1.3, Аноним (3), 10:36, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Помнится прошлую уязвимость nix исправляли очень медленно, поэтому в этот раз тот же человек опубликовал информацию об уязвимости после пару недель с неё находки. До исправления разрабами nixos. А ещё разраб ушёл в отпуск в этот момент, когда его предупредили непублично. И не было передачи задачи. В общем, проект сомнительный, отношение к безопасности халатное. Про это на hacker news писали и lobsters.
| |
|
|
3.24, Аноним (-), 13:10, 24/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Эти понапишут что угодно, если СОС не достаточно длинный.
А по факту?
Если они тянули с исправлениями - что легко проверяется по дате патча - то хоть с длинным СОСом, хоть с коротким отношение к безопасности у них отвратительное.
ps почему у многих анонов какой-то странный фетишь на СОСʼи?
в ядре он есть, а бзде тоже, в куче успешных проектов.
Но надо сразу выстрать свое мнение прилепливая теплое к мягкому
| |
|
4.40, 1 (??), 15:04, 24/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> ps почему у многих анонов какой-то странный фетишь на СОСʼи?
Да потому что, в основном, "весь пар уходит в свисток". Напишут СоС и проект закрыт.
Это ж как с языком, который нельзя называть, может язык и неплохой и концепции в нём передовые, но сообщество отвратительное.
| |
|
5.51, Аноним (-), 15:50, 24/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Да потому что, в основном, "весь пар уходит в свисток".
Что правда?
> Это ж как с языком, который нельзя называть
Ты бы еще сказал "на нем ничего не написано!")
А потом бы отгребал списки из утилит, вейланд композиторов, миллионов строк в андроиде.
> но сообщество отвратительное.
Сообщество, которое не боится назвать овнокод - овнокодом?
Или которое на заглядывает в штаны, а просит показать код.
Не удивительно что это самый любимый ЯП на стековерфлоу, и что его так ненавидят у нас.
| |
|
6.53, 1 (??), 16:01, 24/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Это ж как с языком, который нельзя называть
> Ты бы еще сказал "на нем ничего не написано!")
Вот ты прям образчик этого гнилого сообщества - выдаёшь свои мысли за мои.
На тебе пруф - https://www.opennet.ru/opennews/art.shtml?num=58969
даже процитирую -
===============
Имя Rust разрешено использовать в заголовках статей, книг и обучающих материалов, при явном указании, что проект Rust и организация Rust Foundation не вовлечены в создание и рецензирование содержимого.
Использование имени и логотипа Rust запрещено в качестве средств персонализации в корпоративных социальных сетях.
===============
| |
|
7.66, Аноним (-), 17:33, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Что ж у тебя так горит?
Вот тебе правил использования трейдмарков Линукса
linuxfoundation.org/legal/trademark-usage
> Использование имени и логотипа Rust запрещено в качестве средств персонализации в корпоративных социальных сетях.
A trademark should not be used as your domain name or as part of your domain name.
A trademark should not be used as part of your product name.
A trademark should not be incorporated into your company’s logos or designs.
Do not use logos or names of The Linux Foundation in any commercial or marketing context other than as expressly permitted in this policy unless you have obtained explicit written permission from The Linux Foundation to do so.
| |
|
8.86, 1 (??), 23:35, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Ты эта Имя в корпоративных социальных сетях, от доменного имени в интернетах... текст свёрнут, показать | |
|
|
|
|
|
|
|
1.4, Аноним (4), 11:16, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Сначала запиливают свои кривучии телеметрии, потом ноут "а чавой вы выключаити, вот у вас поэтому на линоксе три процента".
| |
1.5, 1 (??), 11:21, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот она - полезность телеметрии !!!
Можно простому юзверю повысить привилегии в системе.
| |
|
2.9, Аноним (7), 11:51, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Все просто он хочет от тебя что-то скрыть. Чем ты ему так насолил?
| |
2.19, penetrator (?), 12:54, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
может уже удалили
* Unauthenticated RCE vs all GNU/Linux systems (plus others) disclosed 3 weeks ago.
* Full disclosure happening in less than 2 weeks (as agreed with devs).
* Still no CVE assigned (there should be at least 3, possibly 4, ideally 6).
* Still no working fix.
* Canonical, RedHat and others have confirmed the severity, a 9.9, check screenshot.
* Devs are still arguing about whether or not some of the issues have a security impact.
I've spent the last 3 weeks of my sabbatical working full time on this research, reporting, coordination and so on with the sole purpose of helping and pretty much only got patronized because the devs just can't accept that their code is crap - responsible disclosure: no more.Image
The writeup is gonna be fun, not just for the technical details of it, not just because this RCE was there for more than a decade, but as a freaking example on how NOT to handle disclosures.
Like, I write software, I get it, I get how someone can be defensive about the stuff they write, I really do. But holy sh, if your software has been running on everything for the last 20 years, you have a freaking responsibility to own and fix your bugs instead of using your energies to explain to the poor bastard that reported them how wrong he is, even tho he's literally giving you PoC after PoC and systematically proving your assumptions about your own software wrong at every comment. This is just insane.
Just wanted to add for the sake of clarity, that i have *so much respect* for the people at Canonical that have been trying to help & mediate from the beginning, I really don't know how they manage to keep their cool like this.
This is going to be the writeup opening statement. It's an actual comment from the github conversation. I mean, it's not wrong ... Image
And YES: I LOVE hyping the sh1t out of this stuff because apparently sensationalism is the only language that forces these people to fix.
| |
|
3.23, Аноним (-), 13:02, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> devs just can't accept that their code is crap
Ha-ha. Classic.
Это еще фиксы до мейнтейнеров не дошли.
Потом окажется - один занят, один в отпуске, еще один в запое. А юзеры подождать могут.
Хотя... если им не платят, то они ничего и не должны.
| |
|
|
1.8, Аноним (-), 11:48, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> C 53.3%
> приводит к обращению к памяти вне буфера при отправке специально оформленных данных
Не то чтобы я был сильно удивлен)
| |
|
2.12, Аноним (3), 12:06, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Да, лучше бы rust использовали с автоматическим сборщиком мусора. Или nim с arc. Разницы между этими gc практически нет. Только первый язык стыдливо отрицает наличие gc.
| |
|
|
4.16, Аноним (3), 12:33, 24/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Подход Rust к управлению памятью основан на следующем принципе: компилятор Rust должен знать точные места в коде, где выделена память, где и как к ней осуществляется доступ, а где она больше не нужна. Эти знания позволяют контролировать доступ к памяти и автоматически освобождать выделенную память, вставляя соответствующие инструкции непосредственно в сгенерированный код, таким образом избегая многих распространенных ошибок, которым могут быть подвержены другие языки.
Примерно то же самое делает swift и nim. Возможно, ещё haskell.
| |
|
5.20, Аноним (-), 12:57, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Примерно то же самое делает swift и nim.
Эм... в swift используется подсчет ссылок (ARC) и оно происходит в рантайме.
В расте подсчета ссылок нет (кроме типов вроде Rc<T> и Arc<T>) и делается это в компайлтайм.
Как оно в nim и haskell точно не знаю, в haskell вроде полноценный garbage collector.
| |
|
|
|
8.52, Аноним (-), 15:52, 24/09/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Конечно нет И вообще, сравнивать каких-то разработчиков Nim с целым Анонимом 3 ... текст свёрнут, показать | |
8.56, Аноним (3), 16:08, 24/09/2024 [^] [^^] [^^^] [ответить] | –2 +/– | Ну если вы не разбираетесь, не пишите Arc orc работает при компиляции Это позв... текст свёрнут, показать | |
|
9.70, Аноним (70), 18:37, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Нет При компиляции работа с памятью происходи в rust, там уже в момент компиляц... текст свёрнут, показать | |
|
|
|
|
5.22, Аноним (3), 12:59, 24/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Раньше за автоматическую расстановку free() в системщине по рукам били.
| |
|
6.25, Аноним (-), 13:13, 24/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Раньше за автоматическую расстановку free() в системщине по рукам били.
А еще раньше гото было нормальным подходом)
The future is now, old man (c)
Особенно если половину free забывали, а вторую ставили не в то место в коде.
| |
|
7.26, Аноним (3), 13:19, 24/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Гото и сейчас нормальный подход. Знать надо где ему место, а где нет.
| |
7.27, Аноним (3), 13:21, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> The future is now, old man (c)
Наступило, но это не значит, что будущее приносит только хорошие инновации. Зачастую наоборот.
| |
|
8.28, Аноним (-), 13:25, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Правда Типа большая часть инноваций это плохие инновации Можешь отказаться от ... текст свёрнут, показать | |
|
|
|
11.32, Аноним (3), 14:08, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Чел, научись читать Я наоборот пишу, что сейчас больший вендорлок Rust - сбори... большой текст свёрнут, показать | |
|
12.39, Аноним (-), 15:00, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Ты несешь чушь Тк сейчас появились всякие пайнфоны, либрфоны и прочие более мен... большой текст свёрнут, показать | |
|
|
14.50, Аноним (-), 15:44, 24/09/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Примеры в студию Желательно чтобы оно быо там все, а не заимстования в одном, л... большой текст свёрнут, показать | |
|
|
16.78, Аноним (70), 19:13, 24/09/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Вы случаем не из тех староверов, которые не могут поставить несколько разных вер... текст свёрнут, показать | |
|
|
14.77, Аноним (70), 19:11, 24/09/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Одна бабка сказала, какое экспертное мнение Вот вам для примера немного c и c ... текст свёрнут, показать | |
|
|
12.74, Аноним (70), 19:02, 24/09/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Давай второй с сопоставимыми фичами Только давай без поиска в интернете, пиши с... большой текст свёрнут, показать | |
|
|
|
9.75, _ (??), 19:02, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Причём некоторые по глупости людской, а некоторые - по злобе и жадности вот ... текст свёрнут, показать | |
|
10.83, Аноним (-), 20:56, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Хм т е раньше пандемий не было Ну там испанка или чума Это как раз не новое,... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
3.15, Аноним (-), 12:28, 24/09/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> rust с автоматическим сборщиком мусора.
WAT? Это что-то новенькое...
А можешь показать где в расте автоматический сборщик мусора есть?
Только именно в языке, а не в сторонних крейтах.
| |
|
4.30, Ахз (?), 13:57, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> вставляя соответствующие инструкции непосредственно в сгенерированный код | |
|
5.42, Аноним (47), 15:18, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> вставляя соответствующие инструкции непосредственно в сгенерированный код
Я сейчас расстрою кекспертов, но с такой "логикой" оно даже в сишке есть. man leave/add *sp,X/mov *bp, Y
man __attribute__((cleanup))
| |
|
|
7.45, Аноним (47), 15:36, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Не расстроишь. Область видимости != авторасстановка free().
Расстрою - в примере совсем не все (а лишь гцц-шный атрибут) из раздела "область видимости".
ну и авторасстановка free() != сборщик мусора
как впрочем и "область видимости" ⊂ "время жизни"
как впрчем "автоматическое освобождение" != free()
Впрочем, заявление "Примерно то же самое делает swift и nim. Возможно, ещё haskell." уже очень хорошо показало уровень и ценность кекспертизы.
| |
|
8.48, Аноним (3), 15:41, 24/09/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Много воды, умных слов, а по сути где Просвяти, в чём отличие от nim в rust В ... текст свёрнут, показать | |
|
9.54, Аноним (47), 16:02, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Лучше много воды и умных слов, чем выброс метана W W какая-то собственная термин... текст свёрнут, показать | |
9.76, Аноним (70), 19:05, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | В умных словах Это особые слова, называются термины Опять месные эксперты, с св... текст свёрнут, показать | |
|
|
|
|
|
|
3.69, Аноним (70), 18:34, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>Только первый язык стыдливо отрицает наличие gc.
Аноним выше некомпетентен. Разница между моделью rust, где осовобождение памяти основано на синтаксической области видимости, языком только на счётчике ссылок и полноценным сборщиком мусора - огромна.
| |
|
4.73, Аноним (73), 18:53, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Не так уж и огромна. Разница в том, где основные накладные расходы: во время компиляции или во время использования.
То, что там есть разница во внутреннем устройстве – да есть.
Но внешне это разные виды автоматического управления памятью.
| |
|
5.80, Аноним (70), 19:17, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это различие и порождает разницу в расходах. Почему вы смешиваете разные технологии в одну кучу?
| |
|
|
|
|
1.14, Аноним (14), 12:20, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Проблема проявляется в ветке Nix 2.24 и устранена в выпуске 2.24.6.
К счастью в NixOS до сих пор 2.18 даже в unstable
| |
1.18, Ося Бендер (?), 12:37, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да, уж. Сливай воду это называется. Ждем-с 30 сентября, и быстро собирать бот-сетку, пока мамкины админы будут обновляться...
| |
1.35, Аноним (-), 14:36, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> выявлении критической уязвимости, затрагивающей дистрибутивы GNU/Linux
> и позволяющей удалённо без прохождения аутентификации добиться выполнения кода в системе
Что это за почтальон Печкин? У меня есть вулн, но вам его не покажу! Но он стращный, это 10 из 10! Зато наезды на майнтайнеров, разработчиков и проч. Отличный подход к репортам CVE.
На мой вкус: вывалить репорт/poc в рассыль интересантам, сказать что через N дней это станет в паблик, do whatever f.... you want, и - если обработаете это хреново, то в репорте это будет упомянуто! Такой "жесткий" протокол взаимодействия некоторым - таки - понятнее.
| |
|
2.36, Аноним (7), 14:49, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Никс используют военные. Поэтому все сложно. Возможно тут защищают эксплуатанта уязвимости а не пользователей.
| |
|
3.38, 1 (??), 14:57, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну анонс-то про весь гнутый линyпс (а м.б. и даже про бздю). Так что если и эксплуатанта защищают, то глобального.
| |
|
|
|