| |
| 2.3, Аноним (3), 20:13, 15/05/2026 [^] [^^] [^^^] [ответить]
| +13 +/– |
сейчас по старинке даже статьи и новости никто не пишет, а искать уязвимости самому, без помощи нейронок, это прям лудизм какой-то
| | |
| |
| 3.23, Аноним (23), 22:12, 15/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> а искать уязвимости самому, без помощи нейронок, это прям лудизм
Сейчас разработчики даже думать не умеют без нейронок. И раньше отношение к QEMU было посредственное, а теперь - тем более.
| | |
|
| |
| 3.58, Аноним (58), 11:53, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Разница есть. Квалификация мультиглаз теряется от того, что всё на ИИ перекладывают.
| | |
| |
| 4.65, ukuk (?), 13:52, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
А и не было никаких мультиглаз.
Три калеки, по четыре глаза на каждого. Двенадцатиглаз получается.
| | |
|
|
| 2.82, SV88 (ok), 21:36, 17/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Пилиять, это эксплуатируется уже давно. Мои железки, давно эксплуатрируют застенные террористы подобными методами. Это обсалютно полный доступ
| | |
|
| |
| 2.6, Rev (ok), 20:23, 15/05/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Когда все уязвимости пофиксят. Их за десятки лет тучу нафигачили.
| | |
| |
| 3.24, Аноним (23), 22:13, 15/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Но вносят их быстрее, чем исправляют. Сказывается стратегия непрерывного внесения обновлений без разницы, нужны они или нет. Прошло 3 недели - нате обновление.
| | |
| |
| 4.57, anoni (?), 10:39, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Кому надо, тот и так башляет кучу бабла за кривую проприетарную поделку и в твоих советах уж точно не нуждается
| | |
| |
| 5.81, МИСАКА (?), 19:43, 17/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Башляет и не трясется от того что тысячи гляз не углядели, а разработчики считают не своей проблемой
| | |
|
| 4.76, нах. (?), 18:23, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
только что пал последний оплот - аруба предложила мне перейти нахрен или платить 15 евро в месяц просто так, потому что им стало впадлу платить за лицензии. (угадай что я выберу, в том числе и на фоне этой новости?)
| | |
|
|
| |
| 3.14, Аноним (14), 20:47, 15/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Не поможет. sudo-rs и uutils тому свидетельства.
Мир зол и несправедлив, серебрянной пули не существует, ошибок нет только в абсолютно беспрлезных программах.
| | |
| |
| 4.33, Аноним (33), 22:48, 15/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Не поможет. sudo-rs и uutils тому свидетельства.
А что, там тоже дыры типа "чтение памяти из области вне выделенного буфера"?
> ошибок нет только в абсолютно беспрлезных программах.
Ошибки работы с памятью есть практически сугубо в C и C++ коде. Это даже безотносительно Раста.
| | |
| |
| 5.37, Аноним (-), 22:53, 15/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ошибки работы с памятью есть практически сугубо в C и C++ коде. Это даже безотносительно Раста.
А 123 CVE за присест нашли - вот - в rust coreutils. Почему-то. Походу педалирование 1 класса багов и упование что компилер подумает за програмера - от вулнов почему-то не спасает. Надо же фигня какая...
| | |
| |
| 6.43, Аноним (33), 01:15, 16/05/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> А что, там тоже дыры типа "чтение памяти из области вне выделенного буфера"?
> А 123 CVE за присест нашли - вот - в rust coreutils. Почему-то.
Я еще раз спрашиваю: это ошибки типа "чтение памяти из области вне выделенного буфера", "use-after-free" и "double-free"?
| | |
| |
| 7.70, Аноним (-), 17:00, 16/05/2026 [^] [^^] [^^^] [ответить] | –1 +/– | А мне то какая разница - через переполнение памяти мне систему поимеют или как-т... большой текст свёрнут, показать | | |
| |
| 8.75, Аноним (33), 18:08, 16/05/2026 [^] [^^] [^^^] [ответить] | +/– | Во-первых, вопрос был не о том, какая лично тебе разница Вопрос был о другом - ... текст свёрнут, показать | | |
| |
| 9.85, Аноним (-), 19:26, 20/05/2026 [^] [^^] [^^^] [ответить] | +/– | Потому что я не собираюсь заниматься подгоном решения под ответ Если господа вы... большой текст свёрнут, показать | | |
|
|
|
|
| 5.44, Аноним (-), 01:59, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ошибки работы с памятью есть даже там где тебе управлять памятью не дают. Вон в соседей новости было что в Python оказывается GC течёт. Так что безопасные языки не всегда полагают.
| | |
| |
| 6.66, Аноним (66), 16:32, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Течёт -- это совсем не то же самое, что встроенный sudo. И таки приглядись, течёт там отнюдь не код на питоне.
| | |
|
|
| 4.62, Сладкая булочка (?), 12:47, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Мир зол и несправедлив, серебрянной пули не существует, ошибок нет только в абсолютно беспрлезных программах.
Как бы да, но раст в qemu все же внедряют уже.
| | |
|
| 3.25, Аноним (23), 22:14, 15/05/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
На практике всё наоборот получилось: чем больше времени уделяют расту, тем больше сыпется вся система.
| | |
| 3.36, qqq (??), 22:52, 15/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Не бывает «безопасных» языков программирования. Есть языки дающие гарантии невозможности получить некоторые классы ошибок.
Но при этом ни один не дает 100% гарантии корректности логики написанного кода. А ещё программист может обмазаться unsafe кодом, и никто ему не может этого запретить этим кодом накосячить
| | |
| 3.60, Аноним (58), 12:02, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Когда наконец откажутся от небезопасных ЯП.
И заменят их на безопасТные (квазибеопасные).
| | |
|
| 2.61, Сладкая булочка (?), 12:46, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Это огромный сложный проект. В них будут находили и будут находить ошибки, возможно с внедрением ИИ их станет меньше.
А то, что удалось найти только эту уязвимость и то, судя по описанию ответа от разработчиков, она не такая серъезная, говорит о высоком качестве кода в QEMU.
| | |
| 2.74, OpenEcho (?), 17:51, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Когда прекратится эта свистопляска?
как только все перейдут на Б3-34
| | |
|
| 1.5, Аноним (3), 20:17, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
сейчас самое время начать продавать агента, который будет в реальном времени следить за подобными новостями, анализировать предлагаемые mitigation's, накладывать патчи, обновлять системы
| | |
| |
| 2.22, Аноним (22), 22:06, 15/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
openclaw можно легко под такое заточить. Но его самого лучше запускать в виртуалке с дисками под ZFS, чтобы через него самого не пролезло что-то нехорошее и можно было бы откатиться после rm -rf / :)
| | |
| |
| 3.35, Аноним (-), 22:52, 15/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
> openclaw можно легко под такое заточить. Но его самого лучше запускать
> в виртуалке с дисками под ZFS, чтобы через него самого не пролезло что-то
> нехорошее и можно было бы откатиться после rm -rf / :)
Лучше btrfs - ибо с out of tree выкидышем вы при таком раскладе и озверении AI по части вулнов будете больше сидеть с дырами чем все остальное, ожидая пока ZFS допилят под новый кернел.
| | |
|
|
| 1.7, King_Carlo (ok), 20:24, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
 Умные уже давно перешли на локальные инфраструктуры, а не очень умные до сих пор сидят в облаках.
| | |
| |
| 2.10, Аноним (8), 20:25, 15/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Умные пользуются подкроватным сервером, а не очень умные зарабатывают деньги.
| | |
| |
| 3.11, King_Carlo (ok), 20:34, 15/05/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
Во как у вас в деревне всё устроено, "локальная инфраструктура" = "подкроватный сервер". Записал в книжечку под рубрикой "селюковое IT".
| | |
| |
| 4.15, Аноним (15), 20:48, 15/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну так обычно у местных "локальная инфраструктура" - это оно и есть. Не надо щеки надувать, тут 70% троллей виндузятников и 29% подкроватников сидит. Локальные инфраструктуры на коредуба поднимают.
| | |
|
|
| 2.52, penetrator (?), 07:18, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ты это кастомерам скажи, они же дубовые
иметь физическую инфраструктуру на проекте получается только, если твой авторитет на проекте может это продавить, а если ты тим лид какой, то овнеру обычно по барабану
| | |
| 2.67, Аноним (66), 16:36, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
У меня тут небольшой прод на всего лишь 300млн MAU. Мы его как раз в клауд мигрируем. С собственных датацентров, ага. И вот странное дело, мало того что так дешевле, так ещё и MTBF заметно улучшился. Хотя как ты понимаешь за столько лет его наполировали так, что улучшить что-то крайне сложно. Вот и кому верить: своим глазам или комменту на опеннете?
| | |
| |
| 3.71, Аноним (-), 17:05, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
> У меня тут небольшой прод на всего лишь 300млн MAU. Мы его
> как раз в клауд мигрируем. С собственных датацентров, ага. И вот
> странное дело, мало того что так дешевле, так ещё и MTBF
> заметно улучшился. Хотя как ты понимаешь за столько лет его наполировали
> так, что улучшить что-то крайне сложно. Вот и кому верить: своим
> глазам или комменту на опеннете?
Вот только если тот клауд удумает в одностороннем порядке какую-то гадость - в одностороеннем порядке - вы по этому поводу сделать сможете сделать - примерно ничего.
| | |
| |
| 4.79, King_Carlo (ok), 20:05, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
И что характерно, даже если облако, по счастливой случайности, не сделает адский факап, оно будет просто дороже в среднесрочной перспективе. Горе-экономистам, которые считают, что это не так нужно сменить сферу деятельности на что-нибудь попроще.
| | |
| |
| 5.86, Аноним (-), 19:28, 20/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
> И что характерно, даже если облако, по счастливой случайности, не сделает адский
> факап, оно будет просто дороже в среднесрочной перспективе.
Логично. Тем более что если оно в одностороннем порядке цены поднимет - а что вы им сделаете то? Будете все вон то мигрировать? Да ладно?! :D
| | |
|
|
| 3.78, King_Carlo (ok), 20:03, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Во-первых, реальный MTBF в облаке никто не знает, пока тебе о нём только рассказывают. Если в договоре прописаны штрафные санкции, удачи в многолетних судебных разбирательствах. Во-вторых, чтобы мигрировать с надёжной и отполированной локальной инфраструктуры в облако, надо буквально ничего не понимать в предметной области. Приятного теюе хождения по граблям.
| | |
| |
| 4.87, Аноним (-), 19:29, 20/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Под 300млн MAU уже собственный клауд строят :-)
Он, кажется, хочет посмотреть как именно выглядят отношения большого корабля и большой торпеды. Я не спорю, это бывает красиво. Но намного лучше если все это не у меня.
| | |
|
|
|
| 1.12, Аноним (12), 20:43, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Кучно пошли. Видимо подходы к безопасности снова нужно пересматривать. И сложность систем станет больше.
| | |
| |
| |
| 3.40, Аноним (12), 23:45, 15/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну за счёт упрощения будет усложнение. Микросервисы должны были упростить всё. В итоге получили огромного монстра из кучи элементов с кучей нюансов инфраструктуры и архитектуры систем.
| | |
| 3.45, Аноним (66), 04:50, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> надо упрощать системы
Надо сперва жизнь упростить, там и системы сами упростятся. Если сильно упростить, компьютеры вообще не будут нужны.
| | |
|
| 2.26, Аноним (23), 22:17, 15/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> подходы к безопасности снова нужно пересматривать
Устарел уже Линус, вот Джобс в его годы уже отошёл от разработки.
| | |
|
| |
| 2.34, Аноним (-), 22:50, 15/05/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Помнится в прошлой новости меня тыкали, дескать, openbsd небезопасна,
> притащив старую уязвимость в качестве аргумента. Вот и ответ прилетел (:
Жидковат ответик то вышел. Там прям в кернел мод из гуеста тупым багом с правами страниц - и потом шоу "...и еще тупее" когда его еще и починить с 1 раза нормально не смогли.
А тут - какой-то экзот в сильно не дефолтной конфиге которого надо еще сначала явно добавить. В общем какой-то асиметричный ответ... :)
| | |
|
| 1.17, Аноним (17), 20:53, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Итого два чтения памяти из области вне выделенного буфера которые жили несколько лет.
Конечно это просто случайность и совершенно не связано с языком программирования, на котором написан проект.
| | |
| 1.18, Аноним (18), 21:06, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Из новости не ясно, работает ли эксплоит в любой конфигурации QEMU, или только если в машину добавлены CXL-устройства
| | |
| |
| 2.21, Хру (?), 21:55, 15/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Думаю, если бы работало в дефолте, разработчики QEMU попросили бы эмбарго.
| | |
| 2.32, Аноним (-), 22:47, 15/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Из новости не ясно, работает ли эксплоит в любой конфигурации QEMU, или
> только если в машину добавлены CXL-устройства
Ну как бы если вулн в эмуляторе CXL - как ты его огревать будешь, если этот девайс не добавлен в виртуалку? Огревать эксплойтом тупо ж нечего?!
Так что походу новость вида "в черном черном городе, в полночь високосного года, в полнолуние, вас может зашибить толи дубом, толи упавшей цепью, толи кот вас подерет, но в общем надо очень постараться - и вообще сначала хорошенько наступить этому коту на хвост"
| | |
|
| 1.27, Аноним (27), 22:29, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я откатился с последней версии QEMU, ибо там тупо не работает гипервизор. Там чето сказано в релиз ноутах про улучшение поддержки гипервизоров. Классное улучшение, че. Мб вообще откачусь на 8ю, ибо там вообще все работало, а сейчас половина моих виртуалок не работает.
| | |
| |
| 2.31, Аноним (-), 22:44, 15/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Я откатился с последней версии QEMU, ибо там тупо не работает гипервизор.
Что значит - не работает гипервизор? Обычно его вообще ОС предоставляет. В линухе это KVM как правило. И таки работает вроде все.
| | |
| |
| 3.53, Аноним (27), 07:20, 16/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Че че. Замкнутый круг. Выдает ошибку не могу получить параметры гипервизора. В инете решение проблемы - выключить гипервизор. Выключаешь гипервизор - выдает ошибку не найден гипервизор. Решение проблемы - включить гипервизор. В предыдущей версии все работает.
| | |
| |
| 4.68, Аноним (66), 16:42, 16/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Собери дебажную версию и посмотри, как маленький ей-богу. Делов на час с чаепитием.
| | |
|
|
|
| 1.30, Аноним (-), 22:43, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> две уязвимости в коде эмуляции устройства CXL (Compute Express Link).
А, ну то есть все в лучших традициях - сотни хайпа, ужас-ужас и ... чтобы это реально огреть надо экзотичный конфиг, которым почти никто не пользуется (все юзают virtio как правило, если нет особых соображений). Как всегда.
| | |
| |
| 2.38, Аноним (38), 23:13, 15/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я тоже балдею от уязвимостей типа, запустить эксплоид для получения рута будучи локальным пользователем...
| | |
| |
| 3.72, Аноним (-), 17:15, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
> Я тоже балдею от уязвимостей типа, запустить эксплоид для получения рута
> будучи локальным пользователем...
При том - там надо еще чтобы экзотичные модули были вгружены, которые у большинства людей не загружены как раз. А если их не вгружено - надо root чтобы все же вгрузить. Такой вот pkunzip.zip получается. Так что на практике что-то извлечь таким вулном... эээ... это еще сильно постараться придется, чтоб еще и сработало.
| | |
|
|
| |
| 2.73, Аноним (-), 17:16, 16/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
> в proxmox ещё
> qemu-server 8.4.8
> можно выдыхать?
Ты активно юзал виртуалки с эмуляцией CXL чтоб тебя вообще парили вулны в нем? Ибо если девайса нет в виртуалке - как его атаковать тогда?!
| | |
|
|
