортная, никакого CAP_SYS_ADMIN (помните, я намекал дурачкам, почему это - дурная и никуда негодная "безопастность" в отличие от правильными руками написанной просто suid root программы?) не надо чтоб стать рутом.
Оно, понятно, нафиг ненужно и можно было в нормальных ядрах просто не включать - но где вы видели дистрибутивы с нормальными ядрами, не считая васянских локалхостовых? Если ручка есть, за нее непременно ж надо дернуть!
| |
|
|
4.18, нах.. (?), 14:02, 14/05/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
да ладно? Это ж детали совершенно ненужного can-bus, я немного охренею если у меня в сервере такой заведется. (а дальше включит передачку и уедет на автопилоте, что-ли? Сервер!)
Хотя, конечно, где умные холодильники, там и серверы с автомобильным шасси в комплекте будут :-(
| |
|
|
2.11, Аноним (11), 13:47, 14/05/2021 [^] [^^] [^^^] [ответить]
| –13 +/– |
Кто бы мог подумать: язык C из 70-х годов прошлого века и вдруг перфорация!
| |
|
3.16, Аноним (16), 14:00, 14/05/2021 [^] [^^] [^^^] [ответить]
| +8 +/– |
Твой святой Раст тоже не защищает от уязвимостей. От уязвимости могут защитить только прямые руки.
| |
|
4.22, нах.. (?), 14:04, 14/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну ты гонишь! Прекрасно защищает от уязвимостей - НИ ОДНОЙ уязвимости в растокоде ведра еще не обнаружено!
Нет кода - нет и уязвимостей. От уязвимостей в CoC.md никому особого вреда и нет.
| |
|
3.19, Урри (ok), 14:03, 14/05/2021 [^] [^^] [^^^] [ответить]
| +10 +/– |
Подумать только, топор из железного века и вдруг ногу отрубил.
| |
|
|
5.83, Аноньимъ (ok), 09:33, 15/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
У большинства доступа к таким вещам нет. А у тех у кого есть 20кратная проверка всего от ануса до школьных друзей жены и прочная цепочка командования.
Лазером в 21 веке можно глаза себе и случайным свидетелям выжечь, это да.
Проблема топора не в том, что он опасный, а в том, что память микроэлектронику им не просто непрактично, а просто безумно.
Топором нужно рубить лес или людей. Но для этих целей в 21 веке есть спец сверхэффективные комбайны.
| |
|
|
|
|
1.6, Аноним (7), 13:19, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
Стоит уже начинать новости как "очередные уязвимости в подсистеме ebpf", лол.
| |
1.10, Аноним (11), 13:45, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
>Атакующий может воспользоваться данной ошибкой для чтения и записи данных вне границ выделенного буфера.
>размер выделенной области памяти может оказаться меньше фактического размера
Ну как там на Сишечке любимой, нормально писать? Сколько дыр/сек?
| |
|
2.12, Нонаним (?), 13:50, 14/05/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Напишите adobe flash на "не-сишечке", чтобы оно стало самым безопасным в мире.
| |
|
3.23, нах.. (?), 14:09, 14/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Пишуть! Но пока...
chore: Bump wgpu from 0.8.0 to 0.8.1
@dependabot
@Herschel
dependabot authored and Herschel committed 4 days ago
chore: Bump enum-map from 1.0.0 to 1.1.0
@dependabot
@Herschel
dependabot authored and Herschel committed 4 days ago
chore: Bump syn from 1.0.71 to 1.0.72
@dependabot
@Herschel
dependabot authored and Herschel committed 4 days ago
кипит, короч, работа. А видео как не проигрывал, так и не сможет видимо никогда. Не смотря на реализованный уже код, который всю основную работенку уже делает.
| |
|
|
5.109, нах.. (?), 16:45, 17/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Напиши на сишечке так чтобы видео проигрывалось
дык, адоба двадцать лет назад уже написала, проигрывалось. Довольно таки в крупных масштабах, например, Ютуб называлось, слышал?
Но оно не использовало usafe, поэтому было небебебезопастно! И вообще немодная устаревшая фигня - даже не могло стырить у тебя ключи ssh при попытке просто посмотреть исходник редактором.
Поэтому адобу его запритили-запритили использовать. Вот, жрем чодали. Так себе местная кухня.
| |
|
4.68, Аноним (68), 23:33, 14/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
а что не так-то?
вкалывают роботы) версии пакетов подымают автоматом… сишечке такое и не снилось - там либо всё написать самому, либо помучаться и подключить внешнюю библиотечку, тоже на си, но вот без авто-обновлений
| |
|
5.108, нах.. (?), 16:42, 17/05/2021 [^] [^^] [^^^] [ответить] | +/– | Herschel - ни разу не робот Ну или продвинутый какой-то очень - разговаривать,... большой текст свёрнут, показать | |
|
|
|
2.15, bi brother (?), 13:59, 14/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Помнится, при аналогичной дыре в мазилле без си, здешние фанбои пели и танцевали что это никакая не дыра)) Может и здесь не дыра, а?)
| |
|
|
2.14, Аноним (14), 13:56, 14/05/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
Я приложил раст к своей дыре, и теперь она печёт. Что делать?
| |
|
3.17, Аноним (16), 14:01, 14/05/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Теперь самое главное доказать всем окружающим что у вас на самом деле ничего не печёт/течёт а у них у самих печёт/течёт.
| |
|
2.66, Kuromi (ok), 22:34, 14/05/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
В свое время раны нанесенные РЖАВЫМ оружием были самыми страшными т.к. практически гарантировали заражение. Так что...
| |
|
1.25, Аноним (25), 14:12, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Почему если Си такой простой, быстрый и удобный как швейцарские часы, в нем опять оказалось переполнение буфера?
Такое впечатление что код для ядра пишут необразованные растомакаки не умеющие убирать за собой выделенную память, которые не способны отследить выход за границы переменных и буфера. Кто их вообще допустил до написания кода ядра?
| |
|
2.26, Аноним (16), 14:17, 14/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если Раст такой сложный и якобы безопасный почему на нем еще не написали ядро?
| |
|
|
4.58, Анто Нимно (?), 19:27, 14/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Потому что язык проца - ассемблер. А Сишечка всего лишь syntax sugar for the language. И как-то тогда stupid to write using другой язык.
| |
|
5.60, пох.. (?), 21:24, 14/05/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Потому что язык проца - ассемблер. А Сишечка всего лишь syntax sugar for the language.
проблема только в том, что она sugar для language процессора pdp11/70
за sizeof(char) вместо byte, в которых она всё меряет, хочется убивать, убивать, убивать.
То есть вот отдельно за char, который давно уже что угодно, только не символ, потому что символы в него давным-давно не помещаются, и еще разок за sizeof и порождения сотоны которые приходится использовать когда надо таки адресовать куски памяти, помещающиеся в регистр.
Причем БЫЛ byte, и был выкинут потому что "кто бы мог подумать, что юникс проживет так долго".
| |
|
6.100, anon2 (?), 20:11, 15/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
С божественен.
В языке минимальная адресуемая ячейка памяти - char, соответственно и размеры объектов в char’ах.
Зачем вам размеры в байтах, если из языка можно адресовать не менее char’а?
char - по определению может хранить любой символ из basic character set, только и всего. Для хранения, скажем любого unicode символа, не подходит - используйте тип нужного размера.
| |
|
|
8.111, нах.. (?), 16:51, 17/05/2021 [^] [^^] [^^^] [ответить] | +/– | uint32 чем, к примеру, не подходит Ну или реализацие-специфичный wchar_t Кроме ... текст свёрнут, показать | |
|
|
|
|
12.124, нах.. (?), 16:45, 19/05/2021 [^] [^^] [^^^] [ответить] | –1 +/– | У тебя утф головного мозга utf любого сорта НЕ ЯВЛЯЕТСЯ единственно верным и ед... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
3.34, Аноним (34), 14:43, 14/05/2021 [^] [^^] [^^^] [ответить] | +1 +/– | Потому что ядро написать памятебезопасно - не языком ворочать, и не пальцами по ... большой текст свёрнут, показать | |
|
2.30, Аноним (34), 14:34, 14/05/2021 [^] [^^] [^^^] [ответить]
| –11 +/– |
Потому что Си - это диагноз. Адекватные сишники давно уже переехали на C++. Вот у них всё в порядке, и UB компилятором детектируется и еррорится, и умные указатели где надо используются, и в коде архитектура есть, а не говнокод, как ортодоксальные сишники любят.
| |
|
3.38, B (?), 14:54, 14/05/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> UB компилятором детектируется и еррорится,
Давно откинулся?
| |
|
4.55, Michael Shigorin (ok), 18:31, 14/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не силён в наркоманском сленге, но это скорее по той части случай.
А то бы этот крендель уже, несомненно, показал всем своё плюсовое ядро без единой помарки и дырочки, ага.
| |
|
5.94, InuYasha (??), 15:09, 15/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, хорошая идея для проведения исследования: найти самый крупный проект, в котором никогда не было ни одной ошибки. Ну или минимум ошибок. Это реальнее :)
| |
|
6.113, нах.. (?), 01:15, 18/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Кстати, хорошая идея для проведения исследования: найти самый крупный проект, в котором
> никогда не было ни одной ошибки. Ну или минимум ошибок. Это
> реальнее :)
сейчас тебе опять TeXовый мусор притащат. Даром что тот, "настоящий" - нигде не работает, а сам по себе еще и в современных условиях феерически бесполезен.
| |
|
|
|
3.47, Аноним (7), 15:48, 14/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чисто статистически, 100% утечек памяти случается на плюсах, а не на си. Если они так хороши, то чё ж текут так?
| |
|
4.52, Аноним (51), 17:21, 14/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Потому что тебе никто не запрещает вместо умных указателей использовать тупые?
| |
|
5.62, Аноним (62), 21:59, 14/05/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
А я, кстати, давно мечтаю о С++ без обратной совместимости с C. Чтобы за попытки использовать сишные строки или прикапывание указателей куда-нибудь компилятор бил по рукам.
| |
|
6.89, Аноним (89), 11:10, 15/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Мы внимательно смотрим на обработку argv и использование внешних библиотек без «прикалывания указателей».
| |
|
7.95, InuYasha (??), 15:12, 15/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
А я всегда говорил - надо переписывать linux на ActiveX с полным самоописанием типов данных %)
| |
|
|
|
|
|
2.53, Michael Shigorin (ok), 18:30, 14/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Почему если Си такой простой, быстрый и удобный как швейцарские часы,
> в нем опять оказалось переполнение буфера?
Вы хоть заметили, что перепутали инструмент с объектом?
> Кто их вообще допустил до написания кода ядра?
Вас точно стоит допускать до написания комментариев?
| |
2.79, Аноним (-), 07:40, 15/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Даже в безопасной Джаве, где нет указателей, есть NPE. То же самое, приводящее к исключению, есть в "супербезопасном" Хаскеле - fromJust. Короче, теоретически нельзя создать синтаксис+семантику (то есть язык), который бы защитил тебя от тебя. Для этого используются верификаторы, пруверы, чекеры и тесты конечно, а это совсем другая песня
| |
|
1.31, Аноним (31), 14:35, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ваще нормально публиковать уязвимости до исправления их в ядре и заявлять про какие-то убогие заплатки для конкретных дистров. Всем пофиг что там в мухоморном дистре запилено. Пусть сами жрут мухоморы.
| |
1.35, Аноним (35), 14:47, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Пришли иксперты и наверное не зная что это для разгончика начинают какую то ерунду молоть , ну так используйте соответствующее ядро
| |
1.45, Анон Анонов (?), 15:28, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ошибки на самом деле детские. Такие легко допустить, когда в голове держишь всю систему. Тогда можно и про проверки INT32 забыть, и про размер памяти. Скорее всего проверка на OOM есть, про то, что размер может быть меньше тупо забыли.
Тут, я думаю, никакой раст не поможет. Только внимательность и тесты.
| |
1.59, Аноним (59), 21:23, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Я наверное параноик, но мне кажется, что всё это чудо пилят бывшие коллеги Сноудена - не могут люди, которые пилят ядро быть на столько некомпетентными и криворукими, чтобы так косячить...
| |
|
|
3.63, Аноним (59), 22:15, 14/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Читай внимательней - там о том, что эти косяки не от криворукости, а злой умысел.
P.S. Твой высер очень важен для нас - пиши ИСЧО!
| |
|
|
1.64, ИмяХ (?), 22:31, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Опенсорс это безопасно, говорили они, миллионы глаз не пропустят ошибку. А по факту оперсорс это просто рай для вирусописателей - даже никакого реверс-инжиниринга проводить не надо, просто читай ченджлоги и юзай вот-вот исправленные уязвимости. Ведь хомячки думают что опенсорс это ещё и свобода - хочешь обновляйся, хочешь - нет и большинство выбирают вариант не обновлять, а то вдруг опять что-то поломается.
| |
|
2.72, Аноним (72), 01:38, 15/05/2021 [^] [^^] [^^^] [ответить]
| –6 +/– |
Всё так, всё так.
Впрочем, Линус привлекает в основном маргиналов, а миру пофигу на Linux.
В Android'е жутко запатченный форк ядра есть, но Google и это выбросить хочет.
// b.
| |
|
3.73, Аноним (7), 02:26, 15/05/2021 [^] [^^] [^^^] [ответить]
| –4 +/– |
Да вот не надо, в исходниках дырку найти не проще чем в бинарях (а то и сложнее). Насчёт остального, линукс слишком попсовый уже лет 20 как, когда-то это было интересно маргиналам. Сегодня у каждого ребёнка стоит кали, большинству же просто без разницы в чём браузер пускать.
| |
|
2.102, макпыф (ok), 17:04, 16/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> миллионы глаз не пропустят ошибку
Если бы пропустили то данной новости бы не было и о уязвимости некто не узнал бы
| |
|
3.105, ИмяХ (?), 20:57, 16/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Прочитай новость внимательно. Уязвимость обнаружила группа проффесиональных хакеров, а не сообщество хомячков.
| |
|
4.106, макпыф (ok), 22:42, 16/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
причем тут это, я ничего про новичков не говорил. Исходя из вашего сообщения - все уязвимости просмотрели, не увидели и милионы глаз не помогли. Но их то нашли и исправили )
а кто, когда и где - про это я ни чего писал.
| |
|
|
|
1.65, Kuromi (ok), 22:32, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Шо, опять? Ведь говорили же что так и будет когда они тащили это в ядро...
Хорошо, конечно, что хоть патчат.
| |
|
2.91, onanim (?), 14:24, 15/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
bash-4.2# grep BPF_JIT /boot/config-'uname -r'
CONFIG_BPF_JIT_ALWAYS_ON=y
CONFIG_BPF_JIT=y
CONFIG_HAVE_EBPF_JIT=y
пересобрать ядро с CONFIG_BPF_JIT_ALWAYS_ON=y, прописать net.core.bpf_jit_enable=0 в sysctl.conf
| |
|
3.92, onanim (?), 14:25, 15/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
> пересобрать ядро с CONFIG_BPF_JIT_ALWAYS_ON=y,
ой, CONFIG_BPF_JIT_ALWAYS_ON=n, конечно же.
| |
3.101, Аноним (7), 21:54, 15/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Это bpf jit, у нас тут ebpf_jit
>CONFIG_BPF=y
># CONFIG_BPF_SYSCALL is not set
>CONFIG_ARCH_WANT_DEFAULT_BPF_JIT=y
># CONFIG_NETFILTER_XT_MATCH_BPF is not set
># CONFIG_BPFILTER is not set
># CONFIG_BPF_JIT is not set
>CONFIG_HAVE_EBPF_JIT=y | |
|
|
|
|
3.114, Брат Анон (ok), 09:35, 18/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Я знаю Ubuntu 20.04 LTS. Kernel 5.4-73... УПСЬ!!! А оно описанным уязвимостям не подвержено по определению. Там нет JIT в ядре))
Мораль сей басни такова: прежде чем всякое такое себе ставить -- подумай головой.
| |
|
|
1.76, псевдонимус (?), 05:00, 15/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кто бы мог подумать, что в виртуалке с жит будут уязвимости?! Это просто случайность, правильно бывшая опенсоляра хочет это внедрить!;-)
| |
|
2.115, Брат Анон (ok), 09:37, 18/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ошибка выжившего. В Линуксе уже этого нет и мы об этом знаем. Есть ли такое у МС (и тем более исправлено ли оно) -- мы этого никогда не узнаем. Или узнаем, но может оказаться слишком поздно.
| |
|
|
2.116, Брат Анон (ok), 09:39, 18/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А как насчет проверить весь код этих писателей?
Если готов отвалить 10 лярдов дохлыв енотов на модульное и интеграционное тестирование -- то я за. А если ты не готов отвалить 10 лярдов дохлых енотов -- зачем задавать такие вопросы?
| |
|
|