| 1.1, Аноним (1), 11:32, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +17 +/– |
Вирус должен быть безопасным. Чтобы уязвимость в вирусе не смогли использовать другие вирусы.
| | |
| |
| 2.5, Rust (??), 11:50, 08/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
вирусы должны быть злыми и вредными для оправдания зловредности
| | |
| |
| 3.28, Аноним (28), 13:03, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это относится к любым зловредам, а мы сейчас про безопастные зловреды.
| | |
|
| |
| 3.69, Аноним (28), 14:29, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Свободный вирус должен исполняться где угодно. Поэтому самый свобоный вирус на Posix Shell. Свободу вирусу!
| | |
| |
| 4.73, Аноним (73), 14:38, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нельзя ограничивать свободу распространения вируса! Вирусы тоже программы!
| | |
|
|
| 2.97, Жироватт (ok), 17:09, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 В вирусе обязательно должна быть защита от уязвимостей в оперативной памяти. А то, пфе, переполнит буфер есму и антивирус сможет его отловить и обезвредить.
| | |
|
| 1.2, Аноним (-), 11:43, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> был загружен 7257 раз
с апреля
> был загружен 153 раз
с ноября
Мда... прям заслуживает отдельной новости на опеньке)))
| | |
| |
| 2.3, Аноним (3), 11:47, 08/12/2025 [^] [^^] [^^^] [ответить]
| +7 +/– |
Да ваще, лучше молчать и скрывать такое, чтоб никто не подумал что в едином репозитарии языка для безопасной работы с памятью могут быть вирусы.
| | |
| |
| 3.12, Аноним (12), 12:14, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Лол, в едином репозитории дебиана был бекдор который скачали явно больше пары сотни неудачников.
Просто есть новости которые касаются большинства, а есть "ненужные".
Вот ты растом пользуешься? Я, например, нет.
| | |
| |
| |
| 5.57, Аноним (57), 14:01, 08/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Речь про это: https://opennet.ru/63677-stardict
Какой-то переводчик под иксами, переводящий выделяемый текст на ходу. Неугодил ошалелым тем, что сливал данные не на сервера майкрософта или гугла, а в китай на локалхост разработчика.
| | |
| 5.66, Аноним (-), 14:19, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Вижу что выше вспомнили про словарик от китайцев.
Но речь шла про другое:
Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
opennet.ru/opennews/art.shtml?num=16523
Вкратце, мейнтенер намеренно закоментировал "две строки кода, чтобы предотвратить предупреждение компилятора об использовании не инициализированной переменной".
Эти он понизил энтропию подаваемого на ГСЧ значения.
Для взлома SSL сертификата нужно перебрать всего 32 тыс. вариантов значений.
Бекдор в самом-самом официальном репозитории жил 18 месяцев.
| | |
| |
| 6.72, Аноним (25), 14:36, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Так дело не в самом словарике, под видом которого отправляются данные, а в принципе работы и том, что об этом китайцы умолчали.
| | |
| |
| 7.74, Аноним (-), 14:39, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Так дело не в самом словарике, под видом которого отправляются данные, а в принципе работы и том, что об этом китайцы умолчали.
А еще в том, что словарик не удалили из пакетов.
Наверное разрешения от компартии не получили))
| | |
|
|
|
| 4.76, Аноним (76), 14:56, 08/12/2025 [^] [^^] [^^^] [ответить] | +/– | Покажите мне современный дистрибут линукса в котором нет ржавчины Её уже засуну... большой текст свёрнут, показать | | |
| |
| 5.91, Аноним (91), 16:25, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
ls ~/.cargo/
ls: невозможно получить доступ к '~/.cargo/': Нет такого файла или каталога
cat /etc/redhat-release
Fedora release 43 (Forty Three)
> ЗЫ: В общем ржавчину с каргой надо отовсюду удалять. Она значительно увеличивает поверхность атаки.
Как и любая другая программа
| | |
|
|
| 3.13, Витюшка (?), 12:15, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
А не в едином вирусов быть не может? Ну, по принципу "Я не вижу (закрыл глаза) - значит этого нет", наверное.
Здесь хоть кто-то смотрит и как-то анализирует.
| | |
| 3.29, Аноним (-), 13:04, 08/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Да ваще, лучше молчать и скрывать такое
Где же это скрывают, если они прямо в официальном бложике написали
blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/
Тут вопрос в другом - зачем ЭТО на опеннете?
> языка для безопасной работы с памятью
Отлично, что ты отметил именно этот момент.
В языке написано что он защищает от вирусов? Что, нет?
Ну так значит там вполне могут быть вирусы"
| | |
| 3.82, Аноним (82), 15:11, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>в едином репозитарии
Пиши правильно, "репозиторий", а не репазитарий-паразитарий. Репозиторий и так объединяет всё. Поэтому использования слова "единый", ты должен избегать.
| | |
| |
| 4.93, Аноним (91), 16:36, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
а как правильно рЕп или рЭп?
Лично мне режет слух некоторые "правильные" ударения, о которых я узнал 3м классе от преподавателя русского языка, которая их (слова) тоже использовала с неправильным ударением, как все.., то что какойто маразматик так записал их в словарь - вообще не моя проблема, не проблема людей, это проблема маразматика, и тех кто ему слепо верит.
> ты должен избегать
> ты должен
> должен
А есть какието договора, подписи?
| | |
| 4.94, Аноним (94), 16:41, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Судя по этой новости и прочим новостям то можно писать суппозиторий.
Потому что всё равно получается через то самое место))
| | |
|
|
| 2.6, Аноним (6), 11:51, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
И про то что через эти дырки украдены миллионы долларов и добавлены сотни тысяч новых участников боинетов лучше помолчать.
| | |
| |
| 3.15, нах. (?), 12:20, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
да ну тебе фантазировать. ОТКУДА у пейсателей на нескучном (с лефтпадами) возьмутся какие-то миллионы долларов?
Ну нащщот ботнетов ты, наверное, не ошибся. Вот клаудшмрази-то понравится.
| | |
|
| |
| 3.60, Ананимус (?), 14:02, 08/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Она такая же, как и все остальные репозитории пакетов. К сожалению, других вариантов у нас особо нет -- страдать с несовместимыми версиями в десятке разных дистрибутивов всем надоело и назад это в бутылку уже не засунуть.
| | |
| |
| 4.83, Аноним (76), 15:15, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Она такая же, как и все остальные репозитории пакетов.
Нет не такая!
В любом репозитарии ты можешь посмотреть установлен у тебя паленый пакет или нет.
Подскажи, как проверить конкретный дистрибут на наличие этих паленых пакетов из топика в.т.ч в качестве зависимостей в других пакетах.
| | |
|
|
|
| 1.7, ПомидорИзДолины (?), 11:57, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Странно, что до сих пор никто ничего интересного в build.rs не положил. Там простор для творчества - огромный!
Потом ещё с proc макросами можно будет поэкспериментировать %~]
| | |
| |
| 2.55, нах. (?), 13:56, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
"да ну брось, и так неплохо получилось!" (анекдот про покойничка-преферансиста)
| | |
|
| |
| |
| |
| Часть нити удалена модератором |
| |
| 5.45, Аноним (-), 13:41, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
kernel не просто единственный.
Но и про-бекдоренный)
opennet.ru/opennews/art.shtml?num=61186
> Речь о репозиториях пакетов всяких дистров.
Вон в единственном православном репозитории дебиана был пакет отправляющий пользовательский ввод китайцам по нешифрованному http. Пакет кстати не удалили)
А еще была смешная история когда мейнтенер-дебиллиан полез корявками в шифрование и сломал его.
| | |
| 5.53, Аноним (-), 13:54, 08/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
opennet.ru/opennews/art.shtml?num=16523
Вкратце, мейнтенер закоментировал "две строки кода, чтобы предотвратить предупреждение компилятора об использовании не инициализированной переменной".
Эти он понизил энтропию подаваемого на ГСЧ значения.
Для взлома SSL сертификата нужно перебрать всего 32 тыс. вариантов значений.
Бекдор в самом-самом официальном репозитории жил 18 месяцев.
Согласись что растишкам до такого еще топать и топать.
| | |
|
|
|
|
| 1.21, Аноним (21), 12:37, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Может, Rust просто сливают? Расписываться в некомпетентности и брать обратно всё наболтанное - некрасиво, зато обходным путём - вполне...
| | |
| |
| 2.22, Фнон (-), 12:40, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
А как это сольет раст?
У больших игроков (гугля, мелкомягкие) есть свои крейты и свои репозитории.
Я бы предположил что это повод к закручиванию гаек - введут обязательную верификацию аккаунтов, привяжут к номеру т̶е̶л̶е̶ф̶о̶н̶а̶ паспорта.
| | |
| |
| 3.47, Аноним (47), 13:48, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
100% к этому и ведут. Скоро и в гитхабе и в остальных публичных репозиториях заставят проходить KYC с загрузкой скана айди и кручением головой. Интернет перестал быть тем, чем являлся лет 10 назад.
| | |
| |
| 4.56, Аноним (-), 13:56, 08/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Скоро и в гитхабе и в остальных публичных репозиториях заставят проходить KYC с загрузкой скана айди и кручением головой.
Правильно.
Почему в магазине или банке меня встречает человек, у которого проверили паспорт.
В кафе у него еще и анализы взяли)), а в интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан?
> Интернет перестал быть тем, чем являлся лет 10 назад.
Вот и славно.
А еще он перестал быть тем, чем являлся 20 лет назад)
| | |
| |
| 5.68, Аноним (43), 14:23, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему в магазине или банке меня встречает человек, у которого проверили паспорт.
В кафе у него еще и анализы взяли)), а в интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан?
Почему? Потому что в системе ценностей местных инфантилов это является истинной СВОБОДОЙ™ и и независимостью от проклятых корпов!
| | |
|
|
|
| 2.30, Аноним (24), 13:06, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это фича. Сначала делают "удобно", затем кричат безопасность в опасностЕ! В итоге по Интернет паспорту.
| | |
| |
| 3.36, Фнон (-), 13:14, 08/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Сначала делают "удобно", затем кричат безопасность в опасностЕ!
Ну так всегда.
Сначала делают как получилось, потом находят краевые случаи и подправляют.
Примером море, например та же синька за рулем.
Машины массово появились еще в начале 20 века, а в союзе наказание за запрет на вождение в нетрезвом виде ввели только в 50х.
> В итоге по Интернет паспорту.
Было бы неплохо.
Некоторые паспорта так вообще нужно банить сразу.
| | |
|
|
| 1.35, Rev (ok), 13:14, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 В случаях с JS/npm - это взлом кучи "разработчиков", и автоматическая заливка новых версий популярных пакетов со зловредом.
В данном случае - это просто заливка злоумышленником новых пакетов.
Разница огромна.
| | |
| |
| 2.48, Аноним (27), 13:51, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
В первом случае в кашу добавили ложку масла.
Во втором случае в тарелку с ложкой масла положили кашу.
Разница огромна.
| | |
|
| 1.37, Аноним (28), 13:16, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Создаётся ощущение, что растoманы, в плане податливости социальной инженерии, податливее JSников будут.
| | |
| 1.44, аноним2 (?), 13:38, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
и это везде тянут, в ядро, в питон, всюду, причём собрать rust в изолированной среде уже нельзя, оно для сборки интернет требует, из которого загружает всякую малварь
диалог с гопатым о сборке
"""
получается что с версии 1.81.0
https://github.com/rust-lang/rust/blob/1.81.0/src/tools/tidy/src/extdeps.rs#L1
собрать полноценный rust из официального архива релиза практически невозможно.
Да, по сути, ты правильно понял. 😅
Начиная с Rust 1.81, процесс сборки сильно ужесточили в части управления зависимостями:
x.py и bootstrap Cargo теперь почти всегда используют --frozen для root-сборки, чтобы гарантировать воспроизводимость.
Любые изменения в исходниках, патчи или локальные зависимости требуют, чтобы Cargo.lock точно соответствовал состоянию исходников, иначе сборка падает с ошибкой вроде:
the lock file ... needs to be updated but --frozen was passed to prevent this
При оффлайн-сборке это особенно болезненно, потому что обновить lock через cargo update без сети невозможно.
⚠️ Итог: собрать Rust из официального релиза без доступа к сети и без точного lock-файла, если есть локальные патчи, становится практически нереально.
Фактически, это означает, что для воспроизводимой оффлайн-сборки:
Нужно заранее подготовить все актуальные Cargo.lock для bootstrap, library и инструментов.
Либо патчить x.py, чтобы убрать --frozen при оффлайн root-сборке — но это официально не поддерживается.
"""
нормальные программы можно собрать из исходников изолированно с помощью gcc, даже go, go1.4 -> go1.17 и тд, но не rust, это особая ржавчина в СПО
| | |
| |
| 2.50, Аноним (27), 13:53, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Качай deb-src. Они там всё патчат так, чтобы поместить все зависимости для оффлайн сборки.
| | |
| 2.100, Аноним (100), 17:11, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Собирал rust-nightly во FreeBSD, никаких проблем не вижу. Все исходники тянутся штатно системой портов (а не сборкой раста), сборка успешно проходит, как обычно, в джейле без сети. Патчи никаладываются и никаких изменений в Cargo.lock не требуют.
| | |
|
| 1.46, Аноним (47), 13:44, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Нафига использовать низкоуровневый язык для работы с криптой? Пайтона за глаза хватит, говорю как профессиональный блокчейн-разработчик. Хотя, вон, в Солану зачем-то протянули Раст 💩🫃🤦♂️
| | |
| |
| |
| |
| 4.89, Аноним (73), 16:19, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
На модном языке ныне в блендере уже троянчики поставляют в бленд файлах.
| | |
|
|
|
| 1.62, Фонтимос (?), 14:03, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Разработчики языка Rust предупредили о выявлении в репозитории
Читается как роспись в собственном бессилии. Т.е. предупредили- молодцы, а дальше что? Проверять антивирусом, удалять вредоносы или что? А если эти пакеты стоят в зависимостях, что делать? Вредонос загрузили в апреле, с апреля могло собраться много чего и что теперь пересобирать все? А пользователям что делать, удалять все пакеты с апреля? Ни хрена не понятно.
| | |
| |
| 2.64, Аноним (-), 14:09, 08/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Читается как роспись в собственном бессилии.
Скорее как трамплин к следующим решениям.
> Т.е. предупредили- молодцы, а дальше что?
Думаю введут верификацию.
Скорее всего разделят на 2 части: вот это проверенные пакеты, а это от васянов.
Под этой новостью мы конечно увидим комменты "Свободу ущимляют!!! не могу от анона код постить!!".
| | |
|
| 1.71, Аноним (71), 14:35, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот кстати пример того, как анти-иичники делают мир хуже. Любой, кто пользуется ии сразу сказал бы: давайте на каждую публикацию натравливать ии-ревьюера, который бы искал малварь. Но ритарды начнут орать, заявлять о том, что они покидают коммьюнити, хлопать дверьми и так далее. Поэтому - жрите. И, желательно, подавитесь - что бы остались только нормальные люди, а не сумасшедшие активисты.
| | |
| |
| 2.77, Аноним (-), 14:58, 08/12/2025 [^] [^^] [^^^] [ответить] | +2 +/– | После чего оно начнет триггериться на нормальный код, зарубая нормальные рабочие... большой текст свёрнут, показать | | |
|
| 1.75, Аноним (-), 14:55, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Пакет sha-rust был размещён в каталоге 20 ноября, был загружен 153 раза и содержал
> код для поиска и отправки на внешний сервер конфиденциальных данных
Это shai-hulud-rust на самом деле, но ему хвост обрубили.
| | |
| |
| 2.86, Хру (?), 15:27, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так эта... если червяку обрубить хвост, то получится два червяка :)
| | |
|
| |
| 2.90, Аноним (-), 16:21, 08/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Догадываетесь почему?
Потому что уязвимость будет прям в сишном коде :)
| | |
|
| |
| 2.99, Аноним (99), 17:10, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Ты не поверишь. Нарождающееся поколение разработчиков так и делают. Специально для них придумали делать привязки языков к языковым помойкам.
Новость как раз о том, что разработчики языка сказали, что знают о проблеме и, возможно, будут о ней думать.
| | |
| |
| 3.102, Аноним (73), 17:29, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> будут о ней думать
Думать, конечно, хорошо, но надо ещё что-то делать при этом.
| | |
|
| 2.101, Аноним (-), 17:13, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Крейты специально придуманы для того, чтобы люди юзали незнакомые пакеты.
| | |
|
|
