forum.opennet.ru - "Уязвимости в PCP и Nix, позволяющие поднять привилегии в системе" (101)

"Уязвимости в PCP и Nix, позволяющие поднять привилегии в системе"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в PCP и Nix, позволяющие поднять привилегии в системе"	+/–
Сообщение от opennews (??), 24-Сен-24, 10:29
В инструментарии PCP (Performance Co-Pilot), применяемом для сбора статистики о производительности системы (например, используется в интерфейсе Cockpit), выявлены две уязвимости. Первая уязвимость (CVE-2024-45770) присутствует в утилите pmpost, предназначенной для отправки сообщений в лог и при определённых условиях запускаемой с повышенными привилегиями. Эксплуатация уязвимости позволяет добиться выполнения кода с правами root, но для совершения атаки необходимо иметь доступ к учётной записи PCP. Атака сводится к подмене символической ссылкой файла "/var/log/pcp/NOTICES", в который выполняется запись из процесса правами root без использования при открытии файла флага O_NOFOLLOW... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61919
Ответить \| Правка \| Cообщить модератору

Оглавление

Помнится прошлую уязвимость nix исправляли очень медленно, поэтому в этот раз то, Аноним (3), 10:36 , 24-Сен-24, (3) +8

Эти понапишут что угодно, если СОС не достаточно длинный , Аноним (11), 12:03 , 24-Сен-24, (11)

А по факту Если они тянули с исправлениями - что легко проверяется по дате патча, Аноним (-), 13:10 , 24-Сен-24, (24) –2

Да потому что, в основном, весь пар уходит в свисток Напишут СоС и проект зак, 1 (??), 15:04 , 24-Сен-24, (40) +1

Что правда Ты бы еще сказал на нем ничего не написано А потом бы отгребал спи, Аноним (-), 15:50 , 24-Сен-24, (51) –1

Вот ты прям образчик этого гнилого сообщества - выдаёшь свои мысли за мои На теб, 1 (??), 16:01 , 24-Сен-24, (53) –1

Что ж у тебя так горит Вот тебе правил использования трейдмарков Линуксаlinuxfou, Аноним (-), 17:33 , 24-Сен-24, (66) +1

Ты эта Имя в корпоративных социальных сетях, от доменного имени в интернетах , 1 (??), 23:35 , 24-Сен-24, (86)
Смешалось все в доме Оболонских , Аноним (95), 14:41 , 25-Сен-24, (95)

А по статистике Repology у nixpkgs stable 24 05 самый маленький процент потенциа, Аноним (-), 14:26 , 26-Сен-24, (104)

Сначала запиливают свои кривучии телеметрии, потом ноут а чавой вы выключаити, , Аноним (4), 11:16 , 24-Сен-24, (4) +3
Вот она - полезность телеметрии Можно простому юзверю повысить привилегии в с, 1 (??), 11:21 , 24-Сен-24, (5)

На ведь это случайность А злодей это Jia Tan , Аноним (7), 11:44 , 24-Сен-24, (7) +1

Чёт Илон Маск мне говорит, что Такой страницы не существует 1111адынадынад, 1 (??), 11:37 , 24-Сен-24, (6)

Все просто он хочет от тебя что-то скрыть Чем ты ему так насолил , Аноним (7), 11:51 , 24-Сен-24, (9)
может уже удалили Unauthenticated RCE vs all GNU Linux systems plus others d, penetrator (?), 12:54 , 24-Сен-24, (19)

Ha-ha Classic Это еще фиксы до мейнтейнеров не дошли Потом окажется - один заня, Аноним (-), 13:02 , 24-Сен-24, (23)

Не то чтобы я был сильно удивлен , Аноним (-), 11:48 , 24-Сен-24, (8)
ясно, НяшМяш (ok), 11:56 , 24-Сен-24, (10) –1

Да, лучше бы rust использовали с автоматическим сборщиком мусора Или nim с arc , Аноним (3), 12:06 , 24-Сен-24, (12)

можно про последнее заявление поподробней , мяв (?), 12:15 , 24-Сен-24, (13)

Примерно то же самое делает swift и nim Возможно, ещё haskell , Аноним (3), 12:33 , 24-Сен-24, (16) +2

Эм в swift используется подсчет ссылок ARC и оно происходит в рантайме В ра, Аноним (-), 12:57 , 24-Сен-24, (20)

В nim arc orc в компайлтайме , Аноним (3), 12:58 , 24-Сен-24, (21)

А там об этом в курсе https nim-lang org blog 2020 10 15 introduction-to-arc-o, Аноним (47), 15:39 , 24-Сен-24, (47) –1

Конечно нет И вообще, сравнивать каких-то разработчиков Nim с целым Анонимом 3 н, Аноним (-), 15:52 , 24-Сен-24, (52) –1
Ну если вы не разбираетесь, не пишите Arc orc работает при компиляции Это позв, Аноним (3), 16:08 , 24-Сен-24, (56) –2

В общем, ты не осилил ни тему, ни аглицкий , Аноним (47), 16:21 , 24-Сен-24, (60) +1
Нет При компиляции работа с памятью происходи в rust, там уже в момент компиляц, Аноним (70), 18:37 , 24-Сен-24, (70)

Его утверждение было верным, хотя механизмы несколько отличаются При компиляции, Аноним (95), 14:55 , 25-Сен-24, (96)

Не то же самое В rust возможно выделять память на стеке, так как данный механиз, Аноним (70), 17:11 , 25-Сен-24, (100)

Частный пример из вашей же ссылки Что вам здесь непонятно , Аноним (3), 16:11 , 24-Сен-24, (57)

Раньше за автоматическую расстановку free в системщине по рукам били , Аноним (3), 12:59 , 24-Сен-24, (22) +1

А еще раньше гото было нормальным подходом The future is now, old man c Особенн, Аноним (-), 13:13 , 24-Сен-24, (25) +1

Гото и сейчас нормальный подход Знать надо где ему место, а где нет , Аноним (3), 13:19 , 24-Сен-24, (26) +2

а за гото по рукам били хоть и не всегда, но по куда более внятным причинам б, мяв (?), 02:38 , 25-Сен-24, (89) –1

Чел, обработку ошибки при падении программы почему на goto не сделать , Аноним (91), 09:51 , 25-Сен-24, (91)

Ты о чем Он просто услышал где-то, что goto - плохо и повторяет не задумываясь , Аноним (95), 15:11 , 25-Сен-24, (97)

Наступило, но это не значит, что будущее приносит только хорошие инновации Зача, Аноним (3), 13:21 , 24-Сен-24, (27) +1

Правда Типа большая часть инноваций это плохие инновации Можешь отказаться от н, Аноним (-), 13:25 , 24-Сен-24, (28)

Да, это правда Смартфоны - вендорлок овно Раньше с ними было лучше Видеозвонки, Аноним (3), 13:34 , 24-Сен-24, (29)

Смелое заявление Раньше это когда Название смартфон появилось c то ли у Ericsso, Аноним (-), 13:59 , 24-Сен-24, (31)

Чел, научись читать Я наоборот пишу, что сейчас больший вендорлок Rust - сборищ, Аноним (3), 14:08 , 24-Сен-24, (32)

Так дело то в деньгах ты хочешь хорошо и за бесплатно, но так не бывает , Аноним (7), 14:51 , 24-Сен-24, (37)
В деньгах на что, на память и на новые дырявые процессоры , Аноним (64), 17:22 , 24-Сен-24, (64)
Ты несешь чушь Тк сейчас появились всякие пайнфоны, либрфоны и прочие более мене, Аноним (-), 15:00 , 24-Сен-24, (39)
Не заслуга rust, есть в том или ином виде во множестве языков Неправда Эти отзы, Аноним (3), 15:24 , 24-Сен-24, (43)
Примеры в студию Желательно чтобы оно быо там все, а не заимстования в одном, л, Аноним (-), 15:44 , 24-Сен-24, (50) +1
Мир не чёрно-белый Если _другой_ разработчик использует main, у _остальных_ раз, Аноним (3), 16:04 , 24-Сен-24, (55)
В рамках одного проекта - то main использует не разработчик, а проект И конкретн, Аноним (-), 16:13 , 24-Сен-24, (58)
Могу В Си буквально каждый файл можно собирать со своей версией Как это будет , Аноним (3), 16:18 , 24-Сен-24, (59)
Давай только по настоящему, без читерства, этот файл должен быть подключен препр, Аноним (70), 21:16 , 24-Сен-24, (85)
Вы случаем не из тех староверов, которые не могут поставить несколько разных вер, Аноним (70), 19:13 , 24-Сен-24, (78) –1
Одна бабка сказала, какое экспертное мнение Вот вам для примера немного c и c , Аноним (70), 19:11 , 24-Сен-24, (77) –1
Давай второй с сопоставимыми фичами Только давай без поиска в интернете, пиши с, Аноним (70), 19:02 , 24-Сен-24, (74) –1

С аппаратной точки зрения - смартфоны превосходны Неразличимые невооружённым вз, Аноним (70), 18:43 , 24-Сен-24, (72)

Причём некоторые по глупости людской, а некоторые - по злобе и жадности вот , _ (??), 19:02 , 24-Сен-24, (75)

Хм т е раньше пандемий не было Ну там испанка или чума Это как раз не новое, , Аноним (-), 20:56 , 24-Сен-24, (83) +1

И дырявый код был нормой Сейчас хотя бы смотрят с осуждением, Аноним (70), 18:38 , 24-Сен-24, (71) –1
почему бы и нет точнее, как я понимаю, где это может привести к оверхеду, но д, мяв (?), 02:42 , 25-Сен-24, (90)

так это не сборщик мусора, вроде подсчет во время сборки ж происходит , мяв (?), 02:34 , 25-Сен-24, (88)

Подсчёт идёт в рантайме, код подсчёта добавляется в момент сборки, Аноним (70), 01:26 , 26-Сен-24, (103)

WAT Это что-то новенькое А можешь показать где в расте автоматический сборщик, Аноним (-), 12:28 , 24-Сен-24, (15) –1

Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..., Ахз (?), 13:57 , 24-Сен-24, (30)

Я сейчас расстрою кекспертов, но с такой логикой оно даже в сишке есть man le, Аноним (47), 15:18 , 24-Сен-24, (42) +1

Не расстроишь Область видимости авторасстановка free , Аноним (3), 15:25 , 24-Сен-24, (44)

Расстрою - в примере совсем не все а лишь гцц-шный атрибут из раздела область, Аноним (47), 15:36 , 24-Сен-24, (45)

Много воды, умных слов, а по сути где Просвяти, в чём отличие от nim в rust В , Аноним (3), 15:41 , 24-Сен-24, (48)

Лучше много воды и умных слов, чем выброс метана W W какая-то собственная термин, Аноним (47), 16:02 , 24-Сен-24, (54)

Признаю, был неправ Но это не отменяет факта, что это gc, хоть и при компиляции, Аноним (3), 16:21 , 24-Сен-24, (61)

Память всегда утекать должна, или какая тут альтернатива Освобождения памяти ну, morphe (?), 16:35 , 24-Сен-24, (63) +1

Иногда небольшая утечка лучше, так как можешь спланировать время условие , когд, Аноним (3), 17:25 , 24-Сен-24, (65) –2
Если произошла утечка, то память вы уже не освободите Вы хотя-бы читайте значен, Аноним (70), 19:15 , 24-Сен-24, (79) –2
Так и в Rust тебя никто не заставляет сразу ресурсы освобождатьЕсли ты сохранишь, morphe (?), 02:17 , 25-Сен-24, (87)

В умных словах Это особые слова, называются терминыОпять месные эксперты, с сво, Аноним (70), 19:05 , 24-Сен-24, (76) –1

Скрыто модератором, Аноним (95), 15:13 , 25-Сен-24, (98) –1

Скрыто модератором, Аноним (46), 15:37 , 24-Сен-24, (46)

Скрыто модератором, Аноним (3), 15:42 , 24-Сен-24, (49)

у с по твоему тоже гц если по выходу из скоупа деструктор сам вызывается , Вася Пупкин (?), 14:12 , 24-Сен-24, (33)

Это область видимости , Аноним (3), 14:17 , 24-Сен-24, (34)

Скрыто модератором, Аноним (-), 18:29 , 24-Сен-24, (67) +1

Скрыто модератором, Аноним (-), 18:31 , 24-Сен-24, (68)

Аноним выше некомпетентен Разница между моделью rust, где осовобождение памяти , Аноним (70), 18:34 , 24-Сен-24, (69) –1

Не так уж и огромна Разница в том, где основные накладные расходы во время ком, Аноним (73), 18:53 , 24-Сен-24, (73) +1

Это различие и порождает разницу в расходах Почему вы смешиваете разные техноло, Аноним (70), 19:17 , 24-Сен-24, (80)

Кто смешивает Утверждается, что автомобиль ездит, что бензиновый, что дизель , Аноним (95), 15:15 , 25-Сен-24, (99)

Плохая аналогия подобна котёнку с дверцей, Аноним (70), 17:14 , 25-Сен-24, (102)

В rust приходится порой обходить ограничения borrowchecker, так как он мешает И, Анонимъ (?), 10:07 , 25-Сен-24, (92) +3

Более того, это в базе std sync Arc , Анонимъ (?), 10:08 , 25-Сен-24, (93)
Вы понимаете разницу - всё управление памятью через счётчик ссылок или счётчик с, Аноним (70), 17:13 , 25-Сен-24, (101)

К счастью в NixOS до сих пор 2 18 даже в unstable, Аноним (14), 12:20 , 24-Сен-24, (14)

Для отдельной установки nix использовалась уязвимая версия , Аноним (3), 12:34 , 24-Сен-24, (17)

Да, уж Сливай воду это называется Ждем-с 30 сентября, и быстро собирать бот-се, Ося Бендер (?), 12:37 , 24-Сен-24, (18)
Что это за почтальон Печкин У меня есть вулн, но вам его не покажу Но он стращ, Аноним (-), 14:36 , 24-Сен-24, (35)

Никс используют военные Поэтому все сложно Возможно тут защищают эксплуатанта, Аноним (7), 14:49 , 24-Сен-24, (36)

Ну анонс-то про весь гнутый линyпс а м б и даже про бздю Так что если и эксп, 1 (??), 14:57 , 24-Сен-24, (38) –1

Это связано с тем, что вы не владеете английским языком и не можете прочитать пе, Аноним (-), 17:36 , 26-Сен-24, (105)

Ключевая фраза в опусе того открывателя уязвимостей And YES I LOVE hyping the , Аноним (107), 23:04 , 26-Сен-24, (107)

Почему разработчики не опубликовали это три недели назад, а вместо этого согласо, Аноним (108), 00:22 , 27-Сен-24, (108)

ну насчёт никсосников никто и не сомневался, mos87 (ok), 15:13 , 24-Сен-24, (41) +1

Почему никто Я хотел перейти на NixOS, но всё-таки из-за невозможности установ, Аноним (-), 17:51 , 26-Сен-24, (106)

Сообщения [Сортировка по времени | RSS]

3. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +8 +/–

Сообщение от Аноним (3), 24-Сен-24, 10:36

Помнится прошлую уязвимость nix исправляли очень медленно, поэтому в этот раз тот же человек опубликовал информацию об уязвимости после пару недель с неё находки. До исправления разрабами nixos. А ещё разраб ушёл в отпуск в этот момент, когда его предупредили непублично. И не было передачи задачи. В общем, проект сомнительный, отношение к безопасности халатное. Про это на hacker news писали и lobsters.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (11), 24-Сен-24, 12:03

Эти понапишут что угодно, если СОС не достаточно длинный.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –2 +/–

Сообщение от Аноним (-), 24-Сен-24, 13:10

> Эти понапишут что угодно, если СОС не достаточно длинный.
А по факту?
Если они тянули с исправлениями - что легко проверяется по дате патча - то хоть с длинным СОСом, хоть с коротким отношение к безопасности у них отвратительное.
ps почему у многих анонов какой-то странный фетишь на СОСʼи?
в ядре он есть, а бзде тоже, в куче успешных проектов.
Но надо сразу выстрать свое мнение прилепливая теплое к мягкому

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от 1 (??), 24-Сен-24, 15:04

> ps почему у многих анонов какой-то странный фетишь на СОСʼи?
Да потому что, в основном, "весь пар уходит в свисток". Напишут СоС и проект закрыт.
Это ж как с языком, который нельзя называть, может язык и неплохой и концепции в нём передовые, но сообщество отвратительное.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (-), 24-Сен-24, 15:50

> Да потому что, в основном, "весь пар уходит в свисток".
Что правда?
> Это ж как с языком, который нельзя называть
Ты бы еще сказал "на нем ничего не написано!")
А потом бы отгребал списки из утилит, вейланд композиторов, миллионов строк в андроиде.
> но сообщество отвратительное.
Сообщество, которое не боится назвать овнокод - овнокодом?
Или которое на заглядывает в штаны, а просит показать код.
Не удивительно что это самый любимый ЯП на стековерфлоу, и что его так ненавидят у нас.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от 1 (??), 24-Сен-24, 16:01

>> Это ж как с языком, который нельзя называть
> Ты бы еще сказал "на нем ничего не написано!")
Вот ты прям образчик этого гнилого сообщества - выдаёшь свои мысли за мои.
На тебе пруф - https://www.opennet.ru/opennews/art.shtml?num=58969
даже процитирую -
===============
Имя Rust разрешено использовать в заголовках статей, книг и обучающих материалов, при явном указании, что проект Rust и организация Rust Foundation не вовлечены в создание и рецензирование содержимого.
Использование имени и логотипа Rust запрещено в качестве средств персонализации в корпоративных социальных сетях.
===============

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (-), 24-Сен-24, 17:33

Что ж у тебя так горит?
Вот тебе правил использования трейдмарков Линукса
linuxfoundation.org/legal/trademark-usage
> Использование имени и логотипа Rust запрещено в качестве средств персонализации в корпоративных социальных сетях.
A trademark should not be used as your domain name or as part of your domain name.
A trademark should not be used as part of your product name.
A trademark should not be incorporated into your company’s logos or designs.
Do not use logos or names of The Linux Foundation in any commercial or marketing context other than as expressly permitted in this policy unless you have obtained explicit written permission from The Linux Foundation to do so.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от 1 (??), 24-Сен-24, 23:35

Ты эта ...
Имя в корпоративных социальных сетях, от доменного имени в интернетах отличаешь ? Или от имени продукта ? Или от лого компании ?
Вот уж точно - в Киеве дядька, а в голове бузина.

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (95), 25-Сен-24, 14:41

>сравнивает теплое с мягким
Смешалось все в доме Оболонских.

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

104. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 26-Сен-24, 14:26

А по статистике Repology у nixpkgs stable 24.05 самый маленький процент потенциально уязвимых пакетов среди дистрибутивов.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +3 +/–

Сообщение от Аноним (4), 24-Сен-24, 11:16

Сначала запиливают свои кривучии телеметрии, потом ноут "а чавой вы выключаити, вот у вас поэтому на линоксе три процента".

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от 1 (??), 24-Сен-24, 11:21

Вот она - полезность телеметрии !!!
Можно простому юзверю повысить привилегии в системе.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (7), 24-Сен-24, 11:44

На ведь это случайность. А злодей это Jia Tan.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от 1 (??), 24-Сен-24, 11:37

> Дополнительно можно упомянуть публикацию[https://x.com/evilsocket/status/1838169889330135132] предупреждения о выявлении критической уязвимости, затрагивающей дистрибутивы GNU/Linux
Чёт Илон Маск мне говорит, что "Такой страницы не существует" !!!!1111адынадынадын.
Фейк ?
296

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (7), 24-Сен-24, 11:51

Все просто он хочет от тебя что-то скрыть. Чем ты ему так насолил?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от penetrator (?), 24-Сен-24, 12:54

может уже удалили
* Unauthenticated RCE vs all GNU/Linux systems (plus others) disclosed 3 weeks ago.
* Full disclosure happening in less than 2 weeks (as agreed with devs).
* Still no CVE assigned (there should be at least 3, possibly 4, ideally 6).
* Still no working fix.
* Canonical, RedHat and others have confirmed the severity, a 9.9, check screenshot.
* Devs are still arguing about whether or not some of the issues have a security impact.
I've spent the last 3 weeks of my sabbatical working full time on this research, reporting, coordination and so on with the sole purpose of helping and pretty much only got patronized because the devs just can't accept that their code is crap - responsible disclosure: no more.Image
The writeup is gonna be fun, not just for the technical details of it, not just because this RCE was there for more than a decade, but as a freaking example on how NOT to handle disclosures.
Like, I write software, I get it, I get how someone can be defensive about the stuff they write, I really do. But holy sh, if your software has been running on everything for the last 20 years, you have a freaking responsibility to own and fix your bugs instead of using your energies to explain to the poor bastard that reported them how wrong he is, even tho he's literally giving you PoC after PoC and systematically proving your assumptions about your own software wrong at every comment. This is just insane.
Just wanted to add for the sake of clarity, that i have *so much respect* for the people at Canonical that have been trying to help & mediate from the beginning, I really don't know how they manage to keep their cool like this.
This is going to be the writeup opening statement. It's an actual comment from the github conversation. I mean, it's not wrong ... Image
And YES: I LOVE hyping the sh1t out of this stuff because apparently sensationalism is the only language that forces these people to fix.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

23. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 24-Сен-24, 13:02

> devs just can't accept that their code is crap
Ha-ha. Classic.
Это еще фиксы до мейнтейнеров не дошли.
Потом окажется - один занят, один в отпуске, еще один в запое. А юзеры подождать могут.
Хотя... если им не платят, то они ничего и не должны.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 24-Сен-24, 11:48

> C 53.3%
> приводит к обращению к памяти вне буфера при отправке специально оформленных данных
Не то чтобы я был сильно удивлен)

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от НяшМяш (ok), 24-Сен-24, 11:56

> nix
> C++ 75.7%
ясно

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 12:06

Да, лучше бы rust использовали с автоматическим сборщиком мусора. Или nim с arc. Разницы между этими gc практически нет. Только первый язык стыдливо отрицает наличие gc.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от мяв (?), 24-Сен-24, 12:15

можно про последнее заявление поподробней?

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +2 +/–

Сообщение от Аноним (3), 24-Сен-24, 12:33

> Подход Rust к управлению памятью основан на следующем принципе: компилятор Rust должен знать точные места в коде, где выделена память, где и как к ней осуществляется доступ, а где она больше не нужна. Эти знания позволяют контролировать доступ к памяти и автоматически освобождать выделенную память, вставляя соответствующие инструкции непосредственно в сгенерированный код, таким образом избегая многих распространенных ошибок, которым могут быть подвержены другие языки.
Примерно то же самое делает swift и nim. Возможно, ещё  haskell.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 24-Сен-24, 12:57

> Примерно то же самое делает swift и nim.
Эм... в swift используется подсчет ссылок (ARC) и оно происходит в рантайме.
В расте подсчета ссылок нет (кроме типов вроде Rc<T> и Arc<T>) и делается это в компайлтайм.
Как оно в nim и haskell точно не знаю, в haskell вроде полноценный garbage collector.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 12:58

> Как оно в nim
В nim arc/orc в компайлтайме.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (47), 24-Сен-24, 15:39

>> Как оно в nim
> В nim arc/orc в компайлтайме.
А там об этом в курсе?
https://nim-lang.org/blog/2020/10/15/introduction-to-arc-orc...

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (-), 24-Сен-24, 15:52

Конечно нет.
И вообще, сравнивать каких-то разработчиков Nim с целым Анонимом 3 не правильно.
Всем понятно, что он гораздо кекспертнее.
И прямо сейчас откроет глаза сомневающимся!

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –2 +/–

Сообщение от Аноним (3), 24-Сен-24, 16:08

Ну если вы не разбираетесь, не пишите. Arc/orc работает при компиляции. Это позволяет даже писать код под микроконтроллеры без напряга.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

60. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (47), 24-Сен-24, 16:21

>> At its core ARC is a memory management model based on Automatic Reference Counting with destructors and move semantics. Some people mistake Nim’s ARC for Swift’s ARC, but there is one big difference: ARC in Nim doesn’t use atomic RC.
>> ORC is Nim’s all-new cycle collector based on ARC. It can be considered a full-blown GC since it includes a local tracing phase
> Ну если вы не разбираетесь, не пишите. Arc/orc работает при компиляции. Это
> позволяет даже писать код под микроконтроллеры без напряга.
В общем, ты не осилил ни тему, ни аглицкий ...

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (70), 24-Сен-24, 18:37

>Arc/orc работает при компиляции. Это позволяет даже писать код под микроконтроллеры без напряга.
Нет. При компиляции работа с памятью происходи в rust, там уже в момент компиляции вставляется осовобождение памяти. В случае счётчика ссылок, во время компиляции будет только меняться счётчик ссылок, а вот само освобождение будет происходить в рантайме. Даже, если код прямолинеен.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

96. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (95), 25-Сен-24, 14:55

Его утверждение было верным, хотя механизмы несколько отличаются.
>При компиляции работа с памятью происходи в rust, там уже в момент компиляции вставляется осовобождение памяти.
При компиляции никакой работы с памятью не происходит потому что она происходит только при исполнении. Компилятор только вставляет инструкции освобождения памяти где это нужно. Nim делает то же самое, только со счетчиком, Swift тоже.
Цитата:
>the Nim compiler has wrapped the body of the main proc in a try: finally statement
>В случае счётчика ссылок, во время компиляции будет только меняться счётчик ссылок
При компиляции никакой счетчик ссылок не меняется! Опять путаешь компиляцию с исполнением программы.

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (70), 25-Сен-24, 17:11

>Nim делает то же самое, только со счетчиком, Swift тоже.
Не то же самое. В rust возможно выделять память на стеке, так как данный механизм будет работать. В случае nim для работы счётчика ссылок выделять память на стеке уже нельзя, так как иначе нельзя будет вернуть значение из функции, память нужно выделять сразу в куче, даже если это локальная переменная.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 16:11

Частный пример из вашей же ссылки:
> What we see here is really interesting - the Nim compiler has wrapped the body of the main proc in a try: finally statement (the code in finally runs even when an exception is raised in the try block) and inserted a =destroy call to our mystr (which is initialised at runtime) so that it’s destroyed when it is no longer needed (when its lifetime ends).
Что вам здесь непонятно?

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

22. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (3), 24-Сен-24, 12:59

Раньше за автоматическую расстановку free() в системщине по рукам били.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

25. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (-), 24-Сен-24, 13:13

> Раньше за автоматическую расстановку free() в системщине по рукам били.
А еще раньше гото было нормальным подходом)
The future is now, old man (c)
Особенно если половину free забывали, а вторую ставили не в то место в коде.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +2 +/–

Сообщение от Аноним (3), 24-Сен-24, 13:19

Гото и сейчас нормальный подход. Знать надо где ему место, а где нет.

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от мяв (?), 25-Сен-24, 02:38

..а за гото по рукам били хоть и не всегда, но по куда более внятным причинам: больше нестандартного подхода, сложнее читаемость => сложнее поддержка.
разумеется, если Вы пишете что-то, над чем будет работать больше одного человека, для себя хоть на асм'е писать можно.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (91), 25-Сен-24, 09:51

Чел, обработку ошибки при падении программы почему на goto не сделать?

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (95), 25-Сен-24, 15:11

Ты о чем? Он просто услышал где-то, что goto - плохо и повторяет не задумываясь.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (3), 24-Сен-24, 13:21

> The future is now, old man (c)
Наступило, но это не значит, что будущее приносит только хорошие инновации. Зачастую наоборот.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

28. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 24-Сен-24, 13:25

> но это не значит, что будущее приносит только хорошие инновации. Зачастую наоборот.
Правда? Типа большая часть инноваций это плохие инновации?
Можешь отказаться от ноутов, смарфона и видеозвонков)
Ну или привести примеры злых инноваций, было бы интересно послушать.
Я бы к ним возможно отнес электро самокаты, но это проблема не технологии, а тупых людей и отсутствия законодательства.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 13:34

> Правда? Типа большая часть инноваций это плохие инновации?
Да, это правда.
> Можешь отказаться от ноутов, смарфона и видеозвонков)
Смартфоны - вендорлок овно. Раньше с ними было лучше. Видеозвонки нужны гораздо реже, чем ими трясут. Зачем смотреть на чужие лица, когда голоса достаточно? А ещё лучше не тратить время и написать кратко по почте. Ноутбуки скатились в качестве.
> Ну или привести примеры злых инноваций
Rust, docker, electron, веб приложения, js, wasm.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 24-Сен-24, 13:59

> Да, это правда.
Смелое заявление)
> Смартфоны - вендорлок овно. Раньше с ними было лучше.
Раньше это когда?
Название смартфон появилось c то ли у Ericssonʼа, то ли у BlackBerry.
И открытостью там совершенно не пахло. Как и у коммуникаторов на Windows Mobile.
А современные - это айфон и андроид. Где там отсутствие вендорлока?
> Видеозвонки нужны гораздо реже, чем ими трясут.
Но когда нужны, то очень полезны.
> Rust, docker, electron, веб приложения, js, wasm.
А что в этом плохого?

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 14:08

> А современные - это айфон и андроид. Где там отсутствие вендорлока?
Чел, научись читать. Я наоборот пишу, что сейчас больший вендорлок.
> А что в этом плохого?
Rust - сборище фанатиков. А в самом языке нет ничего особенного. Синтаксис ужасный, компилятор с плохой обратной совместимостью, долгая сборка, привязка к зависимому централизованному хранилищу пакетов.
Docker - ведёт к отуплению сисадминов и разработчиков. Зачем делать чистый преносимый код, если можно сделать овно и закатать в ту среду, в которой разрабатывалось, в контейнер? И для каждой программы свой контейнер. Чтоб память жрало во всех смыслах.
Electron - двидок браузера для отрисовки gui, со всеми вытекающими в виде жора памяти.
Веб приложения - жрут память, тормозят, часто сделали онлайн подзагрузку, из-за которой тормозят ещё больше.
Wasm - тащит в веб ящё больше языков. Веб должен быть гипертекстовым, имхо. Всё остальное жрёт память, ресурсы и время на рюшечки-окошечки и плавающую фигню.
> Докупи память, проц новый. В чём проблема?
Проблема в том, что из-за овнокода производительность программ топчется на месте. Овнокод медленный, закупаются новые процы. Разработчики ещё больше расслабляются, пишут ещё более плохой код.
Был шуточный закон Вирта, который перестал быть шуткой:
> программы становятся медленнее куда шустрее, чем компьютеры становятся быстрее

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (7), 24-Сен-24, 14:51

Так дело то в деньгах ты хочешь хорошо и за бесплатно, но так не бывает.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (64), 24-Сен-24, 17:22

В деньгах на что, на память и на новые дырявые процессоры?!?!?

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 24-Сен-24, 15:00

> Чел, научись читать. Я наоборот пишу, что сейчас больший вендорлок.
Ты несешь чушь.
Тк сейчас появились всякие пайнфоны, либрфоны и прочие более менее открытые. Чего даже 10 лет назад не было.
> Rust - сборище фанатиков. А в самом языке нет ничего особенного. Синтаксис ужасный, компилятор с плохой обратной совместимостью, долгая сборка, привязка к зависимому централизованному хранилищу пакетов.
О! Ты сразу собрал все штампы.
В языке есть концепция заимствования и лайфтаймов. "Синтаксис ужасный" только для неосиляторов.
Обратная совместимость в расте отличная - есть Editions в рамках которых решается эта проблема.
"долгая сборка" можно подождать пару минут, а не тратит часы на устранние проблем памяти.
"привязка к зависимому централизованному хранилищу пакетов" - вранье. Cargo отлично настраивается локально. И заполнять исключительно своими крейтами.
google.github.io/comprehensive-rust/cargo/running-locally.html
Но ты этого всего не знаешь, зато мнение имеешь.
Еще и про фанатиков рассуждаешь))

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

43. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 15:24

> В языке есть концепция заимствования и лайфтаймов.
Не заслуга rust, есть в том или ином виде во множестве языков.
> "Синтаксис ужасный" только для неосиляторов.
Неправда. Эти отзывы слышал от тех, кто на нём кодил.
> Обратная совместимость в расте отличная - есть Editions в рамках которых решается эта проблема.
Не решается. Если разработчик решил сидеть на main, всё будет ломаться на старых компиляторах. И на новых тоже может сломаться, если разработчик не успеет синхронизироваться с main (при наличии критичных изменений, а такие бывают).
> "долгая сборка" можно подождать пару минут, а не тратит часы на устранние проблем памяти.
Штамп.
> Cargo отлично настраивается локально.
А толку? Разработчики используют центральное хранилище.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (-), 24-Сен-24, 15:44

> Не заслуга rust, есть в том или ином виде во множестве языков.
Примеры в студию. Желательно чтобы оно быо там все, а не заимстования в одном, лайфтаймы в другом, а трейты в третем.
> Неправда. Эти отзывы слышал от тех, кто на нём кодил.
А я слышал противоположное. ПРичем питон и отступы пробелами они ненавидели.
> Не решается. Если разработчик решил сидеть на main, всё будет ломаться на старых компиляторах. И на новых тоже может сломаться, если разработчик не успеет синхронизироваться с main (при наличии критичных изменений, а такие бывают).
Ну так не сиди на мейне.
Ты бы еще найтли взял и ныл "чего все разваливается".

>> Cargo отлично настраивается локально.
> А толку? Разработчики используют центральное хранилище.
И? Это проблема раста?
Им дали выбор! Как они захотят, так и будет.
Более того, я знаю как минимум три компании, у которых развернут свой карго. Тк безопасность.
Аргумент примерно "зачем вы гитхабом пользуетесь".

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

55. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 16:04

> Ну так не сиди на мейне.
Мир не чёрно-белый. Если _другой_ разработчик использует main, у _остальных_ разработчиков возникают проблемы.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

58. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 24-Сен-24, 16:13

> Если _другой_ разработчик использует main, у _остальных_ разработчиков возникают проблемы.
В рамках одного проекта - то main использует не разработчик, а проект.
И конкретная версия (main или edition) будет прописан в CI и просто не пропустит PR.
А если это в команде один особенный, которых хочет использовать не ту версию языка... то это его проблемы - или переубедите, или распрощаетесь.
Если в рамках разных - то в других языках проблема такая же. Ты не может затянуть себе кода с2х если у тебя с89.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

59. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 16:18

> Ты не может затянуть себе кода с2х если у тебя с89.
Могу. В Си буквально каждый файл можно собирать со своей версией. Как это будет мешать импорту функций?

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

85. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (70), 24-Сен-24, 21:16

>Могу. В Си буквально каждый файл можно собирать со своей версией
Давай только по настоящему, без читерства, этот файл должен быть подключен препроцессором, с использованием фич из нового стандарта

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

78. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (70), 24-Сен-24, 19:13

Вы случаем не из тех староверов, которые не могут поставить несколько разных версий пакетов, вот просто технически не могут, у них лапки?

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

77. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (70), 24-Сен-24, 19:11

>Неправда. Эти отзывы слышал от тех, кто на нём кодил.
Одна бабка сказала, какое экспертное мнение. Вот вам для примера немного c и c++
char *(*(**foo[][8])())[];
[&, i]{};
[=, *this]{ };
std::cout << var.property << "123\n";
printf("%d %s\n", a, b);
>Если разработчик решил сидеть на main, всё будет ломаться на старых компиляторах. И на новых тоже может сломаться, если разработчик не успеет синхронизироваться с main (при наличии критичных изменений, а такие бывают).
Соберите код для c++23 на c++99. Только не говорите что в rust что-то принципиально иное
>Штамп.
Вы просто как попугай повторяете чужие мысли
>А толку? Разработчики используют центральное хранилище.
И? Вы не в состоянии склонировать всё к себе и в случае необходимости пропатчить путь?

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

74. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (70), 24-Сен-24, 19:02

>Rust - сборище фанатиков. А в самом языке нет ничего особенного
Давай второй с сопоставимыми фичами. Только давай без поиска в интернете, пиши сразу, без шпаргалок
>Синтаксис ужасный
Весь в c++.
char *(*(**foo[][8])())[];
[&, i]{};
[=, *this]{ };
std::cout << var.property << "123\n";
>привязка к зависимому централизованному хранилищу пакетов
Ничуть не лучше и не хуже других языков. Просто сишники и плюсовики частенько пишут кривые косые велосипеды и их проекты не имеют внешних зависимостей. Вот типичный пример https://github.com/ProfessorNavigator/mylibrary/blob/b249bf8...
Опять же, вам никто не мешает поднять своё зеркало
>Docker - ведёт к отуплению сисадминов и разработчиков.
Можно подумать, что раньше они были умнее.
>Зачем делать чистый преносимый код, если можно сделать овно и закатать в ту среду, в которой разрабатывалось, в контейнер?
Вы занимались коммерческой разработкой? Вы в курсе, что одна из первых же задач при разработке кода - заморозить версию зависимостей в каком-нибудь lock файле? Вы в курсе, что между минорными версиями будет различие по доступным методам, и код работающий условно на 8.2 не заработает на 8.0? И как вы собираетесь разрешать подобные проблемы, когда у вас будет хотя бы человек двадцать?
>И для каждой программы свой контейнер
Расскажите как сделать иначе. Разумеется, если знаете.
>Веб приложения - жрут память, тормозят, часто сделали онлайн подзагрузку, из-за которой тормозят ещё больше.
Альтернативы? Допустим, мне нужен условный ip калькулятор. Предлагаете для начала что-то откуда-то скачать и устанавливать?
>Wasm - тащит в веб ящё больше языков.
И это хорошо. JS это ужас, и только тот, кто ни разу не пользовался нормальным языком, например Ocaml это не понимает
>Веб должен быть гипертекстовым, имхо
Он по прежнему гипертекстовой. Но лучше когда данные передаются в виде json или другого машинночитаемого формата, а не в виде странной вёрстки
>Проблема в том, что из-за овнокода производительность программ топчется на месте.
И как это связано со всем вышеперечисленным? Код на си тоже будет медленным, если его писать абы как

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

72. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (70), 24-Сен-24, 18:43

>Смартфоны - вендорлок овно
С аппаратной точки зрения - смартфоны превосходны. Неразличимые невооружённым взглядом пиксели, ядра, способные как на быстрые вычисления так и на сон. Никакой старый коммуникатор не может соперничать по техническим характеристикам. Даже возможность запуска на смартфонах обычного софта для линукса - это уже достижение, если сравнивать с тем, что было раньше, когда даже файловой системы не было.
>Rust, docker, electron, веб приложения, js, wasm
Причина?

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

75. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от _ (??), 24-Сен-24, 19:02

>> но это не значит, что будущее приносит только хорошие инновации. Зачастую наоборот.
Причём некоторые по глупости людской, а некоторые - по злобе и жадности ... вот COVID к примеру.
>Правда? Типа большая часть инноваций это плохие инновации?
Про развесовку ничего сказано не было, это уже у тебя персональные фантазии попёрли ... разупорись? :-р
>Можешь отказаться от ноутов, смарфона и видеозвонков)
Да - могу. Это будет жутко неудобно, но ведь смогу.
>Ну или привести примеры злых инноваций, было бы интересно послушать.
Японское мясо из **вна 8-о (я не шучу!) Тому профессору даже какую-то первую японскую премию дали. Так что думай _что_ ты ешь, когда берёшь какую нибудь контрабандную колбасу :-D
>Я бы к ним возможно отнес электро самокаты, но это проблема не технологии, а тупых людей и отсутствия законодательства.
Электросамокат может кого то убить из-за наездника, это да. Но по сравнению с AI который может в лучшем случае угрохать всё человечество, а в худшем превратить его в стадо - это добрая инновация :)

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

83. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (-), 24-Сен-24, 20:56

> Причём некоторые по глупости людской, а некоторые - по злобе и жадности
> ... вот COVID к примеру.
Хм.. т.е раньше пандемий не было?
Ну там испанка или чума? Это как раз не новое, а уже хорошо пережитое (и забытое) старное.
Но д-бы как в 19хх года отказывались носить маски, так спустя 100 лет повторяли.
>>Правда? Типа большая часть инноваций это плохие инновации?
> Про развесовку ничего сказано не было, это уже у тебя персональные фантазии попёрли ... разупорись? :-р
Давай по буквам прочитаем фразу "это не значит, что будущее приносит только хорошие инновации. Зачастую наоборот."
Слова "Зачастую наоборот" как бы отрицают "приносит только хорошие инновации".
Подумай над этим. Можешь еще почитать про логическое отрицание.
> Да - могу. Это будет жутко неудобно, но ведь смогу.
А так же от образования, общественного транспорта, средств связи..
Уйти в лес и жить там отшельником..
Но зачем так жить? (с)
> Японское мясо из **вна 8-о (я не шучу!) Тому профессору даже какую-то первую японскую премию дали. Так что думай _что_ ты ешь, когда берёшь какую нибудь контрабандную колбасу :-D
Думаешь в местной колбасе овна меньше?
Вспомни про завод сыра в славном г.Омске, гда работники купались в сырье)
> Электросамокат может кого то убить из-за наездника, это да. Но по сравнению с AI который может в лучшем случае угрохать всё человечество, а в худшем превратить его в стадо - это добрая инновация :)
Человечество было стадом всегда.. Когда само этого хотело.
Всегда проще чтобы за тебя решал фараон, олимпийские боги, какой-то стремный бородатый чел на облаке, который за всеми следит.
Ну будут во всех бедах хаять не массонов и рептилоидов, а AI.
По поводу ʼуничтожитьʼ, так человеки отлично друг друга уничтожают.
Зато ворзможно мы сможем погенерить картинки кошкодевочек, перед ядерной войной.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (70), 24-Сен-24, 18:38

И дырявый код был нормой. Сейчас хотя бы смотрят с осуждением

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

90. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от мяв (?), 25-Сен-24, 02:42

почему бы и нет?
точнее, как.. я понимаю, где это может привести к оверхеду, но добавить интерфейс управления этим "сборщиком мусора" никто не запрещает и это будет кратно проще, чем free() вызывать:
вместо постоянного "а не забыли ли мы free(), не сделали ли дважды?", раз в год возникает "а не усмирить ли тут компилятор?".

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

88. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от мяв (?), 25-Сен-24, 02:34

так это не сборщик мусора, вроде?
подсчет во время сборки ж происходит.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

103. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (70), 26-Сен-24, 01:26

>подсчет во время сборки ж происходит.
Подсчёт идёт в рантайме, код подсчёта добавляется в момент сборки

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (-), 24-Сен-24, 12:28

> rust с автоматическим сборщиком мусора.
WAT? Это что-то новенькое...
А можешь показать где в расте автоматический сборщик мусора есть?
Только именно в языке, а не в сторонних крейтах.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Ахз (?), 24-Сен-24, 13:57

>  вставляя соответствующие инструкции непосредственно в сгенерированный код

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (47), 24-Сен-24, 15:18

>>  вставляя соответствующие инструкции непосредственно в сгенерированный код
Я сейчас расстрою кекспертов, но с такой "логикой" оно даже в сишке есть. man leave/add *sp,X/mov *bp, Y
man __attribute__((cleanup))

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 15:25

Не расстроишь. Область видимости != авторасстановка free().

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (47), 24-Сен-24, 15:36

> Не расстроишь. Область видимости != авторасстановка free().
Расстрою - в примере совсем не все (а лишь гцц-шный атрибут) из раздела "область видимости".
ну и авторасстановка free() != сборщик мусора
как впрочем и "область видимости"  ⊂ "время жизни"
как впрчем "автоматическое освобождение" != free()
Впрочем, заявление "Примерно то же самое делает swift и nim. Возможно, ещё  haskell." уже очень хорошо показало уровень и ценность кекспертизы.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 15:41

Много воды, умных слов, а по сути где? Просвяти, в чём отличие от nim в rust? В обоих случаях авторасстановка функций освобождения.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (47), 24-Сен-24, 16:02

> Много воды, умных слов, а по сути где?
Лучше много воды и умных слов, чем выброс метана^W^W какая-то собственная терминология ...
> Просвяти, в чём отличие от nim в rust? В обоих случаях авторасстановка функций освобождения.
Понимаешь, первый - считает при этом ссылки, второй нет - и по семантике близок к коду на сишке/плюсах, в которых сам програмер правильно(!) и один(!) раз расставил функции освобождения (и бонусом - не пользуется той памятью после оного).
Со всеми результирующими плюшками в виде оптимизации при компиляции и тормозов записи счетчика ...

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 16:21

Признаю, был неправ. Но это не отменяет факта, что это gc, хоть и при компиляции. Не всегда такое умное освобождение способствует приросту скорости работы.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от morphe (?), 24-Сен-24, 16:35

Память всегда утекать должна, или какая тут альтернатива? Освобождения памяти нужны только там где происходят аллокации, т.е в сишном коде у тебя оверхед будет тот же, но free нужно самому дёргать

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –2 +/–

Сообщение от Аноним (3), 24-Сен-24, 17:25

Иногда небольшая утечка лучше, так как можешь спланировать время (условие), когда освобождение не потратит ценные ресурсы в конкретный отрезок времени. Не везде такое требуется, согласен.

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –2 +/–

Сообщение от Аноним (70), 24-Сен-24, 19:15

Если произошла утечка, то память вы уже не освободите. Вы хотя-бы читайте значение терминов перед использованием. И да, арены памяти изобретены, так что описываемая вами проблема неактуальна никогда.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от morphe (?), 25-Сен-24, 02:17

> Иногда небольшая утечка лучше, так как можешь спланировать время (условие), когда освобождение
> не потратит ценные ресурсы в конкретный отрезок времени. Не везде такое
> требуется, согласен.
Так и в Rust тебя никто не заставляет сразу ресурсы освобождать
Если ты сохранишь аллокацию в другое место/отправишь в другой поток - то borrow checker это увидит и не будет вставлять деаллокацию, значит она произойдёт в другом месте
В Rust RAII же обычный

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (70), 24-Сен-24, 19:05

>Много воды, умных слов, а по сути где?
В умных словах. Это особые слова, называются термины
>Просвяти, в чём отличие от nim в rust? В обоих случаях авторасстановка функций освобождения.
Опять месные эксперты, с своим собственным толкованием терминов, диаметрально отличающимся от принятого в индустрии.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

98. Скрыто модератором –1 +/–

Сообщение от Аноним (95), 25-Сен-24, 15:13

И опять одна вода от местного эксперта.

Ответить | Правка | Наверх | Cообщить модератору

46. Скрыто модератором +/–

Сообщение от Аноним (46), 24-Сен-24, 15:37

Ты не знаешь, что такое сборщик мусора, смирись

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

49. Скрыто модератором +/–

Сообщение от Аноним (3), 24-Сен-24, 15:42

А ты знаешь, но нам не расскажешь.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Вася Пупкин (?), 24-Сен-24, 14:12

у с++ по твоему тоже гц если по выходу из скоупа деструктор сам вызывается?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

34. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 14:17

Это область видимости.

Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором +1 +/–

Сообщение от Аноним (-), 24-Сен-24, 18:29

"Вы не понимаете, это другое" теперь добралось и до IT.

Ответить | Правка | Наверх | Cообщить модератору

68. Скрыто модератором +/–

Сообщение от Аноним (-), 24-Сен-24, 18:31

Место проклятое (C)

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (70), 24-Сен-24, 18:34

>Только первый язык стыдливо отрицает наличие gc.
Аноним выше некомпетентен. Разница между моделью rust, где осовобождение памяти основано на синтаксической области видимости, языком только на счётчике ссылок и полноценным сборщиком мусора - огромна.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

73. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (73), 24-Сен-24, 18:53

Не так уж и огромна. Разница в том, где основные накладные расходы: во время компиляции или во время использования.
То, что там есть разница во внутреннем устройстве – да есть.
Но внешне это разные виды автоматического управления памятью.

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (70), 24-Сен-24, 19:17

Это различие и порождает разницу в расходах. Почему вы смешиваете разные технологии в одну кучу?

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (95), 25-Сен-24, 15:15

Кто смешивает? Утверждается, что автомобиль ездит, что бензиновый, что дизель.

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (70), 25-Сен-24, 17:14

Плохая аналогия подобна котёнку с дверцей

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +3 +/–

Сообщение от Анонимъ (?), 25-Сен-24, 10:07

В rust приходится порой обходить ограничения borrowchecker, так как он мешает. И одним из способов является... arc! Та-дам, счётчик ссылок в rust, да.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

93. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Анонимъ (?), 25-Сен-24, 10:08

Более того, это в базе: std::sync::Arc.

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (70), 25-Сен-24, 17:13

Вы понимаете разницу - всё управление памятью через счётчик ссылок или счётчик ссылок лишь иногда, по потребности? Так то и gc можно использовать, но это не означает, что любой код - это arc или gc.

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

14. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (14), 24-Сен-24, 12:20

> Проблема проявляется в ветке Nix 2.24 и устранена в выпуске 2.24.6.
К счастью в NixOS до сих пор 2.18 даже в unstable

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (3), 24-Сен-24, 12:34

Для отдельной установки nix использовалась уязвимая версия.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Ося Бендер (?), 24-Сен-24, 12:37

Да, уж. Сливай воду это называется. Ждем-с 30 сентября, и быстро собирать бот-сетку, пока мамкины админы будут обновляться...

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 24-Сен-24, 14:36

> выявлении критической уязвимости, затрагивающей дистрибутивы GNU/Linux
> и позволяющей удалённо без прохождения аутентификации добиться выполнения кода в системе
Что это за почтальон Печкин? У меня есть вулн, но вам его не покажу! Но он стращный, это 10 из 10! Зато наезды на майнтайнеров, разработчиков и проч. Отличный подход к репортам CVE.
На мой вкус: вывалить репорт/poc в рассыль интересантам, сказать что через N дней это станет в паблик, do whatever f.... you want, и - если обработаете это хреново, то в репорте это будет упомянуто! Такой "жесткий" протокол взаимодействия некоторым - таки - понятнее.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (7), 24-Сен-24, 14:49

Никс используют военные. Поэтому все сложно.  Возможно тут защищают эксплуатанта уязвимости а не пользователей.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от 1 (??), 24-Сен-24, 14:57

Ну анонс-то про весь гнутый линyпс (а м.б. и даже про бздю). Так что если и эксплуатанта защищают, то глобального.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 26-Сен-24, 17:36

Это связано с тем, что вы не владеете английским языком и не можете прочитать первоисточник. Этот неаутентифицированный RCE, затрагивающий все системы GNU/Linux и другие, был раскрыт разработчикам уязвимого программного обеспечения (glibc, Linux kernel, OpenSSH или что-то другое) три недели назад.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

107. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (107), 26-Сен-24, 23:04

Ключевая фраза в опусе того открывателя уязвимостей "And YES: I LOVE hyping the sh1t out of this stuff because apparently sensationalism is the only language that forces these people to fix."
Наиболее вероятно, что уязвимость пшик и опасность надумана, если вначале её даже исправлять не спешили.

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (108), 27-Сен-24, 00:22

Почему разработчики не опубликовали это три недели назад, а вместо этого согласовали с нашедшим отсрочку полного раскрытия? Давайте обсудим это менее чем через две недели.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от mos87 (ok), 24-Сен-24, 15:13

>в формате NAR
ну насчёт никсосников никто и не сомневался

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 26-Сен-24, 17:51

Почему никто? Я хотел перейти на NixOS, но всё-таки (из-за невозможности установки без Интернета) выбрал Ubuntu.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+8 +/–
Сообщение от Аноним (3), 24-Сен-24, 10:36
Помнится прошлую уязвимость nix исправляли очень медленно, поэтому в этот раз тот же человек опубликовал информацию об уязвимости после пару недель с неё находки. До исправления разрабами nixos. А ещё разраб ушёл в отпуск в этот момент, когда его предупредили непублично. И не было передачи задачи. В общем, проект сомнительный, отношение к безопасности халатное. Про это на hacker news писали и lobsters.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (11), 24-Сен-24, 12:03
	Эти понапишут что угодно, если СОС не достаточно длинный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	–2 +/–
	Сообщение от Аноним (-), 24-Сен-24, 13:10
	> Эти понапишут что угодно, если СОС не достаточно длинный. А по факту? Если они тянули с исправлениями - что легко проверяется по дате патча - то хоть с длинным СОСом, хоть с коротким отношение к безопасности у них отвратительное. ps почему у многих анонов какой-то странный фетишь на СОСʼи? в ядре он есть, а бзде тоже, в куче успешных проектов. Но надо сразу выстрать свое мнение прилепливая теплое к мягкому
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от 1 (??), 24-Сен-24, 15:04
	> ps почему у многих анонов какой-то странный фетишь на СОСʼи? Да потому что, в основном, "весь пар уходит в свисток". Напишут СоС и проект закрыт. Это ж как с языком, который нельзя называть, может язык и неплохой и концепции в нём передовые, но сообщество отвратительное.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от Аноним (-), 24-Сен-24, 15:50
	> Да потому что, в основном, "весь пар уходит в свисток". Что правда? > Это ж как с языком, который нельзя называть Ты бы еще сказал "на нем ничего не написано!") А потом бы отгребал списки из утилит, вейланд композиторов, миллионов строк в андроиде. > но сообщество отвратительное. Сообщество, которое не боится назвать овнокод - овнокодом? Или которое на заглядывает в штаны, а просит показать код. Не удивительно что это самый любимый ЯП на стековерфлоу, и что его так ненавидят у нас.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от 1 (??), 24-Сен-24, 16:01
	>> Это ж как с языком, который нельзя называть > Ты бы еще сказал "на нем ничего не написано!") Вот ты прям образчик этого гнилого сообщества - выдаёшь свои мысли за мои. На тебе пруф - https://www.opennet.ru/opennews/art.shtml?num=58969 даже процитирую - =============== Имя Rust разрешено использовать в заголовках статей, книг и обучающих материалов, при явном указании, что проект Rust и организация Rust Foundation не вовлечены в создание и рецензирование содержимого. Использование имени и логотипа Rust запрещено в качестве средств персонализации в корпоративных социальных сетях. ===============
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Аноним (-), 24-Сен-24, 17:33
	Что ж у тебя так горит? Вот тебе правил использования трейдмарков Линукса linuxfoundation.org/legal/trademark-usage > Использование имени и логотипа Rust запрещено в качестве средств персонализации в корпоративных социальных сетях. A trademark should not be used as your domain name or as part of your domain name. A trademark should not be used as part of your product name. A trademark should not be incorporated into your company’s logos or designs. Do not use logos or names of The Linux Foundation in any commercial or marketing context other than as expressly permitted in this policy unless you have obtained explicit written permission from The Linux Foundation to do so.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от 1 (??), 24-Сен-24, 23:35
	Ты эта ... Имя в корпоративных социальных сетях, от доменного имени в интернетах отличаешь ? Или от имени продукта ? Или от лого компании ? Вот уж точно - в Киеве дядька, а в голове бузина.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	95. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (95), 25-Сен-24, 14:41
	>сравнивает теплое с мягким Смешалось все в доме Оболонских.
	Ответить \| Правка \| К родителю #66 \| Наверх \| Cообщить модератору


	104. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (-), 26-Сен-24, 14:26
	А по статистике Repology у nixpkgs stable 24.05 самый маленький процент потенциально уязвимых пакетов среди дистрибутивов.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

4. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+3 +/–
Сообщение от Аноним (4), 24-Сен-24, 11:16
Сначала запиливают свои кривучии телеметрии, потом ноут "а чавой вы выключаити, вот у вас поэтому на линоксе три процента".
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от 1 (??), 24-Сен-24, 11:21
Вот она - полезность телеметрии !!! Можно простому юзверю повысить привилегии в системе.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Аноним (7), 24-Сен-24, 11:44
	На ведь это случайность. А злодей это Jia Tan.
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от 1 (??), 24-Сен-24, 11:37
> Дополнительно можно упомянуть публикацию[https://x.com/evilsocket/status/1838169889330135132] предупреждения о выявлении критической уязвимости, затрагивающей дистрибутивы GNU/Linux Чёт Илон Маск мне говорит, что "Такой страницы не существует" !!!!1111адынадынадын. Фейк ? 296
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (7), 24-Сен-24, 11:51
	Все просто он хочет от тебя что-то скрыть. Чем ты ему так насолил?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от penetrator (?), 24-Сен-24, 12:54
	может уже удалили * Unauthenticated RCE vs all GNU/Linux systems (plus others) disclosed 3 weeks ago. * Full disclosure happening in less than 2 weeks (as agreed with devs). * Still no CVE assigned (there should be at least 3, possibly 4, ideally 6). * Still no working fix. * Canonical, RedHat and others have confirmed the severity, a 9.9, check screenshot. * Devs are still arguing about whether or not some of the issues have a security impact. I've spent the last 3 weeks of my sabbatical working full time on this research, reporting, coordination and so on with the sole purpose of helping and pretty much only got patronized because the devs just can't accept that their code is crap - responsible disclosure: no more.Image The writeup is gonna be fun, not just for the technical details of it, not just because this RCE was there for more than a decade, but as a freaking example on how NOT to handle disclosures. Like, I write software, I get it, I get how someone can be defensive about the stuff they write, I really do. But holy sh, if your software has been running on everything for the last 20 years, you have a freaking responsibility to own and fix your bugs instead of using your energies to explain to the poor bastard that reported them how wrong he is, even tho he's literally giving you PoC after PoC and systematically proving your assumptions about your own software wrong at every comment. This is just insane. Just wanted to add for the sake of clarity, that i have so much respect for the people at Canonical that have been trying to help & mediate from the beginning, I really don't know how they manage to keep their cool like this. This is going to be the writeup opening statement. It's an actual comment from the github conversation. I mean, it's not wrong ... Image And YES: I LOVE hyping the sh1t out of this stuff because apparently sensationalism is the only language that forces these people to fix.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	23. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (-), 24-Сен-24, 13:02
	> devs just can't accept that their code is crap Ha-ha. Classic. Это еще фиксы до мейнтейнеров не дошли. Потом окажется - один занят, один в отпуске, еще один в запое. А юзеры подождать могут. Хотя... если им не платят, то они ничего и не должны.
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от Аноним (-), 24-Сен-24, 11:48
> C 53.3% > приводит к обращению к памяти вне буфера при отправке специально оформленных данных Не то чтобы я был сильно удивлен)
Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	–1 +/–
Сообщение от НяшМяш (ok), 24-Сен-24, 11:56
> nix > C++ 75.7% ясно
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (3), 24-Сен-24, 12:06
	Да, лучше бы rust использовали с автоматическим сборщиком мусора. Или nim с arc. Разницы между этими gc практически нет. Только первый язык стыдливо отрицает наличие gc.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от мяв (?), 24-Сен-24, 12:15
	можно про последнее заявление поподробней?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+2 +/–
	Сообщение от Аноним (3), 24-Сен-24, 12:33
	> Подход Rust к управлению памятью основан на следующем принципе: компилятор Rust должен знать точные места в коде, где выделена память, где и как к ней осуществляется доступ, а где она больше не нужна. Эти знания позволяют контролировать доступ к памяти и автоматически освобождать выделенную память, вставляя соответствующие инструкции непосредственно в сгенерированный код, таким образом избегая многих распространенных ошибок, которым могут быть подвержены другие языки. Примерно то же самое делает swift и nim. Возможно, ещё haskell.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (-), 24-Сен-24, 12:57
	> Примерно то же самое делает swift и nim. Эм... в swift используется подсчет ссылок (ARC) и оно происходит в рантайме. В расте подсчета ссылок нет (кроме типов вроде Rc<T> и Arc<T>) и делается это в компайлтайм. Как оно в nim и haskell точно не знаю, в haskell вроде полноценный garbage collector.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (3), 24-Сен-24, 12:58
	> Как оно в nim В nim arc/orc в компайлтайме.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от Аноним (47), 24-Сен-24, 15:39
	>> Как оно в nim > В nim arc/orc в компайлтайме. А там об этом в курсе? https://nim-lang.org/blog/2020/10/15/introduction-to-arc-orc...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от Аноним (-), 24-Сен-24, 15:52
	Конечно нет. И вообще, сравнивать каких-то разработчиков Nim с целым Анонимом 3 не правильно. Всем понятно, что он гораздо кекспертнее. И прямо сейчас откроет глаза сомневающимся!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	–2 +/–
	Сообщение от Аноним (3), 24-Сен-24, 16:08
	Ну если вы не разбираетесь, не пишите. Arc/orc работает при компиляции. Это позволяет даже писать код под микроконтроллеры без напряга.
	Ответить \| Правка \| К родителю #47 \| Наверх \| Cообщить модератору


	60. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Аноним (47), 24-Сен-24, 16:21
	>> At its core ARC is a memory management model based on Automatic Reference Counting with destructors and move semantics. Some people mistake Nim’s ARC for Swift’s ARC, but there is one big difference: ARC in Nim doesn’t use atomic RC. >> ORC is Nim’s all-new cycle collector based on ARC. It can be considered a full-blown GC since it includes a local tracing phase > Ну если вы не разбираетесь, не пишите. Arc/orc работает при компиляции. Это > позволяет даже писать код под микроконтроллеры без напряга. В общем, ты не осилил ни тему, ни аглицкий ...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (70), 24-Сен-24, 18:37
	>Arc/orc работает при компиляции. Это позволяет даже писать код под микроконтроллеры без напряга. Нет. При компиляции работа с памятью происходи в rust, там уже в момент компиляции вставляется осовобождение памяти. В случае счётчика ссылок, во время компиляции будет только меняться счётчик ссылок, а вот само освобождение будет происходить в рантайме. Даже, если код прямолинеен.
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору


	96. "Уязвимости в PCP и Nix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (95), 25-Сен-24, 14:55
	Его утверждение было верным, хотя механизмы несколько отличаются. >При компиляции работа с памятью происходи в rust, там уже в момент компиляции вставляется осовобождение памяти. При компиляции никакой работы с памятью не происходит потому что она происходит только при исполнении. Компилятор только вставляет инструкции освобождения памяти где это нужно. Nim делает то же самое, только со счетчиком, Swift тоже. Цитата: >the Nim compiler has wrapped the body of the main proc in a try: finally statement >В случае счётчика ссылок, во время компиляции будет только меняться счётчик ссылок При компиляции никакой счетчик ссылок не меняется! Опять путаешь компиляцию с исполнением программы.
	Ответить \| Правка \| Наверх \| Cообщить модератору