| 1.1, Аноним (1), 09:29, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Механизм теневого стека поддерживается начиная с 11 поколения процессоров Intel ("Tiger Lake" и "Rocket Lake") и микроархитектуры Zen3 в процессорах AMD.
А на более ранних процессорах что? Будет эмулироваться или не будет использоваться?
| | |
| |
| 2.2, Alladin (?), 09:33, 02/07/2026 [^] [^^] [^^^] [ответить]
| +8 +/– | |
процессоров раньше zen3 и tiger_lake/rocket_lake не существует, ты о чем?)
а все тех кто не поддерживает - выбьем невалид инструкции и отправим в магаз за новым железом
| | |
| |
| 3.6, Аноним (6), 09:42, 02/07/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
А что вы думали, сможете купить компуктер и пользоваться им сколько хотите?!
| | |
| |
| 4.11, Alladin (?), 10:06, 02/07/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
не знаю, zen3 вышел в 20 году. zen2 вышел в 19 году.
обновлять железо по мере выхода через каждый год?)
| | |
| |
| 5.18, Аноним (6), 10:20, 02/07/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
К тому же дата выпуска даже не ориентир, например я купил 5700G совсем недавно, не знаю какого качества у него зен, но меня всё устраивает!
| | |
| 5.23, Аноним (23), 10:33, 02/07/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Amd запутывает покупателей и продает zen2 для ноутбуков 5 раз перемаркированные, так что старые процессоры вполне могут быть "новыми". Так что обновляться нужно очень внимательно.
Думаю при недоступности инструкций эта защита будет неактивной.
| | |
| |
| 6.25, Аноним (23), 10:38, 02/07/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Проверил, нет проблемы
This change enables Shadow Stack protection on applications and libraries built with gcc (C, C++), clang (C, C++), and rustc (Rust) by default *on x86_64 machines that support it* on Fedora Linux 45
| | |
|
| 5.37, test (??), 11:19, 02/07/2026 [^] [^^] [^^^] [ответить]
| –4 +/– |
Чего ? zen 2 это райзен 5 2ххх. Он что вышел в 19хх годах?
| | |
|
|
| 3.10, Аноним (10), 10:05, 02/07/2026 [^] [^^] [^^^] [ответить]
| –3 +/– |
А вы думали, что разработчики обязаны поддерживать ваш хлам вечно?
Это опенсорс, тут никто никому не должен.
Вы всегда можете сделать форк без этих изменений.
| | |
| |
| 4.13, Alladin (?), 10:08, 02/07/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
даже кора дуба с первым 86_64 еще что-то может, а мы тут про zen2 к примеру.. это хлам?, совсем нет
| | |
| |
| 5.19, Аноним (19), 10:21, 02/07/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> даже кора дуба с первым 86_64 еще что-то может,
"кому и кобыла - невеста" (с)
"Что-то" - это хорошее описание.
> про zen2 к примеру.. это хлам?, совсем нет
А теперь зададися вопросом ʼа нужна ли последняя федора c такой защитой юзерам зен2ʼ.
Наверное нужна.
Но реализовать ее без аппаратной поддержки не имеет смысла, так как производительность.
| | |
| |
| 6.45, анм (?), 13:09, 02/07/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
правильная постановка вопроса - а нужна ли федора? ответ очевиден
| | |
| |
| 7.50, _kp (ok), 14:38, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Процент десктопов имеено с Redhat крайне мал и составляет около 0.1 - 0.15%.
Не все компьютеры в этой группе устаревшие, и проблема устаревания затронет лишь небольшую часть их них.
А горевать о проблемах на 0.02% десктопов.. да нет никаких проблем.
| | |
|
|
|
|
|
| 2.3, Аноним (3), 09:36, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Так cf-protection это аппаратная фича. Фактически, всё, что делается, делается для облачных серверов, и облачные сервера обновляются каждые 2 года или около того. Тебе не о чем беспокоиться, можешь отключить это всё.
| | |
| |
| 3.14, Alladin (?), 10:09, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– | |
а fedora это не обязательно облачная инфра которую обровляют каждые два года. + ничего не отключишь, разве что не пересоберешь.
| | |
| 3.16, Аноним (16), 10:16, 02/07/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну щас прям. 3 года это к чему стремятся, на практике больше, а в частных так и десятилетие процы запросто увидеть, тем более после 2022.
| | |
|
| 2.67, morphe (?), 21:03, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> А на более ранних процессорах что? Будет эмулироваться или не будет использоваться?
При включении CET отдельные NOP инструкции превращаются в инструкции управления shadow stack
| | |
|
| |
| 2.9, Аноним (3), 09:53, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
В глибц. Бинари и так с cf-protection собираются, но только если там нет раста.
| | |
| |
| 3.28, Аноним (6), 10:48, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Интересует вопрос как это реализовано в случае запуска на несовместимом железе. В офишл анонсе этот момент даже не упоминается.
| | |
| |
| 4.48, нах. (?), 14:07, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– | |
дык - illegal instruction тебе, и привет.
ишь, захотел, на немодной своей коре дуба пре-альфа-тест-версию ентер-прайсного дистрибутива запускать!
| | |
| 4.56, Аноним (56), 17:10, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Перед использованием фичи происходит проверка её поддержки через CPUID. В общем, точно так же, как и в случае кучи других аппаратно-специфичных фич
| | |
|
|
|
| 1.8, aname (ok), 09:50, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Они так и раст сделают ненужным (хотя, казалось бы, что поменялось бы)
| | |
| |
| 2.12, Аноним (10), 10:08, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> в случае переполнения буфера в стеке
А остальное?
Или use-after-free, double-free и т.д уже не страшно?
Сейчас просто пытаются костылями исправить убогость.
| | |
| |
| 3.20, aname (ok), 10:22, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
>> в случае переполнения буфера в стеке
> А остальное?
> Или use-after-free, double-free и т.д уже не страшно?
> Сейчас просто пытаются костылями исправить убогость.
Убогость ансейфа раста, надо понимать?
| | |
| |
| 4.30, Аноним (30), 10:51, 02/07/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Убогость СИ.
В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных весь код ансейф.
К расту судя по его добавлению в AOSP, ядро, клоудфларю или git претензий нет 🤷🏻♂️.
| | |
| |
| 5.35, aname (ok), 11:11, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
> Убогость СИ.
> В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных
> весь код ансейф.
> К расту судя по его добавлению в AOSP, ядро, клоудфларю или git
> претензий нет 🤷🏻♂️.
Да, мы все видели, что произошло с клаудфларяй после добавления раста.
То ли ещё будет.
Ну да, в Си весь код ансейф. Пишите нормально- будет нормально. seL-4 отличный пример, что если писать нормально- будет нормально. Хочешь спорить- пруфуй дыры в seL-4.
| | |
| |
| 6.39, Аноним (39), 11:32, 02/07/2026 [^] [^^] [^^^] [ответить] | +1 +/– | Оно упало Это именно то, что предлагают разработчики теневого стека В когда ... большой текст свёрнут, показать | | |
| |
| 7.41, aname (ok), 11:54, 02/07/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
>[оверквотинг удален]
>> Хочешь спорить- пруфуй дыры в seL-4.
> Какая поsosная попытка манипуляции.
> Тебе должно быть стыдно.
> Ну ладно, опущусь на твой уровень.
> 1. Сайт самого sel4
> sel4.systems/About/FAQ.html#does-sel4-have-zero-bugs
> There may still be unexpected features in the specification and one or
> more of the assumptions may not apply.
> 2. Оказывается в доке могут быть не описаны особенности платформ
> github.com/seL4/seL4/issues/1108
Тебе до моего уровня дорости бы.
> По причине.. ну не знаю, того что инструмент овно?
Почему же, почему же, uutils не стал coreutils?
Эх, оказывается, вот оно чо.
А ведь есть ещё горы всего.
> Но почему никто не пишет?
Видимо, в этом есть какая- то причина?
> Это именно то, что предлагают разработчики "теневого стека")
А ведь для этого разработали раст. Я против траты усилий создателей процессоров на то, что уже реализовано в расте.
> seL-4 - отличный пример, что убогая дьipяшка
> не может выдать нормальный код.
На чём же написана seL-4?
> Какая поsosная попытка манипуляции.
Ну, какие ты можешь выдать манипуляции, кстати, осуждаю, такие ты и выдаёшь
Пруфы про дыры- то будут? CVE, RCE?
| | |
| |
| 8.43, Аноним (43), 12:17, 02/07/2026 [^] [^^] [^^^] [ответить] | +/– | Ахахаха Давай жги еще Что значит не стал Планы замены coreutils никуда не ис... большой текст свёрнут, показать | | |
| |
| 9.46, aname (ok), 13:18, 02/07/2026 [^] [^^] [^^^] [ответить] | –1 +/– |  gt оверквотинг удален Так инструмент же идеальный, а что случилось- то Кажетс... текст свёрнут, показать | | |
| |
| 10.49, Аноним (49), 14:37, 02/07/2026 [^] [^^] [^^^] [ответить] | +/– | Это бред растохейтеров, которые даже не читали документацию Баги Они случаются... большой текст свёрнут, показать | | |
| |
| 11.55, aname (ok), 16:28, 02/07/2026 [^] [^^] [^^^] [ответить] | +/– |  gt оверквотинг удален Качество раста мы увидели на примере клаудфлари и пробле... большой текст свёрнут, показать | | |
| |
| 12.59, Аноним (59), 18:00, 02/07/2026 [^] [^^] [^^^] [ответить] | +/– | Клаудфларя просто упала, а не раздавала юзерские данные как код на дыряшке Ну, ... большой текст свёрнут, показать | | |
|
|
|
|
|
| 7.60, Аноним (60), 18:06, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> seL-4 - отличный пример, что убогая дьipяшка не может выдать нормальный код.
"Выдавать" код должен программист. Вам же сказали, "если писать нормально - будет нормально". Код seL-4 "писали нормально" - сначала написали на Хаскеле, потом верифицировали, потом сконвертировали в Си.
> Приходится брать Хаскель, писать на нем прототип и фреймворк для верификации.
Вы предлагаете писать ядра ОС на хаскеле? Или утверждаете, что верификации не потребовалось бы, пиши они на каком-то другом языке (ещё раз упомяну, даже при написании на Хаскеле, верификация кода потребовалась)?
> Советую почитать статью "seL4: Formal Verification of an OS Kernel"
sigops.org/s/conferences/sosp/2009/papers/klein-sosp09.pdf
А вот за ссылку - спасибо!
| | |
| |
| 8.62, Аноним (62), 19:13, 02/07/2026 [^] [^^] [^^^] [ответить] | +/– | Так я ж не против Но чего ядро линукс дырявое Там даже -werror нельзя включить... большой текст свёрнут, показать | | |
|
|
|
|
| 4.32, Аноним (32), 10:52, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Убогость СИ.
В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных весь код ансейф.
К расту судя по его добавлению в AOSP, ядро, клоудфларю или git претензий нет 🤷🏻♂️.
| | |
| 4.42, Аноним (42), 11:59, 02/07/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
У тебя половина библиотек в расте дёргает сишные функции. А оставшиеся unsafe на unsafe и unsafe-ом погоняет. И ты ещё выпендриваешься. Тебя нужно переписать. А миллионы строк оттестированного кода на Си - нет. Прими это. Следущая остановка - депрессия.
| | |
| |
| 5.44, Аноним (44), 12:44, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> У тебя половина библиотек в расте дёргает сишные функции.
Отлично, значит есть что улучшить.
> А оставшиеся unsafe на unsafe и unsafe-ом погоняет.
Громкий бздох в лужу, но я не вижу доказательств.
> И ты ещё выпендриваешься. Тебя нужно переписать.
У тебя какой-то приступ шuзы?
> А миллионы строк оттестированного кода на Си - нет.
1000+ CVE в ядре за месяц наверное нашли в каких-то других миллионах строк кода)
Dirty Fag'и продолжают делайть Copy Fail'ы.
Дырени в Х11 находят уже третий десяток лет.
> Прими это. Следущая остановка - депрессия.
Депрессия от чего?
Я то доволен: дырявый код заменеяется на менее дырявый (ошибки логики и тд).
Вон хром выкинул FreeType от дырявых.
Так что я доволен, жую попкорн.
| | |
|
|
| 3.52, _kp (ok), 15:21, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
>>Сейчас просто пытаются костылями исправить убогость.
Убогость вообще то, прямо внесли еретическими изменениями стандартов, и UB стало там, где его раньше не было. И компиляция без отключения флагами компилятора планового UB стала не гаррантировать результат.
| | |
| |
| 4.54, Аноним (54), 16:01, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
А в чем проблема? Сиди на старом стандарте.
Для СИшки еще хорошим тоном считается прибивание компилятора и его версии.
Так как конь-пиляторов куча, ни один из них не реализует стандарт полностью (здорово правда? (с)).
Создатели компиляторов сидят на разных веществах поэтому в них UB/ID могут решаться по разному.
| | |
|
| 3.69, Ivan_83 (ok), 00:06, 03/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
> use-after-free, double-free
Это легко лечится заменой free() на заглушку, только результат вам не понравится :)
| | |
|
|
| 1.17, Аноним (6), 10:18, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В других новостях - федора не смогла протолкнуть идею AI desktop хомяч.. т.е. своему камюнити из-за преобладающего сопротивления грызуно^H^H^H её членов. Федора обещает показать кускину ма..^H^H реформировать процесс убрав из него недовольную галерку ради большей открытости, прогресса и добра!
| | |
| |
| 2.22, Аноним (22), 10:31, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Там ровно наоборот, поверили на слова авторам, а недовольных не заметили и чуть не утвердили AI Desktop. Теперь пытаются переделать процессы, чтобы учитывать мнение сообщества. https://www.opennet.ru/65454
| | |
| |
| |
| 4.27, Аноним (27), 10:48, 02/07/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Я про вчерашний анонс. Если федора была бы заинтересована во мнении камюнити,
А много ли каммюниким привносит в федору?
> то вопрос с АИ десктопом больше бы не поднимался.
Если выкидывать любую идею от которой подгорело у снежинок, то сидели бы досих пор на первопнях.
> Вместо этого федора собирается проталкивать это дальше под более отказоустойчивым бюрократическим процессом:
> https://www.mail-archive.com/devel-announce@lists.fedoraproject.org/msg03
Логично.
Если представитель Сообщества™ просто кдуахтает на форумах и рассылках, то зачем его слушать?
| | |
| |
| 5.31, Аноним (6), 10:52, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ну правильно, только одни пользователи, кому они нужны если можно пилить неунужно-в-сферическом-вакууме на деньги корпов/железовендоров.
| | |
| |
| 6.34, Аноним (34), 10:55, 02/07/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Ты про деньги рпавильно вспомнил.
Да. Федора это песочница шапки.
В которой проверяются идеи и фичи, нужные для клиентов шапки (пользователей) и потому будут добавляться в RHEL.
Поэтому в первую очередь должны учитываться интересы тех, ко вкладывает ресурсы.
Васяны которые ничего не делают, но требуют должны посылаться на Хурд - там точно нет ни корпораций, ни денег.
| | |
|
|
|
|
|
| 1.29, Аноним (29), 10:50, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Несовпадение адресов приводит к генерации исключения, блокирующего ситуации, когда эксплоиту удалось перезаписать адрес в основном стеке.
Ахаха! Кажется СИшники придумали panic.
А ведь столько раз рассказывали "уууу! нельзя чтобы программа падала! пусть лучше рута подарит злоумышленнику!"
Что дальше?
Добавят борова?
| | |
| |
| 2.47, Аноним (47), 13:28, 02/07/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Что дальше?
Перейдёт на Паскаль, там ещё в прошлом веке были статические и динамические проверки диапазоном массивов.
| | |
| 2.61, Grunman (ok), 18:54, 02/07/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я вот думаю, когда уже сделают раздельный аппаратный стек для данных и для вызовов, о котором говорили ещё авторы Forth в 70-е? Ведь тогда в небытие уйдет целый класс уязвимостей, с которыми нынче пытаются бороться растеры...
| | |
| |
| 3.63, Аноним (62), 19:20, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Не только растеры.
Вон С++ пытаюится в SafeC++
Сишники делают какой-то TrapC.
Или форкают LLVM с добавлением "-fbounds-safety".
Правда результаты... ну так себе
"Включение режима "-fbounds-safety" снижает производительность приложений в среднем на 5% (разброс от -1% до 29%), увеличивает размер кода на 9.1% (разброс от -1.4% до 38%) и замедляет компиляцию на 11%."
Но лучше чем MiraclePtr
We anticipate that MiraclePtr meaningfully reduces the browser process attack surface of Chrome by protecting ~50% of use-after-free issues ...
Проблема в железе. Его переделывать очень дорого.
| | |
|
|
| 1.40, Axonic (ok), 11:38, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Дилетантский вопрос:
зачем тогда вообще сравнивать с адресом основного стека? Почему сразу не брать адрес возврата из теневого стека?
| | |
| |
| 2.53, аноним12345 (?), 15:44, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– |
Сабж решает не только проблемы с намеренной заменой адреса, но и со случайной, в т.ч. из-за деградации RAM. Что для большинства применений критичнее, чем все эти ваши кулхацкеры.
| | |
| 2.65, Аноним (-), 19:41, 02/07/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Потому что это x86. Эта платформа исторически всегда legacy. Даже первый 8086 тащил в себе решения которые мигрировали в него из 8080 для совместимости. И так было всегда. Были моменты, типа перехода на x86_64, когда были ломающие изменения, но это был исключительный случай когда ISA была разработана не в Intel, а в AMD.
Shadow Stack был разработан в Intel. А значит он разработан так, чтобы существующие бинари могли бы не замечать его существования. Чтобы существующие отладчики, профайлеры могли бы не замечать его существования. Чтобы размотка стека работала бы, даже если часть твоей программы пользуется теневым стеком, а часть (библиотека какая-то) никогда про него не слышала.
| | |
|
|