1.3, Аноним (3), 10:36, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Помнится прошлую уязвимость nix исправляли очень медленно, поэтому в этот раз тот же человек опубликовал информацию об уязвимости после пару недель с неё находки. До исправления разрабами nixos. А ещё разраб ушёл в отпуск в этот момент, когда его предупредили непублично. И не было передачи задачи. В общем, проект сомнительный, отношение к безопасности халатное. Про это на hacker news писали и lobsters.
| |
|
|
3.24, Аноним (-), 13:10, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Эти понапишут что угодно, если СОС не достаточно длинный.
А по факту?
Если они тянули с исправлениями - что легко проверяется по дате патча - то хоть с длинным СОСом, хоть с коротким отношение к безопасности у них отвратительное.
ps почему у многих анонов какой-то странный фетишь на СОСʼи?
в ядре он есть, а бзде тоже, в куче успешных проектов.
Но надо сразу выстрать свое мнение прилепливая теплое к мягкому
| |
|
|
1.4, Аноним (4), 11:16, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Сначала запиливают свои кривучии телеметрии, потом ноут "а чавой вы выключаити, вот у вас поэтому на линоксе три процента".
| |
1.5, 1 (??), 11:21, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот она - полезность телеметрии !!!
Можно простому юзверю повысить привилегии в системе.
| |
|
2.9, Аноним (7), 11:51, 24/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Все просто он хочет от тебя что-то скрыть. Чем ты ему так насолил?
| |
2.19, penetrator (?), 12:54, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
может уже удалили
* Unauthenticated RCE vs all GNU/Linux systems (plus others) disclosed 3 weeks ago.
* Full disclosure happening in less than 2 weeks (as agreed with devs).
* Still no CVE assigned (there should be at least 3, possibly 4, ideally 6).
* Still no working fix.
* Canonical, RedHat and others have confirmed the severity, a 9.9, check screenshot.
* Devs are still arguing about whether or not some of the issues have a security impact.
I've spent the last 3 weeks of my sabbatical working full time on this research, reporting, coordination and so on with the sole purpose of helping and pretty much only got patronized because the devs just can't accept that their code is crap - responsible disclosure: no more.Image
The writeup is gonna be fun, not just for the technical details of it, not just because this RCE was there for more than a decade, but as a freaking example on how NOT to handle disclosures.
Like, I write software, I get it, I get how someone can be defensive about the stuff they write, I really do. But holy sh, if your software has been running on everything for the last 20 years, you have a freaking responsibility to own and fix your bugs instead of using your energies to explain to the poor bastard that reported them how wrong he is, even tho he's literally giving you PoC after PoC and systematically proving your assumptions about your own software wrong at every comment. This is just insane.
Just wanted to add for the sake of clarity, that i have *so much respect* for the people at Canonical that have been trying to help & mediate from the beginning, I really don't know how they manage to keep their cool like this.
This is going to be the writeup opening statement. It's an actual comment from the github conversation. I mean, it's not wrong ... Image
And YES: I LOVE hyping the sh1t out of this stuff because apparently sensationalism is the only language that forces these people to fix.
| |
|
3.23, Аноним (-), 13:02, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> devs just can't accept that their code is crap
Ha-ha. Classic.
Это еще фиксы до мейнтейнеров не дошли.
Потом окажется - один занят, один в отпуске, еще один в запое. А юзеры подождать могут.
Хотя... если им не платят, то они ничего и не должны.
| |
|
|
1.8, Аноним (-), 11:48, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> C 53.3%
> приводит к обращению к памяти вне буфера при отправке специально оформленных данных
Не то чтобы я был сильно удивлен)
| |
|
2.12, Аноним (3), 12:06, 24/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, лучше бы rust использовали с автоматическим сборщиком мусора. Или nim с arc. Разницы между этими gc практически нет. Только первый язык стыдливо отрицает наличие gc.
| |
|
|
4.16, Аноним (3), 12:33, 24/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Подход Rust к управлению памятью основан на следующем принципе: компилятор Rust должен знать точные места в коде, где выделена память, где и как к ней осуществляется доступ, а где она больше не нужна. Эти знания позволяют контролировать доступ к памяти и автоматически освобождать выделенную память, вставляя соответствующие инструкции непосредственно в сгенерированный код, таким образом избегая многих распространенных ошибок, которым могут быть подвержены другие языки.
Примерно то же самое делает swift и nim. Возможно, ещё haskell.
| |
|
5.20, Аноним (-), 12:57, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Примерно то же самое делает swift и nim.
Эм... в swift используется подсчет ссылок (ARC) и оно происходит в рантайме.
В расте подсчета ссылок нет (кроме типов вроде Rc<T> и Arc<T>) и делается это в компайлтайм.
Как оно в nim и haskell точно не знаю, в haskell вроде полноценный garbage collector.
| |
5.22, Аноним (3), 12:59, 24/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Раньше за автоматическую расстановку free() в системщине по рукам били.
| |
|
6.25, Аноним (-), 13:13, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Раньше за автоматическую расстановку free() в системщине по рукам били.
А еще раньше гото было нормальным подходом)
The future is now, old man (c)
Особенно если половину free забывали, а вторую ставили не в то место в коде.
| |
|
7.26, Аноним (3), 13:19, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Гото и сейчас нормальный подход. Знать надо где ему место, а где нет.
| |
7.27, Аноним (3), 13:21, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> The future is now, old man (c)
Наступило, но это не значит, что будущее приносит только хорошие инновации. Зачастую наоборот.
| |
|
8.28, Аноним (-), 13:25, 24/09/2024 [^] [^^] [^^^] [ответить] | +/– | Правда Типа большая часть инноваций это плохие инновации Можешь отказаться от ... текст свёрнут, показать | |
|
|
|
|
|
3.15, Аноним (-), 12:28, 24/09/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> rust с автоматическим сборщиком мусора.
WAT? Это что-то новенькое...
А можешь показать где в расте автоматический сборщик мусора есть?
Только именно в языке, а не в сторонних крейтах.
| |
|
4.30, Ахз (?), 13:57, 24/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> вставляя соответствующие инструкции непосредственно в сгенерированный код | |
|
|
|
1.14, Аноним (14), 12:20, 24/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Проблема проявляется в ветке Nix 2.24 и устранена в выпуске 2.24.6.
К счастью в NixOS до сих пор 2.18 даже в unstable
| |
|