Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе"  +/
Сообщение от opennews (?), 03-Июл-26, 18:33 
В пакетном менеджере Guix выявлены уязвимости (CVE не назначены) в реализации внутренней команды "guix substitute", автоматически вызываемой фоновым процессом guix-daemon при выполнении операций установки пакетов. Команда применяется для загрузки уже собранных бинарных пакетов с внешних серверов с проверкой их целостности при помощи цифровой подписи. Наиболее опасная уязвимость позволяет удалённо организовать выполнение кода на системе пользователя с правами под которыми выполняется фоновый процесс guix-daemon...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65837

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от sdk3 (?), 03-Июл-26, 18:33   +/
А ведь и в NixOS подобное может быть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

3. Сообщение от Аноним (3), 03-Июл-26, 19:01   +2 +/
> для распаковки по мере загрузки пакета, не дожидаясь его полной загрузки и верификации загруженного архива по цифровой подписи.

Действительно, зачем верификация архива?
Мы же очень спешим!

Жаль в статье и огигинально блогпосте не сказано сколько лет жил бекдор

Но даже применение Scheme не помогло )))))

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 03-Июл-26, 20:07   –5 +/
Если применение Scheme не помогло, то применение языка, который только от выходов спасает, тоже не поможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 03-Июл-26, 20:17   +1 +/
Есть такая популярная картинка. Самолёт, вид снизу, и много-много пробоин в разных местах. Какие места следует защищать в первую очередь?

Интересно, как бы выглядели разные дистры в такой концепции)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #19

6. Сообщение от Аноним (6), 03-Июл-26, 21:14   –1 +/
Может, но с меньшей вероятностью, NixOS хотя бы используется где-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8

8. Сообщение от Аноним (8), 03-Июл-26, 22:13   –1 +/
Да примерно одинаково, по ощущениям. Кроме того, они нередко уязвимости между собой делят, так как имеют общий код на плюсах. Но вроде и в одном и в другом в разработкке есть версии на других языках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9, #12

9. Сообщение от Аноним (9), 03-Июл-26, 22:22   +1 +/
Там этого общего кода, хрен да маленько.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11

10. Сообщение от Аноним (9), 03-Июл-26, 22:24   +/
Фикс прилетел, новость пложительная, продолжаем пользоваться самым лучшим дистрибутивом линукс бесплатно. Спасибо всем причастным!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

11. Сообщение от Аноним (8), 03-Июл-26, 23:11   +/
Маленько, однако самые критичные уязвимости обычно там и всплывают. На уровне демона, который у многих работает с root правами, как я полагаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14

12. Сообщение от Аноним (12), 03-Июл-26, 23:13   +/
Я на NixOS для финтех-стартапа и для околовоенного контрактора прод деплоил. А Guix даже на виртуалку не ставил, так что точно не одинаково.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13

13. Сообщение от Аноним (8), 03-Июл-26, 23:28   +1 +/
Так тут про критические уязвимости речь ведётся. Они существуют вне зависимости от того что и куда ты ставил и что тебе удобнее использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

14. Сообщение от Аноним (9), 03-Июл-26, 23:58   +/
>самые критичные уязвимости обычно там и всплывают. На уровне демона

В guix кода на C++ 1.2% от общего, и на сколько я знаю, этот код относится к стору (но и его вроде как собирались переписывать). Общего с nixos только идея, это совершенно другая реализация.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от _ (??), 04-Июл-26, 05:09   –1 +/
А как эти долбоящеры шаркали ножкой, мол вотЪ у нас то - не то что у вас! А оказалось оно - оно везде оно! :)
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от _ (??), 04-Июл-26, 05:10   +/
У всех пяти юзеров этого - сегодня праздник. Про их вонялку в кои то веки написали не они сами! Ну и пох что дырени :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

17. Сообщение от Аноним (12), 04-Июл-26, 05:32   +/
Существуют пока не найдут. Находят быстрее в том, чем пользуются. И это не сабж.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

18. Сообщение от Аноним (18), 04-Июл-26, 08:49    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (5), 04-Июл-26, 09:00   +/
Ок, "долетевший самолёт". Хотя, ненужная точность порой сильно мешает полёту мысли))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру