| |
| 2.28, Аноним (28), 18:05, 05/05/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Уязвимость эксплуатируется через создание в tar-файлах элементов с абсолютными файловыми путями.
Да не, да как это придумали?!
| | |
|
| 1.3, Аноним (3), 14:57, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Это же самый безопасный NIX!
Как жи таг?
Его используют не только школьники, но и военные.
Наверное последние просто в восторге.
| | |
| |
| |
| 3.6, Аноним (6), 15:42, 05/05/2026 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> А в чем, собственно, проблема?
В том, что ты не читал дальше заголовка.
> Доступ к хостам ограничен
А у вас там в локалке все админы, да? В новости же написано:
"Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix."
| | |
| |
| 4.8, Аноним (4), 15:57, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>А у вас там в локалке все админы, да? В новости же написано:
>"Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix."
Дак к nix-daemon доступ только с хоста
| | |
| |
| 5.21, Аноним (21), 17:36, 05/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Когда у тебя только локалхост с единственным пользователем это действительно не проблема. Но линуксом (втч и этим) пользуются не только на локалхостах. SELinux на Nix не взлетел, видите ли он Дольстре ломает умозрительную иммутабельность /nix/store (а номера инодов и адреса физических блоков не ломают? Того же порядка мета-информация ведь), а добавить метки в NAR-файлы у всех лапки; AppArmor с большего тоже никак, хотя и был признан более подходящим под идеи Nix. В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно. И это дистрибутив с передовыми идеями.
На сегодняшний день, если нужно что-то чуть менее игрушечное, чем юниксовое ugo, приходится брать RH. Там хоть SELinux осилили с грехом пополам.
| | |
| |
| |
| 7.31, Аноним (30), 18:11, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>>SELinux на Nix не взлетел
>Напомни, почему твое мнение важно?
Это объясняет реакцию.
| | |
|
| 6.25, Аноним (4), 17:49, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Когда у тебя только локалхост с единственным пользователем это действительно не проблема.
А почему это проблема с 20 000 хостами и 1000 человек в конторе?
| | |
| |
| 7.33, Аноним (21), 18:20, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Смотря что на тех 20к хостах. Если это по 20 локалхостов на каждого сотрудника, то проблемы всё ещё нет.
| | |
|
| 6.32, Аноним (32), 18:17, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно.
Если вы его написали, значит вы и есть желающий. У вас же сохранились наработки? Или вы всё таки не написали?
| | |
| |
| 7.47, Аноним (21), 03:08, 06/05/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
Я писал не для сообщества потребителей, а для платящего клиента под его требования. Не надо меня в желающие записывать. Я за бесплатно только комменты на опеннете пишу.
| | |
|
|
|
| 4.27, Аноним (27), 18:01, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> В том, что ты не читал дальше заголовка.
Кажется, это ты не читаешь. Что мешает запускать nix не от рута?
| | |
| |
| 5.34, Аноним (21), 18:21, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Что мешает не от рута подменить в /nix/store бинарник, который ты от рута запускаешь?
| | |
| |
| |
| 7.48, Аноним (21), 03:09, 06/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> каталог только на чтение
Да? А как туда nix-daemon пишет не расскажешь? Неужели через libastral?
| | |
|
|
|
|
|
| 2.38, Дворник (??), 19:20, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Норм там всё. Трудно представить NIXOS-систему, где в конфиге не прописано что-то типа
'nix.settings.allowed-users = [ "@wheel" ];'
| | |
| |
| 3.44, ruroruro (ok), 21:14, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Мне интересно, даже если не установлен allowed-user, кажется что эксплоит все равно не должен работать. Потому что вроде как по дефоту список trusted-users - пустой (а пользователи не находящиеся в категории trusted-users по идее могут распаковывать только подписанные NAR архивы).
То есть кажется, что для того чтобы "любой пользователь" мог воспользоваться этим эксплоитом, этот пользователь должен либо убедить админов добавить свои ключи в trusted-public-keys, либо каким-то образом подписать "зловредный" NAR оффициальными ключами cache.nixos.org. Что в принципе возможно, но все-таки уже не настолько страшно звучит как "Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon". Или я что-то упускаю?
| | |
| |
| 4.52, Дворник (??), 08:58, 06/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> могут распаковывать только подписанные NAR архивы).
Да, насколько я тоже понимаю, всё верно.
NAR-ы на деревьях не растут, ключь от cache.nixos.org по идее не особо публичен..
| | |
|
|
|
| 1.18, Аноним (30), 17:06, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Неограниченная рекурсия. Детская ошибка. Квалификация автора и сопровождающего?
| | |
| |
| |
| 3.46, ruroruro (ok), 22:34, 05/05/2026 [^] [^^] [^^^] [ответить] | +2 +/– | Отличия - в основном организационно-политические С одной стороны, там действите... большой текст свёрнут, показать | | |
|
|
| 1.26, Аноним (32), 18:00, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>Проблема решена ограничением уровня рекурсии в 64 вложенных директории, добавлением сторожевых страниц памяти между стеком и кучей
Опять кто-то не уследил за размерам буфера. Непонятно только, зачем число хардкодить.
| | |
| |
| 2.29, Аноним (28), 18:07, 05/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Непонятно только, зачем число хардкодить.
Ну как же, системы сейчас - 64-битные, адресного пространства - бит 48 как минимум. Вот и ввели цифру 64 для максимального количества каталогов.
| | |
|
| 1.36, Дворник (??), 18:33, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Так-то кто имеет уже доступ к nix-daemon, ох, к чему только ни имеет уже его..
Но да, тут уже формально. Имеет.
| | |
| 1.39, Аноним (40), 20:11, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Lix is designed for evolution of its codebase. Lix already uses the more modern meson build system, which improves developer usability and decreases build times. Plans include a gradual, piecewise introduction of the memory-safe Rust programming language – to both supplement and replace sections of the current C++ codebase.
Не, спасибо, не надо.
| | |
| 1.42, Аноним (42), 21:00, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да вы блин скажите, нужно учить этот их язык для пользования ос или для всего есть дефолтные конфиги, которые можно просто поправить по доке?
| | |
| 1.43, Аноним (43), 21:03, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> исчерпания стека сопрограмм и перезаписи содержимого кучи
GNU malloc наносит ответный удар со своим выделением переменных в конце стека "для скорости"?
| | |
| |
| 2.55, Аоним (?), 18:55, 06/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
В начале кода вызванного через call кода присутствует стандартный механизм корректировки SP под следующий call. Если кто-то думает, что можно разместить кучу в космосе, а не в каком-то удаление (не в плотную) от стека программы, то он заблуждается. А загораживаться через сег. регистры в едином пространстве при стандартных вызовах - глупо. Поэтому "абстракные" думают, что существует бесконечная рекурсия - она ограничена способностью корректировать указатель стэка.
| | |
|
|
