| 1.2, Аноним (2), 14:07, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –16 +/– | |
> например, при подключении вредоносного USB Flash
если в системе возможно что кто угодно может подключать и тем более монтировать внешние USB устройства то тут априори плевать на уязвимости - стоило из этой ерунды новость делать ? Фря многие годы падала от USB.
| | |
| |
| 2.3, Аноним (3), 14:10, 25/08/2023 [^] [^^] [^^^] [ответить]
| +10 +/– |
За пределами сервера тоже есть жизнь. В которой люди втыкают флешки в ноутбук, например.
| | |
| |
| 3.29, Аноним (2), 15:33, 25/08/2023 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> За пределами сервера тоже есть жизнь. В которой люди втыкают флешки в ноутбук, например.
боишься получить права админа на своём ноутбуке? если твой секретный ноутбук попадёт в чужие руки считай секретов больше нет и без вредных флешек.
| | |
| |
| 4.38, пох. (?), 16:04, 25/08/2023 [^] [^^] [^^^] [ответить]
| +4 +/– | |
это зависит от того, где в это время *твои* руки. Если улетели другим самолетом вместе с задницей и прочими важными частями, а ноут просто сп-ли пока ты в сортир бегал - то без вредных флэшек и с шифрованной фс желаю всяческих узбеков.
А с флешкой неожиданно все твои данные - не твои.
А вот если твои ручки слегка прижаты дверью в кабинет товарищмайора - то, конечно, секретов больше нет - даже если ты ноутбук успел съесть, или у тебя вообще его никогда не было.
| | |
| |
| 5.41, Аноним (2), 16:17, 25/08/2023 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> без вредных флэшек и с шифрованной фс желаю всяческих узбеков
зашифровал фс на секретном ноутбуке а возможность внешние устройства подключать оставил для бэкдоров, какой хитрый секретчик!
| | |
| |
| 6.72, пох. (?), 19:38, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
он не секретный а мой личный, и это не повод кому-то быстроногому воровать оттуда содержимое, даже если он сумел спереть сам ноут.
А внешние устройства, внезапно, мне надо подключать. И большинство из них сегодня - exfat.
| | |
| |
| 7.85, Аноним (2), 21:03, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> А внешние устройства, внезапно, мне надо подключать.
внезапно можно ограничить доступ к USB портам чтобы только ты мог подключать что-то, может у тебя и вход без пароля с шифрованным диском ухахаха
> И большинство из них сегодня - exfat.
и ты делаешь имена больше 255 символов чтобы жизнь мёдом не казалась? Ну и масленица, даже для заманухи в названии порно сложно придумать такие.
| | |
| |
| 8.91, пох. (?), 22:30, 25/08/2023 [^] [^^] [^^^] [ответить] | –3 +/– | лол Можно, очень теоретически, и переписав пол современного линoopsа А на пра... текст свёрнут, показать | | |
| |
| 9.95, Аноним (2), 23:11, 25/08/2023 [^] [^^] [^^^] [ответить] | +/– | заблэклисти модуль для своего контроллера USB или usb-storage и его никто не зап... текст свёрнут, показать | | |
| |
| 10.97, пох. (?), 23:26, 25/08/2023 [^] [^^] [^^^] [ответить] | +1 +/– | Тогда и я тоже не запущу И зачем мне такое щастье, мне вон краденую базу юзеров... текст свёрнут, показать | | |
|
|
|
| 7.117, Аноним (119), 04:51, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
>> приводит к переполнению стека ядра
> не повод кому-то быстроногому воровать оттуда содержимое
А почему у тебя стек ядра должен быть исполняемым?
| | |
| |
| 8.149, пох. (?), 00:50, 27/08/2023 [^] [^^] [^^^] [ответить] | +/– | потому что так придумал Фон Нейман, а попытки героически победить универсальност... текст свёрнут, показать | | |
| |
| 9.157, Аноним (156), 07:08, 27/08/2023 [^] [^^] [^^^] [ответить] | +/– | В чем глобальный факап с атрибутами памяти MMU И да, это работает Просто не вс... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.76, verh010m (ok), 19:44, 25/08/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
 ты хочешь сказать что они втыкают флешку в ноут и она сразу доступна? То есть никто не ставит usbguard и ему подобные? Серьезно? Есть такие люди?
| | |
| 3.173, Neon (??), 09:15, 28/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Подключили комп к интернету - считайте, что ваших данных уже нет.))) Сель ави.
| | |
|
| |
| 3.60, Аноним (60), 19:09, 25/08/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
 >> Фря многие годы падала от USB.
> Звучит... академично.
Звучит, как тот анекдот "Не Мерседес, а велосипед, не в лоторею, а в карты ...". Тем более, рута тем способом было не получить.
Но это ж опеннет - "мы все так говорим (и прилежно повторяем), а значит это правда!"(с)
| | |
|
| 2.6, Аноним (6), 14:22, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> кто угодно может подключать и тем более монтировать внешние USB устройства
Ну это вы, может быть, у себя в системе «кто угодно», а я один тут, нет больше никого.
| | |
| |
| 3.23, Аноним (2), 15:22, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> может быть, у себя в системе «кто угодно», а я один тут, нет больше никого
ты что дикарь ломающий сам себя? при установке же тебе дают полный доступ к системе.
| | |
|
| |
| |
| |
| |
| |
| 7.105, Минона (ok), 00:05, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
 >> http
>> сайт небезопасен
>> 502 Bad Gateway
> Чего и следовало ожидать
УМВР
| | |
|
|
|
|
|
| |
| 3.180, пох. (?), 22:40, 30/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ну да, ну да - гораздо удобнее ведь не уметь читать exfat вообще.
Нет флэшек, нет проблемы.
Ах, да... есть еще вот такое вот: /usr/ports/sysutils/fusefs-lkl
Что это, Бэримор? А это порт линуксного ведра в юзерспейс. sic! Через Fuse умеющий читать почти любые фс которые вообще умеет линукс. Наверное и exfat тоже можно. И внезапно баг из ведра линукс превращается в баг во фре.
| | |
|
| 2.120, Онанниммм1 (?), 08:09, 26/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
фря обычно падала если выдернуть не отмонтировав флешку и правильно - нефиг дергать
Линукс с ядрами 2.2 вроде также себя с дискетами вел
| | |
| |
| 3.162, Аноним (6), 07:34, 27/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> и правильно - нефиг дергать
Так себе решение. Лучше 220 В подвести к стулу.
| | |
|
|
| 1.5, pincher2012 (ok), 14:20, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > но при запуске в обычном окружении, работающим поверх оборудования, вероятность срабатывания снижается до примерно 50%
Получается, что в некоторых случаях придется несколько раз флешку передернуть?
| | |
| |
| |
| 3.65, Аноним (-), 19:25, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> @ Рассказ про флешку которая сжигала usb порты @
Не такой уж это и рассказ, "usb killer" вполне реальный проект - даже со схемой и всем таким. Вместо флеша содержит банк конденсаторов, который заряжает до сотни вольт и спускает в линии D+/D- юсбхи. От чего в вашем чипсете может образоваться небольшая дырочка. Так что втыкать найденные флешки куда попало, не проверив что сие - чревато сюрпризами. Как одна из причин эта штука появилась для обучения "несунов" которые "заимствуют" забытые коллегами флешки хорошим манерам. Весьма дорогостоящим для адресата способом.
| | |
| |
| 4.163, Аноним (6), 07:36, 27/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Помню хайп вокруг этого usb killera. Удивило, насколько многих поразила сама возможность физического повреждения порта. Дети познают мир, блин.
| | |
|
| 3.176, voiceofreason (?), 12:56, 29/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Под AMD FX были дешёвые материнки с буквально одноразовыми USB портами. Вставляешь обычную флешку, поработал, достал - порт мёртвый. И так пока у кролика совсем всё не закончится, ну или отдельную плату USB поставить. Сами эти "убивающие" флешки и до, и после работали везде без проблем.
| | |
| |
| 4.184, Аноним (-), 14:09, 31/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Под AMD FX были дешёвые материнки с буквально одноразовыми USB портами. Вставляешь
> обычную флешку, поработал, достал - порт мёртвый. И так пока у
> кролика совсем всё не закончится,
У интела лучше было - защиту от статики на порты в очередном интелском чипсете почему-то не сделали вообще, а внешнюю ставить она денег стоит, производители мамок зажались. В лучшем случае выгорал порт. А если не повезло то в чипсете от разряда статики образовывалась дырочка и мамка превращалась в тыкву целиком.
Где-то рядом и факап с подключением начинки SATA не на тот вольтаж. Как живой но через некоторое время транзисторы склеивали ласты от локального перегрева и порт работать переставал к бурной радости владельца этой штуки.
| | |
| 4.195, Аноним (-), 13:10, 03/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ващето АМД это святая корпорацыя и делает все для народа!!!
Вот послушай лучше историю как однажды в Интел молния попала...
| | |
|
|
| 2.21, Дет (?), 15:11, 25/08/2023 [^] [^^] [^^^] [ответить]
| –4 +/– |
А я флешку не могу передёрнуть, она у меня на ps/2, так как на линукс более-менее приличная поддержка только этого разьёма и ЦП не встаёт дыбом при перемещении той же мышки на USB.
| | |
|
| 1.7, iv (ok), 14:24, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 > Проблема пока устранена в экспериментальном выпуске ядра Linux 6.5-rc5.
В stable ядрах это исправлено пару выпусков назад (v6.4.10, v6.1.45 и т.д.).
| | |
| |
| 2.46, Аноним (46), 17:08, 25/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Скоро они начнуть ныть что это не "неправильные сишники" и "студентота со школьниками набижала заместо Настоящих Погромистов", а вредители-растоманы внедряются в компании под видом си-разработчиков и специально устраивают диверсии, дискредитируют Божественный Язык всеми этими намеренными выходами за пределы буфера и т.п.
| | |
| |
| 3.121, Аноним (121), 08:54, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Так кто мешает в Си внедрить FAT Pointer и Slices с проверками?
Писал как-то в коммитет с вопросом относительно замыканий и деферов
так там такое засилье нытья началось что мол язык устоялся ничего менят не нужно
| | |
| |
| 4.158, Аноним (-), 07:11, 27/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Так кто мешает в Си внедрить FAT Pointer и Slices с проверками?
> Писал как-то в коммитет с вопросом относительно замыканий и деферов
> так там такое засилье нытья началось что мол язык устоялся ничего менят
> не нужно
В сабже оно нафиг не надо - там свои фоновые воркеры есть и всякие дефернутые операции. Лучше б написал на тему нормальной работы с struct'ами, культурными типами данных и - аннулировать UB, задефайнив поведение. Особенно для signed int vs математическое переполнение.
| | |
|
|
|
| |
| |
| 3.63, Аноним (-), 19:20, 25/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
А зачем анлокать? Просто сделал kexec() на правильное ядро и наслаждайся себе. Вон мотороллеры так и сидят с залоченым бутлоадером, kexec'ая на развинченое новое ядро. Вынесли древний ведроид, поставили maemo leste или что там им нравится - и оно себе пашет.
| | |
| |
| 4.67, Аноним (48), 19:26, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
ну те нормальный лок на новых аппаратах ты не видел, да...
а с одноразовыми рутами я уже наигрался на своем Гоме К1, спасибо.
| | |
| |
| 5.159, Аноним (-), 07:18, 27/08/2023 [^] [^^] [^^^] [ответить] | +/– | Ну как бы если kexec прокатил то этому локу будет скорее всего амба, как обычно ... большой текст свёрнут, показать | | |
| |
| 6.177, voiceofreason (?), 12:59, 29/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Где прямо сейчас можно за наличку купить а) не древность, б) с обновлениями, в) без "куска бэкдора"?
| | |
| |
| 7.185, Аноним (-), 14:13, 31/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Где прямо сейчас можно за наличку купить а) не древность, б) с
> обновлениями, в) без "куска бэкдора"?
Как по мне вам стоило бы губозакатывательную машинку купить. Но можно вместо нее и ошейник с GPS и встроенной взрывчаткой, очень удобно для удержания всяких к@злов в оговоренном периметре. Всего лишь шпион-бэкдор недостаточно хардкорно я считаю, даешь активную исполниловку! Дада, и обновление фирмвари OTA - на случай если надо перегнать в новый лагерь, у которого координаты выпаса другие.
| | |
|
|
|
|
|
|
| 1.11, Аноним (11), 14:35, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Интересный тут список дистров со ссылками на страницы с исправлением. А как же остальные? Mageia Linux где например. Или список составляется в зависимости от предпочтений автора новости в том, что он считает мейнстримом?
| | |
| 1.14, Царь бог лучший князь (?), 14:45, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Да ну что же это такое?! Опять диды размер буфера не проверяют, мол, авось пронесет. А ведь нужно было просто внимательно писать код, без уязвимостей.
| | |
| 1.15, Шарп (ok), 14:45, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 >Отсутствие проверки размера при копировании имени файла в буфер
Типикал сишка, в которой выделение буфера и копирование в него происходит раздельно и вручную. Никаких гарантий, что размеры совпадут нет, всё держится на внимательности программиста. А всё почему? Потому что до сих пор используют язык из 70-х. Позор.
| | |
| |
| 2.20, Аноним (20), 15:11, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
То ли дело в расте — буфер выделить самостоятельно нельзя, копировать можно только обмазавшить unsafe (который делает растишку на порядок небезопаснее си), а потом ещё и надеяться надо что сборщик мусора не забудет память освободить. Уж лучше один CVE в год в никому не нужной функциональности, чем ржавчина в драйверах
| | |
| |
| 3.28, Константин (??), 15:31, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Только не раз в год. Тут буквально каждую неделю очередная уязвимость из-за сишечки.
| | |
| |
| |
| 5.35, пох. (?), 15:59, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
В драйвере мигания светодиодиком же ж! Накоси-выкуси, нет там у...ой... а он наполовину только переписаный, остальное сишное - ниасилили. Так что все может быть, вообще всьо.
| | |
| 5.44, Аноним (46), 17:01, 25/08/2023 [^] [^^] [^^^] [ответить] | +1 +/– | Звиздуны они такие звиздуны Обычно дремучие невежды, не желающие вылезать за пр... большой текст свёрнут, показать | | |
| |
| 6.129, Аноним (129), 12:24, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Растаманы такие растаманы. Сколько там unsafe подсчитали? И это сколько системного кода, на которых ОС пишут на расте.
| | |
| |
| 7.147, Анонин (?), 23:30, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
А зачем считать unsafe? Лучше посчитать сколько строк кода стало safe!
| | |
|
|
|
|
| 3.43, Ананимус (?), 16:25, 25/08/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> То ли дело в расте — буфер выделить самостоятельно нельзя, копировать можно только обмазавшить unsafe (который делает растишку на порядок небезопаснее си)
Выделил:
let a = vec!["foo", "bar"];
Скопировал:
let b = a.clone();
Что я делаю не так? :D
| | |
| |
| 4.51, Иван Петроу (?), 17:34, 25/08/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Это неправильное копирование, проприетарное! Вот раньше матерые сишники копировали как надо, правильно, не то что сейчас. Раньше компилятор видел код и понимал, код написан матёрым сишником, флаг у себя ставил, matyoriy_sishnik = 1, программа компилировалась очень быстрой, памяти потребляла 2 килобайта, а бинарь на жёстком диске весил отрицательное количество байт, места становилось больше.
| | |
| |
| 5.70, Аноним (-), 19:33, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Это неправильное копирование, проприетарное! Вот раньше матерые сишники копировали как
> надо, правильно, не то что сейчас.
А оно что, как соседний макрос, только в бинарниках работает? И это вообще катит в линухе то, в кернеле?
А что до отрицательного количества байтов, китайцы почти воспроизвели эту древнюю магию, когда 2-гиговой флешке прописывается терабайт свободного места. Первые 2 гига она даже нормально хранит потом, а потом либо шах, либо ишак... :)))
| | |
|
| 4.73, пох. (?), 19:43, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Выделил:
> let a = vec!["foo", "bar"];
молодец, скоро в первый класс возьмут.
> Что я делаю не так? :D
не понимаешь что в основном мы работаем с данными из _внешних_ источников, и никакого заранее определенного foo там нет, и сколько и чего ты сейчас прочитаешь - ты узнаешь только прочитав, причем с нескольких попыток.
Судя по уровню твоего непонимания - дальше первоклассника ты действительно не продвинулся - зато замысловатый синтаксис, смотри-ка, зазубрил.
| | |
| |
| 5.88, Ананимус (?), 22:01, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Иии..? Тебе рассказать как Vec::reserve() и Vec::push() работают или ты сам сможешь прочитать документацию?
| | |
| |
| 6.94, пох. (?), 23:08, 25/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
написал-стер. не надо мне рассказывать твои уроки, первоклашка.
Я бы мог, конечно, спросить тебя причем бы тут реальная задача и описать ее в деталях (хотя претендующий на сокровенное знание должен сам уметь) но там слова "стек", "фиксированный буфер", "время жизни" и прочие непонятные тебе материи. Продолжай копировать векторы, у тебя хорошо получается и тебя точно возьмут в модный современный около-финтех. А в системном программировании вреда от таких никакого потому что они ничего и не смыслят в нем. Только драйвер моргания лампочкой переписали, но почему-то не весь.
| | |
| |
| 7.96, Ананимус (?), 23:22, 25/08/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Я бы мог, конечно, спросить тебя причем бы тут реальная задача и описать ее в деталях (хотя претендующий на сокровенное знание должен сам уметь) но там слова "стек", "фиксированный буфер", "время жизни" и прочие непонятные тебе материи
Ты определись уже, ты хочешь фиксированный буфер или память выделять :D
| | |
|
|
|
|
| 3.47, Анонимусс (?), 17:08, 25/08/2023 [^] [^^] [^^^] [ответить]
| –3 +/– |
Один?? Ахаха!
В сишке очередная дырень по памяти каждые две-три недели!
Причем хорошо если одна))
| | |
| |
| 4.172, C00l_ni66a (ok), 03:50, 28/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ты сам, главное, как из пещеры выберешься - попробуй узнать, каков штат сотрудников у гугла. С такими ресурсами они могут бищапащный код хоть на ассемблере ваять.
| | |
|
| 3.182, Sem (??), 08:37, 31/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
С чего это unsafe делает раст на порядок небезопаснее си? Си он прям весь unsafe с начала и до конца.
| | |
|
| 2.68, Аноним (-), 19:27, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Типикал сишка, в которой выделение буфера и копирование в него происходит раздельно
> и вручную. Никаких гарантий, что размеры совпадут нет, всё держится на
> внимательности программиста. А всё почему? Потому что до сих пор используют
> язык из 70-х. Позор.
В данном случае позор - то что кнутователи из самса на 1 несчастного кодера навесили 3 проекта в который так то на каждую из галер по десятку гребцов надо. Ну он и гребет как умеет на три галеры. Так и ариан на аде - разложится о небесную твердь, чудес не бывает. ЯП не спасет от откровенно перегруженного проектами кодера, на которого впихали 2 файлухи и ядерный SMB сервер.
| | |
| |
| 3.75, пох. (?), 19:44, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> В данном случае позор - то что кнутователи из самса на 1
> несчастного кодера навесили 3 проекта в который так то на каждую
А кнутователя выделили только одного. Надо кнутовать втрое сильнее - тогда он точно будет все делать быстрее и лучше!
| | |
| |
| 4.113, Аноним (-), 04:14, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> А кнутователя выделили только одного. Надо кнутовать втрое сильнее - тогда он
> точно будет все делать быстрее и лучше!
Да, еще пару файлух ему. Erofs там какой или что там модно. И вон там господа упиравшиеся с lockdown всяким обнаружат что за@$ный галерщик все их потуги аннулировал и телефоны как рутовали так и рутуют :)
| | |
|
|
| 2.77, verh010m (ok), 19:47, 25/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
вот когда твой ржавый "язык" позволит реагировать на подобное:
*((char*)0)=5051
тогда и раскрывай рот на сишку. Я ржавого не знаю конечно и знать не хочу, но ответ предвижу
| | |
| |
| 3.83, Анонимусс (?), 20:40, 25/08/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
И как ты предлагаешь на это реагировать? Писать "убейся об стену, г0внок0дер" и форматировать диск?
Вообще почему раст должен реагировать на дыряшку?
| | |
| |
| 4.192, verh010m (ok), 09:04, 02/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
а что ж вы тогда ансейф кодом обмазываетесь? А реагировать надо бы каким-нибудь каллбеком на эту ситуацию... Сишка такого не умеет, но она и не претендовала на понты самого безопасного "языка". нет разве?
| | |
|
| |
| 4.101, Ананимус (?), 23:47, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
>> *((char*)0)=5051
> Что это? Шизофрения сишного кодера?
Это каст нулевого указателя к char и запись в этот char int, который в этот char не влезет. Разве не прекрасно? :D
| | |
| |
| 5.109, Аноним (92), 00:40, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Та я понимаю, что этот код делает. Но всерьез писать такую дичь, да еще и преподносить ее как преимущество языка - это надо быть вообще не в себе.
| | |
| |
| 6.110, Ананимус (?), 00:49, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Та я понимаю, что этот код делает. Но всерьез писать такую дичь,
> да еще и преподносить ее как преимущество языка - это надо
> быть вообще не в себе.
Это эмбеддщик. Они так делают. Есть нормальные, которые понимают что это не то чтобы хорошо, но необходимость, а есть шизанутые, которые потом все программирование воспринимают через призму пердолева с магическими числами и тайпкастами.
| | |
| |
| 7.114, Аноним (-), 04:17, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Это эмбеддщик. Они так делают. Есть нормальные, которые понимают что это не
> то чтобы хорошо, но необходимость, а есть шизанутые, которые потом все
> программирование воспринимают через призму пердолева с магическими числами и тайпкастами.
Если вы нашли такой код в эмбедовке - господина нехорошего точно уволить надо и чем быстрее тем лучше. Потому что ни 1 статический анализатор и ревью в нормальных местах такие выражоыввания не пройдут. Это я вам как адепт AntiBug в сях и любитель фирмвари кодить говорю.
| | |
| |
| 8.130, Аноним (129), 12:38, 26/08/2023 [^] [^^] [^^^] [ответить] | +/– | Прикинь в системных программах таки бывает надо писать по нулевому указателю и э... текст свёрнут, показать | | |
| |
| 9.164, Аноним (-), 07:42, 27/08/2023 [^] [^^] [^^^] [ответить] | +/– | Специально для таких системщиков фирма ARM прямо на уровень железа жестко вхардк... большой текст свёрнут, показать | | |
| |
| |
| 11.187, Аноним (-), 15:40, 31/08/2023 [^] [^^] [^^^] [ответить] | +/– | Я программирую микроконтроллеры и поэтому догадываюсь как это делается И почему... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 3.102, Ананимус (?), 23:56, 25/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
> вот когда твой ржавый "язык" позволит реагировать на подобное:
> *((char*)0)=5051
> тогда и раскрывай рот на сишку. Я ржавого не знаю конечно и
> знать не хочу, но ответ предвижу
Ну вот твой ответ:
use core::ffi::c_char;
fn main() {
unsafe {
*(0 as *mut c_char) = -69 as c_char;
}
}
Теперь можем рот раскрывать?
| | |
|
|
| 1.17, crypt (ok), 14:54, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Интересно, этот баг существует со дня создания? А помните утекшие эксплойты NSA? В 2008 год, получение привилегий через флешку на Windows.
oh wai~! 2020! The New Microsoft exFAT File-System Driver Has Landed In Linux 5.7
p.s.
ссылка для пользователей лора, если кто из вас не в курсе про запрещенный лоровский клуб https://linuxtalks.co/news/kernel/116805?cid=116807
| | |
| |
| 2.69, Аноним (-), 19:31, 25/08/2023 [^] [^^] [^^^] [ответить] | +1 +/– | Jeon тогда еще ничего не кодил А его качество кода объясняется тем что он _три_... большой текст свёрнут, показать | | |
| 2.122, soarin (ok), 09:01, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
 А немного подумать не получается?
Реализацию драйвера exFAT для линуксов писал Samsung.
К тому что в Windows это не имеет отношения. Microsoft свой код не даст, да и ядро вообще другое – и не получилось бы.
А так эка невидаль, не проверили длину буфера. Никогда такого не было.
Заговор! 100%
А про то, что ты говоришь
> Agent.BTZ, also named Autorun,[1][2] is a computer worm that infects USB flash drives with spyware. A variant of the SillyFDC worm,[3] it was used in a massive 2008 cyberattack on the US military, infecting 300,000 computers.
Это авторан вообще. Драйвер файловой системы не был задействован для проникновения.
| | |
| |
| 3.126, crypt (ok), 11:22, 26/08/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
> А немного подумать не получается?
> Реализацию драйвера exFAT для линуксов писал Samsung.
А у тебя немного подумать не получилось? самсунг писал в 2013, потом его заменили на m$.
| | |
| |
| 4.127, soarin (ok), 12:04, 26/08/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нет. Зачем выдумывать бред?
Microsoft только дали разрешение использовать exFAT в линуксах без взымания платы (патентных отчислений) и спецификацию естественно тоже опубликовали.
Код/реализации они не писали.
Была старая реализация от Samsung. Её разработчики линуусового ядра назвали ужасом. К ядру 5.7 опять же Samsung переписал по новой.
https://www.phoronix.com/news/Linux-5.7-New-exFAT-Lands
| | |
|
|
|
| 1.18, Анониммм (?), 14:54, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
- if (step != DIRENT_STEP_NAME) {
+ if (step != DIRENT_STEP_NAME ||
+ name_len >= MAX_NAME_LENGTH) {
восхитительный фикс
С in CVE is for C lang
| | |
| |
| 2.34, Аноним (12), 15:55, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Предлагаешь в этом месте использовать экспортированную из раста функцию на две строки святого Раст кода?
| | |
| |
| 3.36, пох. (?), 16:00, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
бинарный макрос же. У них так принято. Бебебезопастность!
| | |
| |
| |
| 5.62, пох. (?), 19:18, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Устарели твои данные
нет, там чувак вовсе не поменял свое мнение, а просто отложил до апгрейда инфраструктуры, после которого ему удобнее будет втюхивать свой макрос. (а не, скажем, после которого у тебя будет возможность выбирать бинарник или исходник - так вопрос даже и не стоит)
| | |
| |
| 6.100, Ананимус (?), 23:44, 25/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
> нет, там чувак вовсе не поменял свое мнение, а просто отложил до
> апгрейда инфраструктуры, после которого ему удобнее будет втюхивать свой макрос. (а
> не, скажем, после которого у тебя будет возможность выбирать бинарник или
> исходник - так вопрос даже и не стоит)
Опеннетчики как всегда облажались и не смогли даже понять чем закончилась дискуссия. А закончилась она тем, что вместо фичи "derive" у пакета "serde" можно напрямую подключать пакет "serde_derive" и распараллелить сборку, что решает изначальную проблему, ради которой они бинарник хотели засунуть. Да, я понимаю что фанатам сильной-руки-в-жопе везде мерещатся многоходовочки, но это была сугубо техническая проблема которую решили сугубо техническим путем :D
| | |
|
|
|
|
|
| 1.19, birdie (ok), 15:05, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 В 6.1.45/6.4.10 уже фикс есть:
exfat: check if filename entries exceeds max filename length
Можно не следить за исправлениями, Fedora давно выкатила 6.4.11, 6.4.12 уже в testing.
Остальные ядра лень смотреть.
| | |
| |
| 2.37, пох. (?), 16:01, 25/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ну тебе чо - жалко флэшку раз десять подр...ть чтоб стать крутым хаксором?!
| | |
|
| |
| 2.93, пох. (?), 22:50, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> А в андроиде есть ээта уязвимость?
смотря в каком. В телефонном вряд ли потому что нет автомонтирования чего ни попадя - в телефоне обычно только одна флэшка и та подключена очень специальным образом, начиная с еще шестерки.
А вот в шибкоумном телевизоре, куда флэшки таки именно втыкают - да, запросто. Потому что там скорее всего именно udisks2 и прочая мерзость поверх него - не заставлять же пользователя телевизора что-то там "монтировать". Интересно бы, кстати, посмотреть как самсунь решил проблему с обратным процессом в своем телевизоре. Надеюсь не в стиле freebsd (там, если что, не флэшка а дискетка. Т.е. баг этот тянулся со времен 2.2 и вроде как героически побежден в очередной раз в 12й. Но это уже неточно потому что не осталось дискеток даже виртуальных.)
| | |
| |
| 3.99, Аноним (99), 23:41, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
в самсунг телезиворах давно нет линукса, лет как 7. В Tizen от линукса меньше чем в андройде.
| | |
| |
| 4.115, Аноним (-), 04:19, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> в самсунг телезиворах давно нет линукса, лет как 7. В Tizen от
> линукса меньше чем в андройде.
Кернел есть? Есть. А остальное ниипет - Linux это ядро. А юзермодом что угодно. У сони на фотиках фирмварь вообще 1 процесс, который сам себе инит и прочее. Но это линукс. Правда, довольно хреновый. Тем не менее.
| | |
| 4.139, пох. (?), 17:33, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Ну блин, ты еще скажи что exfat.ko у них тоже нет.
Или что они переизобрели udisks2 а не стыздили редхатовский (если вдруг да - где посмотреть?)
Напоминаю - мы пользуемся рабочим exfat (а не уродцем-недоделком через fuse) ровно потому что самсуновскому телевизеру НАДА в него уметь.
| | |
|
| 3.123, Аноним (52), 10:07, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
При чём тут автомонтирование? Имеется ввиду можно ли рутануть андрюшу, смонтировав exfat ФС. Подключить флешку через type-c и вмонтировать его, выбрав в телефоне?
| | |
| |
| 4.140, пох. (?), 17:37, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
ммм... а ты уверен что вот в твоем телефоне такая фича есть вообще?
У меня телефоны немодные, без typeC, но есть хитрый китайский переходник для OTG. Из трех лопат одна перезагружается при попытке через него подключить флэшку, вторая не видит. У третьей нет exfat.
| | |
| |
| 5.153, Аноним (6), 05:42, 27/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вы на какой-то помойке специально такой хлам собираете? Любой более-менее современный андрюша без проблем видит накопители с exFAT. Вот не поленился даже, терабайтный винт к телефону подключил — вуаля.
| | |
| |
| 6.168, пох. (?), 11:33, 27/08/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Любой более-менее современный андрюша без проблем видит накопители с exFAT.
я не меняю телефоны каждые три года, если ты это имел в виду.
современный exfat.ko существует ровно три года. До этого был самсунговский драйвер - в телефонах угадай кого.
| | |
|
|
|
|
|
| 1.54, Аноним (54), 18:07, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Эта уязвимость была бы критичной, если бы пользователи массово использовали бы линукс на домашних компьютерах и массово использовали exFAT для флешек.
Шел 2023-й год до Linux докатились проблемы autorun.inf
| | |
| |
| 2.66, пох. (?), 19:25, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Эта уязвимость была бы критичной, если бы пользователи массово использовали бы линукс
только они об этом еще не знают.
> на домашних компьютерах и массово использовали exFAT для флешек.
ты не поверишь... (правда, и об этом они тоже не знают. Зато за них знает самсунг.)
> Шел 2023-й год до Linux докатились проблемы autorun.inf
autorun.inf редхат запилил вам в 2006м, если не ошибаюсь. (название было какое-то другое но суть и уязвимость внезапно - те же самые. Ну а чего такого если весь менеджемент хочет какввенде. Потом правда выпилили - оно уже и в венде было немодным.)
| | |
| |
| 3.138, пох. (?), 17:31, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
больше, просто забыли уже (память у местных дятлов - ну как у дятла)
там именно autorun.inf был у ранних гомохатов. Прямо почти какввенде, которую и косплеил, только само название отличалось.
Через полгода тысячеглаз заметил таки (поскольку дисков реально использующих фичу видимо существовал ровно один - дистрибутивный) и ее выпилили.
| | |
| |
| |
| 5.143, пох. (?), 17:47, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
та молча запускала. В семерке стало можно вручную отключить (но не совсем из-за кривой реализации, совсем только хаком) и только десятка научилась либо спрашивать либо молчать.
т.е. microsoft учится на своих ошибках, а эти, похоже, нет.
Там еще, кстати, помнится была и уязвимость в стиле нынешней - что при попытке спросить, внезапно имя файла исполнялось потому что ну ой, кто ж мог подумать и было ли ему чем.
Дальше PoC понятно не пошло потому что кому тот неуловимый джо сдался, блин.
| | |
|
|
|
|
| 1.61, Аноним (-), 19:17, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> быть использована для компрометации ядер,
> загружаемых в режиме UEFI Secure Boot.
...опять юзеры андроидов порутают. А обычные линуксоиды с exFAT вообще мало пересекаются и модуль как правило вообще не вгружен.
Ну что, кнутователи, натолкали на одного Jeon'а три галеры? Он и греб на них как умел, когда на вас висит f2fs, exFAT и ksmbd - тут уже не до качества кода, лишь бы вообще работало.
| | |
| |
| 2.64, Кнутователь (?), 19:23, 25/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> ...опять юзеры андроидов порутают. А обычные линуксоиды с exFAT вообще мало пересекаются
обычные пересекаются, не все ж больные белки-истерички, борцуны с проклятой M$, кто-то просто настолько ненормален что на самом деле пытается этим линуксом пользоваться как рабочей средой.
> и модуль как правило вообще не вгружен.
gnome-shit-disk, udisks2 и кто там еще позаботится его загрузить как только вставишь флэшку от фотика, например.
> Ну что, кнутователи, натолкали на одного Jeon'а три галеры? Он и греб
> на них как умел, когда на вас висит f2fs, exFAT и
> ksmbd - тут уже не до качества кода, лишь бы вообще
> работало.
- Б...ь, ФАРУ ему на лоб!!! Фару!!! Чтоб и ночью тоже косил!!!
| | |
| |
| 3.116, Аноним (-), 04:26, 26/08/2023 [^] [^^] [^^^] [ответить] | +/– | Ну так им и апдейт прилетит сам без спроса и запатчит все А может и уже Если в... большой текст свёрнут, показать | | |
| |
| 4.124, пох. (?), 11:04, 26/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну так им и апдейт прилетит сам без спроса и запатчит все.
глядя на бесконечные свои убунты-18 и центоси7 - ага, прилетит вдруг волшебник, в голубом вертолете, и бесплатно покажет всем х-й.... а к самсуновскому телевизору - наверное, и правда прилетел уже. Он там такой... активный. То ли ты его смотришь, то ли он за тобой присматривает.
>> флэшку от фотика, например.
> Если вас хакает ваш же фотик
у тебя настолько ох-енный слот для флэшек, что умеет отличать флэшку фотика от флэшки васяна, подрезавшего твой ноут?
Ну и в принципе - и фотик могет. В свое время среди меня и моих знакомых были распространены автомобильные gps китайского безвестного производителя, легким движением превращавшиеся в пда на winCE. Вещь прикольная по тем временам, но вот родную китайскую флэшку (почему-то с картой Бразилии) в обычной винде трогать не стоило.
А теперь у нас и линукс такой же "только всем хуже".
| | |
|
|
| 2.154, Аноним (6), 06:06, 27/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> обычные линуксоиды с exFAT вообще мало пересекаются
_Обычные_ линуксоиды пересекаются с exFAT ровно столько же, сколько и все остальные.
| | |
|
| 1.74, ИмяХ (?), 19:44, 25/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Интересно, эта уязвимость и в виндовсе есть или этот бэкдор был сделан исключительно для линуксов?
| | |
| |
| 2.98, Аноним (99), 23:39, 25/08/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Отсутствие проверки размера при копировании имени файла в буфер, размещённый в стеке, приводит к переполнению стека ядра
Новость не читаем, хню пишем как всегда. Или в винде ядро с линя завезли?
| | |
| 2.171, Аноним (171), 01:09, 28/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
В полноценной операционке это не уязвимость, чувак. Просто потому что в отличии от ненужного максимальная длина имени файла - 255 символов, а не байт. Потому имя, которое приводит ненужное к описанному тут эффекту в полноценной системе вполне нормально обрабатывается.
| | |
|
| 1.170, Аноним (170), 16:02, 27/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> "Помню как лянуксь "убил" мне внешний хард с эксфат. Я его и так и сяк и фстабом и чем-то ещё пингвинячьим. Ни в какую. Я подумал, всё хард умер. Ну, бывает. И так провалялся он у меня до первого появления в зоне моей доступности винды. И, о чудо, оказалось, что его то всего лишь нужно было отформатировать из под винды. Данные я конечно тогда потерял, но хард работает верой и правдой до сих пор. Просто я его теперь во всякое срамно не втыкаю."
Это Linux.
| | |
| |
| 2.178, фф (?), 15:40, 29/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
как-то не верится, что при этом стандартный линуксовый gparted не смог пересоздать таблицу разделов и отформатировать диск
| | |
| |
| 3.179, коньюктивит (?), 19:58, 29/08/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Именно, что не мог. Так конкретно сломало мне его это ваше поделие. А то, что не верится - это понятно. Ведь линукс - это вопрос веры. Для того, чтобы видеть гордую птицу в компостном петухе нужна сильная вера.
| | |
| |
| 4.188, Аноним (188), 16:03, 31/08/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Именно, что не мог. Так конкретно сломало мне его это ваше поделие.
> А то, что не верится - это понятно. Ведь линукс -
> это вопрос веры. Для того, чтобы видеть гордую птицу в компостном
> петухе нужна сильная вера.
По-моему нужны всего то работающие мозги. Не справиться с каким-то несчастным винчом это уж вообще дниной надо быть. К тому же винчи в NTFS обычно с фабы форматируют - так что этот типа-"линуксоид" еще и слегонца заврался, ус в процессе отклеился.
| | |
|
|
|
| |
| 2.175, пох. (?), 17:39, 28/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
так он г-но был полное, readonly и то недоделанное.
Парагон просто решил застолбить поляну, но пролетел.
А вот драйвер refs хер дождемся.
| | |
| 2.189, Аноним (188), 16:06, 31/08/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Кстати, а драйвер от Парагона-то так и не взяли, в итоге?
Ну а нафига, если у самсуня код утек, его и допинали в результате. Самсунь решил что раз такая пьянка то вкомитят в майнлайн. Откуда мы и узнали потом о качестве самсунговского кода. И о том как 1 кодер оказывается на минимум 3 здоровых проекта надрывался. Где в каждом по десятку рож просится.
| | |
|
| 1.183, Аноним (183), 13:28, 31/08/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Проблема устранена в выпусках ядра Linux 6.4.10, 6.1.45, 5.15.25, 5.10.90, 5.4.253, 4.19.291, 4.14.324 и 6.5-rc5.
exFAT был добавлен в Linux 5.4. Странно, что затронуты более старые ядра.
И я посмотрел ядро 5.4, там исправления нет. Возможно, что оно не подвержено уязвимости. Там нет файла dir.c.
https://lwn.net/Articles/941277/
| | |
|
