Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GNU screen, позволяющая выполнить код с правами root"	+/–
Сообщение от opennews (?), 12-Май-25, 23:52
В консольном оконном менеджере (мультиплексоре терминалов) GNU screen, предоставляющем многооконный интерфейс в консоли, выявлено  5 уязвимостей. Наиболее опасная проблема  (CVE-2025-23395) позволяет получить права root в системе. Исправление выключено в состав сегодняшнего выпуска screen 5.0.1... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63226
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+6 +/–
Сообщение от Витюшка (?), 12-Май-25, 23:52
Некорректное использование функции strncpy()...
Ответить | Правка | Наверх | Cообщить модератору

	2. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (2), 12-Май-25, 23:59
	приводящее к аварийному завершению при выполнении специально оформленных команд. Вы же вроде в расте как раз такое и любите - чуть что - сразу паника (аварийное завершение)
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+3 +/–
	Сообщение от НяшМяш (ok), 13-Май-25, 00:17
	А вы в сяшечке всё так же любите игнорировать предыдущие 4 уязвимости, лишь бы растовиков попинать. Почитал описание функции strncpy и за голову схватился - словосочетание "behavior undefined" встречается аж 3 раза. Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой, ничего при этом не испортив, чем как сяшечники звучно оподливившись в шаровары.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+2 +/–
	Сообщение от Нуину (?), 13-Май-25, 00:48
	> Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки на корню.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Rev (ok), 13-Май-25, 02:14
	Да-да, только никто этого не делает :(
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (49), 13-Май-25, 08:10
	> Никто не мешает написать в строки, которые хранят в себе длину и убрать все эти ошибки на корню Убрать ошибку на корню - это юзать нормальный язык вместо С. Но это ж надо уметь делать выводы из полувека наступаней на грабли...
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	12. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+4 +/–
	Сообщение от Нуину (?), 13-Май-25, 01:18
	> Мы уж лучше в расте красиво навернёмся с подробным стектрейсом и ошибкой, Ну, судя по тому, что никто не использует rustscreen или что-то подобное, похоже растовщики по прежнему наворачиваются с подробным стектрейсом и ошибкой. >  ничего при этом не испортив Да, сложно испортить код, которого нет.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	21. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от _kp (ok), 13-Май-25, 01:53
	Так есть и другие способы работы со строками, даже не в C++, но и в С, и в том числе на микроконтроллерах. А тащить бородатые "стандартные функции", которые на каждый чих надо обкладывать проверками, но на это  все равно где нибудь забьют, так себе стиль.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	48. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от анонимммм (?), 13-Май-25, 07:17
	Стандартные строковые функции - идеальны. Делают ровно то, что заявляют. Если не хочется обкладывать код проверками, то эти проверки придётся интегрировать в сами функции, которые тем не менее придётся обкладывать проверками. "Так себе стиль" - просто норма жизни. Без проверок нельзя.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от 12yoexpert (ok), 13-Май-25, 02:30
	у тебя уродский кот, вообще не смешной, стрёмный и скучный
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	29. Скрыто модератором	+/–
	Сообщение от Аноним (-), 13-Май-25, 02:43
	ноль саморефлексии
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (33), 13-Май-25, 03:48
	КоКом тебе лещщща за котика!!
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	30. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Оно ним (?), 13-Май-25, 03:00
	А из предыдущих четырёх раст бы защитил от одной - с состоянием гонки. А остальные точно так же и в расте были бы.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	45. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (-), 13-Май-25, 06:26
	Behavior undefined, это нормально для системного языка программирования. Ненормально когда люди проектирующие язык программирования пытаются полностью устранить Behavior undefined. Behavior undefined - это просто объективное явление, его невозможно полностью устранить. И наличие в языке behavior undefined, не делает язык автоматически плохим. Вам надо уметь гибко мыслить, шаблонное мышление, это плохо.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	50. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от anonymous (??), 13-Май-25, 08:23
	> Behavior undefined, это нормально для системного языка программирования Ага. Допускаешь ошибку и у тебя удаляет все файлы из корня. Почему? Потому что поведение неопределено - компилятор что хочет, то и делает.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (51), 13-Май-25, 08:32
	По-хорошему, следует признаться себе, что никаких «строк» (в нормальном понимании) в сишечке нет, и избегать библиотечных функций str* как огня. Но — зачем напрягаться. Что дедам было хорошо, и нам сгодится.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	5. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+2 +/–
	Сообщение от Аноним (5), 13-Май-25, 00:30
	>> приводящее к аварийному завершению при выполнении специально оформленных команд. >> Bad strncpy() Use Leads to Crashes when Sending Commands > Вы же вроде в расте как раз такое и любите - чуть что - сразу паника (аварийное завершение) Я расстрою очередного (к)експерта, но panic - это _контролируемое_ завершение программой самой себя, в случае непредвиденной (или осознанно проигнорированной погроммистом) ошибки-ситуации. А не вот это вот любимое Настоящими Погроммистами "мы тут немного попортили память за пределами буфера, вследствии чего код далее делал незнамо что, пока не прилетел SIGABRT" ...
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	20. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от Аноним (2), 13-Май-25, 01:50
	Дак ведь SIGABRT тоже на сишке написан (в ядре), что не нравится то?
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от _kp (ok), 13-Май-25, 02:00
	> panic - это _контролируемое_ завершение.. Но не всегда уместное. А вне десктопа и совсем не уместное. > немного попортили память за пределами буфера тут не ручной перезапуск уместен, а замена ПО требуется. Ну, можно же и на Си нормально работь со строками, без неандертальских функций и тупых строковых буферов. Ну, ладно, хотя бы  в коде не требующего сверхбыстродействия.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	32. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (32), 13-Май-25, 03:27
	> А вне десктопа и совсем не уместное. Ты всё перепутал. Это как раз на десктопе таким пугать пользователя нельзя. А на сервере я как раз хочу чтобы упало, а не тихонько неизвестно как то ли работало, то ли память портило. Как падения софта мониторить давно придумали и решили сотней разных способов. А вот как мониторить порчу памяти до сих пор не договорились.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (33), 13-Май-25, 03:55
	Идея паники понятна, но аноним попался на незнании ОС ни Сижки: sukabrt это тебе он сегфоулт, он швыряется тоже по пурпоузу, как и эксепшен этот ваш панический. Если словил аборт это как раз самое контролируемое что ни на есть
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
Сообщение от Аноним (6), 13-Май-25, 00:30
>> нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта Диды бы такого не допустили...
Ответить | Правка | Наверх | Cообщить модератору

	9. Скрыто модератором	+2 +/–
	Сообщение от Аноним (9), 13-Май-25, 01:01
	Больше кодеров с гпт!
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (16), 13-Май-25, 01:39
	> нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта И на хрена было выпускать ветку screen 5.0? Не устраивает ветка 4.9 пишите свою новую на Rust или Go
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	18. Скрыто модератором	+/–
	Сообщение от Аноним (18), 13-Май-25, 01:41
	На расте уже всё давно написано, GNU screen не нужен.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (33), 13-Май-25, 03:56
	Диды допустили
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. Скрыто модератором	+/–
Сообщение от крокодил мимо.. (-), 13-Май-25, 01:01
просто оставлю это здесь.. https://undeadly.org/cgi?action=article;sid=20090712190402
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+2 +/–
Сообщение от sena (ok), 13-Май-25, 01:04
> нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта То есть диды написали тонны сишного кода в ГНУ/Линуксах и уходят, а сопровождать его вместо них некому.
Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Нуину (?), 13-Май-25, 01:15
	> То есть диды написали тонны сишного кода в ГНУ/Линуксах и уходят А где там в gnu screen тонна кода? > а сопровождать его вместо них некому. Получается некому, а те, кто могут, не хотят. Об этом яжфин говорил, что проблема есть в сопровождающих.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от sena (ok), 13-Май-25, 01:25
	> Об этом яжфин говорил, что проблема есть в сопровождающих. Тогда все эти мансы с растом обретают иной смысл - просто Торвальдс хочет привлечь к разработке молодёжь, а она в си не умеет и не хочет. Ну и скандал, борьба, революция, всё это тоже важно для привлечения молодёжи.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Нуину (?), 13-Май-25, 01:35
	> Тогда все эти мансы с растом обретают иной смысл - просто Торвальдс хочет привлечь к разработке молодёжь, а она в си не умеет и не хочет. Ну и скандал, борьба, революция, всё это тоже важно для привлечения молодёжи. Я думаю там замешаны конторы, у которых ставка на раст. У них профит простой: нужны дешевые разрабы. > а она в си не умеет и не хочет. Справедливости ради молодёжь много чего не умеет не хочет. А нет, умеют писать жручие и тормозные поделия на электроне.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
	Сообщение от _kp (ok), 13-Май-25, 02:06
	Если проблемы не было, а в предпоследней версии появилась, то или молодежь самовыражалась, ведь нигде так часто, как в открытых проектах буфера не переполняются, отвечать то за писанину не надо, или даже сделано сознательно, рустофилами, для нагнетания вони о переполнении буферов.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (42), 13-Май-25, 05:39
	> сделано сознательно, рустофилами, для нагнетания вони о переполнении буферов. Растовики sroot сишникам в штаны?
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от 12yoexpert (ok), 13-Май-25, 02:28
	меня больше тревожит, что некоторые "не умеют в русский язык"
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	36. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (33), 13-Май-25, 03:57
	Почем тебя это тревожет
	Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	–1 +/–
Сообщение от Krtek (?), 13-Май-25, 01:24
>они так и не смогли подготовить исправления для всех уязвимостей Всё, что нужно знать о GNU.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	–1 +/–
Сообщение от Аноним (18), 13-Май-25, 01:40
Zellij, tab-rs.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+1 +/–
Сообщение от Аноним (19), 13-Май-25, 01:45
> сотрудникам SUSE пришлось подготовить некоторые патчи самостоятельно. По мнению проводивших аудит исследователей, нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта и не способны полностью разобраться в выявленных проблемах безопасности. А нынешний сопровождающий — это alexander_naumov@opensuse.org ведь? Они там меж собой в suse договориться не могут даже?
Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (37), 13-Май-25, 04:07
	Не суди строго: должно быть бро открыл олдскульную кодовую базу и у него глаза потекли, моментально окислился
	Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
Сообщение от Аноним (31), 13-Май-25, 03:01
Роллинг это быстрые фиксы с одной стороны и новые вулны с другой.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
Сообщение от Аноним (43), 13-Май-25, 06:09
> только в ветке screen 5.0.0, которая поставляется в Fedora Linux, Arch Linux, > NetBSD, OpenBSD и Alpine. Спасибо этим господам что побегали для нас по минному полю и разминировали прямо его своими тушками :)
Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
	Сообщение от Аноним (44), 13-Май-25, 06:25
	Им спасибо, а мы продолжим юзать tmux в роли терминал-мультиплексора
	Ответить | Правка | Наверх | Cообщить модератору

	47. Скрыто модератором	+/–
	Сообщение от Аноним (-), 13-Май-25, 06:29
	Ну в дебилиановском кале мамонта такого уж точно нет.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

46. Скрыто модератором	+/–
Сообщение от Аноним (-), 13-Май-25, 06:28
Вангую растаманы щас перепишут на Rscreen.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в GNU screen, позволяющая выполнить код с правами..."	+/–
Сообщение от Аноним (52), 13-Май-25, 08:35
Как обычно, у проектов GNU код низкого качества. Ничего хорошего от этой конторки ждать нельзя. Лучше пользоваться TMUX. У него фич больше, конфиг вменяемый. Сделано людьми для людей.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема