forum.opennet.ru - "Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu" (71)

"Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu"	+/–
Сообщение от opennews (??), 18-Мрт-26, 15:42
Компания Qualys выявила уязвимость (CVE-2026-3888) в организации работы связки snap-confine и systemd-tmpfiles в Ubuntu, позволяющую непривилегированному пользователю получить root-доступ к системе. Проблема проявляется в Ubuntu в конфигурации по умолчанию начиная с выпуска 24.04. В Ubuntu 16.04-22.04 уязвимость может быть эксплуатирована в нестандартных конфигурациях, имитирующих поведение более новых версий дистрибутива. В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65014
Ответить \| Правка \| Cообщить модератору

Оглавление

Думаю это надо как-то выделять, не все читают дальше заголовка , Аноним (1), 15:42 , 18-Мрт-26, (1)

Да со snap ом то давно всё понятно, к нему уже вопросов никаких не осталось , Аноним (83), 18:14 , 18-Мрт-26, (83) +4

Можно сократить новость до Уязвимости в Rust Сoreutils, позволяющие получить r, Аноним (97), 18:57 , 18-Мрт-26, (97)

Улучшение безопасности системы прощло успешно Достойное дополнение к этому их v, Аноним (-), 15:44 , 18-Мрт-26, (2) +8

Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хо, Жироватт (ok), 15:48 , 18-Мрт-26, (6) +4
дак проблему нашли и исправили, анон (?), 15:54 , 18-Мрт-26, (10) +1

А сколько ещё открытий чудных Сколько ещё предстоит найти , Аноним (23), 16:36 , 18-Мрт-26, (23) –1

Много Но _значительно_ меньше, чем если бы еще вдобавок с памятью по сишному иг, Аноним (88), 18:27 , 18-Мрт-26, (88) –1

Своё очко ставишь , aname (ok), 22:32 , 18-Мрт-26, (115)

втихую, чтобы майкрософт по попе не надавал слова нет, а уязвимости есть, как т, 12yoexpert (ok), 17:11 , 18-Мрт-26, (46)
дак все проблемы со временем находят, в том числе и в сишном коде , Аноним (101), 19:44 , 18-Мрт-26, (101)

Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое б, Аноним83 (?), 15:46 , 18-Мрт-26, (4) +5

Именно так В коде была логическая ошибка, на отсутствие которых раст гарантий не, Аноним (8), 15:51 , 18-Мрт-26, (8) +8

Маленький секрет _до_ проверки во время выполнения никаких гарантий быть не мож, Аноним (11), 15:58 , 18-Мрт-26, (11)
Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже Сишн, VVVVVV (?), 15:58 , 18-Мрт-26, (12) –2

Учитывая кол-во ошибок в коде у дыpявых это скорее норма Т е для кодинга на СИ н, Аноним (14), 16:01 , 18-Мрт-26, (14) +1
Если вы дали васяну рут - кого волнуют ваши долбаные микродетали Вы облажались , Аноним (-), 17:08 , 18-Мрт-26, (43) +4

Всех адекватных людей, внезапно У тебя есть проблемы, которые научились решать, , Аноним (52), 17:15 , 18-Мрт-26, (52)

А кому этот ваш фреймворк от клаудвари вообще нужен Вот нгинх в любой бочке - ве, Аноним83 (?), 17:34 , 18-Мрт-26, (66)

Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, коде, Аноним83 (?), 17:33 , 18-Мрт-26, (65)

Ну раньше все дома лепились из овна и палок Ка к чество дидовых поделок соотве, Аноним (75), 17:45 , 18-Мрт-26, (75)

Так и щас не лучше, раст ничего кардинально не изменил Вы всё никак не поймёте ч, Аноним83 (?), 18:06 , 18-Мрт-26, (79)

А вы в этом разбираетесь Я как раз это прекрасно понимаю У вас не получится пост, Аноним (84), 18:15 , 18-Мрт-26, (84)

Так а что там с громких взломов, взломали софт или человеков Не видел я с начала, Аноним83 (?), 22:52 , 18-Мрт-26, (116)

Если для тебя Си - это овно и палки, то где же тогда твой компилятор Есть подоз, Аноним (103), 20:01 , 18-Мрт-26, (103)

Не так разве , Аноним (87), 18:26 , 18-Мрт-26, (87)

Зато дает гарантии в более замусоренном коде, который количество этих ошибок и у, Аноним (15), 16:02 , 18-Мрт-26, (15) +1

Так иногда пишут чтобы хоть как то работало и вываливают, а потом оказывается чт, Аноним83 (?), 17:38 , 18-Мрт-26, (69)

Ну ок, логическая ошибка в расте А почему фикс то - это замена rm из uutils на , Аноним (29), 16:49 , 18-Мрт-26, (29)

О, Иван83 Ой, т е Аноним83, простите Рад что у вас все хорошо, а то что-то не , Аноним (13), 16:00 , 18-Мрт-26, (13)

У меня много всего случилось Для меня коментирование уязвимостей и сами уязвимос, Аноним83 (?), 17:30 , 18-Мрт-26, (63)

И еще больше случится А сюда решили заглянуть Будем считать это совпадением, н, Аноним (-), 17:39 , 18-Мрт-26, (71)

Нет, это точно заговор злых дидов, чтобы бедных растеров лишний раз задеть , Аноним (-), 21:01 , 18-Мрт-26, (109)

Скрыто модератором, Аноним (112), 21:59 , 18-Мрт-26, (112)

Скрыто модератором, Анон1110м (?), 21:31 , 18-Мрт-26, (110)
Причём тут Раст Вы про Раст хоть читали или видели или хоть как-то изучили в чё, Васян Айтишник (?), 21:34 , 18-Мрт-26, (111)

Я и смотрел и изучал Неплохой язык Но не идеальный, ДядяПетя (?), 22:27 , 18-Мрт-26, (114)

Как любят говорить СИшники ну нашли и исправили чего бухтеть 129315 Сейчас , Аноним (14), 16:03 , 18-Мрт-26, (16) –4

Судя по моей практике компиляния пакетов для этого нашего Линукса, подавляющее б, Ананоним (?), 16:27 , 18-Мрт-26, (20) +1

В проекте xlibre как раз за это и взялись , Аноним (54), 17:16 , 18-Мрт-26, (54)
Это прям больная тема У нас тут продукт в общем он компеляется только на отде, Аноним83 (?), 17:46 , 18-Мрт-26, (76)

Про логи и их строл Как же прекрасны те системы сборки, которые дают чистый л, Ананоним (?), 18:22 , 18-Мрт-26, (86)

Мне объясняли, на проекте в 5К файлов, что с предупреждениями, что без них, все, Tty4 (?), 18:32 , 18-Мрт-26, (89)

Вот это делать не надо Допишут тестов и опять uutils не поддерживают четверть ф, Аноним (28), 16:47 , 18-Мрт-26, (28) +1

И Если это какие-то древние функции, которые не нужны в убунте, то убунте пофиг, Аноним (34), 16:55 , 18-Мрт-26, (34)

Можно, а зачем В coreutils все нужные функции есть , Аноним (28), 17:01 , 18-Мрт-26, (37)
типичная отмазка фанатиков раста если в расте чего-то принципиально нельзя сдел, 12yoexpert (ok), 17:15 , 18-Мрт-26, (51)

А где их принципиально сделать нельзя Вам предлагают - берите и делайте Вам ж, Аноним (52), 17:17 , 18-Мрт-26, (56)

нам нужны - мы используем без вендорлока, проприетари, тормозов и корпораций, 12yoexpert (ok), 17:19 , 18-Мрт-26, (59) +1

Ахаха Без корпораций вы cоcете столлмановский хурд Но не буду вас осуждать, м, Аноним (52), 17:25 , 18-Мрт-26, (61) –2
Скрыто модератором, Аноним (93), 18:49 , 18-Мрт-26, (93) –1

Скрыто модератором, 12yoexpert (ok), 23:44 , 18-Мрт-26, (117)

Разве устранена обходным путём до релиза Ubuntu 25 10 через поставку usr bin g, Аноним (29), 16:52 , 18-Мрт-26, (32) +2
Как то вы не очень внимательно новость читаете Проблема выявлена в процессе реце, Аноним (74), 17:42 , 18-Мрт-26, (74)

А чего это Qualsys взялись за убунту Кто спонсор , Сладкая булочка (?), 16:39 , 18-Мрт-26, (24)

Бубунтувский докер-образ очень часто берут за базу для клепания своих пакетов дл, Аноним (103), 20:10 , 18-Мрт-26, (104)

Красота, это в очередной раз доказывает, что Rust небезопасен, как бы не пыталис, Аноним (28), 16:40 , 18-Мрт-26, (25) +1

Так это и не проблема с потоками Это проблема изменения файлов на символическую , Аноним (27), 16:44 , 18-Мрт-26, (27)

Т е еще проще, чем состояние гонок в потоках , Аноним (29), 16:53 , 18-Мрт-26, (33) +3

Нет, кто сказал что проще Состояние гонок в потоках только в твоем кода Тут ест, Аноним (27), 16:59 , 18-Мрт-26, (36)

ну хз, рукопопы-сишники и CVE-меркеры из GNU как-то сделали, а ты профессионалы , Аноним (29), 17:04 , 18-Мрт-26, (39) +2

CVE-мейкеры, Аноним (29), 17:04 , 18-Мрт-26, (40)
не осилили sort дважды и split , Аноним (52), 17:11 , 18-Мрт-26, (47) –1

Тоже юзеру рута подарили , Аноним (29), 17:15 , 18-Мрт-26, (53) +1

allows local users to modify the ownership of arbitrary files by leveraging a r, Аноним (-), 17:29 , 18-Мрт-26, (62)

Ну допустим это так видимо и правда так Но им то простительно, они ведь инвал, Аноним (29), 18:21 , 18-Мрт-26, (85)

Ну так 30 лет делали Или все 40 , Аноним (93), 18:51 , 18-Мрт-26, (94)

Гы , Аноним (70), 17:38 , 18-Мрт-26, (70) +1
Программисты разучились обходить каталоги Чувствительные данные пишутся в общед, Аноним (97), 20:52 , 18-Мрт-26, (108)
Скрыто модератором, Аноним (112), 22:01 , 18-Мрт-26, (113) +2
Там это, обосрамс у убунты снова произошёл при обновлении из секурити-реп Регре, Аноним (118), 00:14 , 19-Мрт-26, (118)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (1), 18-Мрт-26, 15:42

>В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75.
Думаю это надо как-то выделять, не все читают дальше заголовка.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +4 +/–

Сообщение от Аноним (83), 18-Мрт-26, 18:14

Да со snap'ом то давно всё понятно, к нему уже вопросов никаких не осталось.

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (97), 18-Мрт-26, 18:57

Можно сократить новость до: "Уязвимости в Rust Сoreutils, позволяющие получить root-привилегии".

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +8 +/–

Сообщение от Аноним (-), 18-Мрт-26, 15:44

> написанном на языке Rust. Уязвимость позволяет
> непривилегированному пользователю получить права root в системе
Улучшение безопасности системы прощло успешно. Достойное дополнение к этому их visuedit'у и что там еще.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +4 +/–

Сообщение от Жироватт (ok), 18-Мрт-26, 15:48

Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хоть трава не расти.
Типичные best prctices

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от анон (?), 18-Мрт-26, 15:54

дак проблему нашли и исправили

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

23. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –1 +/–

Сообщение от Аноним (23), 18-Мрт-26, 16:36

А сколько ещё открытий чудных... Сколько ещё предстоит найти.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –1 +/–

Сообщение от Аноним (88), 18-Мрт-26, 18:27

Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по сишному игрались.

Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от aname (ok), 18-Мрт-26, 22:32

Своё очко ставишь?

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:11

втихую, чтобы майкрософт по попе не надавал. слова нет, а уязвимости есть, как так?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

101. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (101), 18-Мрт-26, 19:44

дак все проблемы со временем находят, в том числе и в сишном коде.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

4. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +5 +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 15:46

Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое безобразие!!!
Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +8 +/–

Сообщение от Аноним (8), 18-Мрт-26, 15:51

> Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.
Именно так!
В коде была логическая ошибка, на отсутствие которых раст гарантий не дает.
Хорошо, что даже вы это понимаете))

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (11), 18-Мрт-26, 15:58

Маленький секрет: _до_ проверки во время выполнения никаких гарантий быть не может.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –2 +/–

Сообщение от VVVVVV (?), 18-Мрт-26, 15:58

Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Сишники раз за разом показывают свою профнепригодность

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

14. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (14), 18-Мрт-26, 16:01

Учитывая кол-во ошибок в коде у дыpявых это скорее норма.
Т.е для кодинга на СИ надо уметь овнокодить.
И если вспомнить историю с unix4, где дырень написали в функции из 50 строк, то наверное при приеме на работу спрашивают "чем отличается логическая ошибка от ...?"
И при правильном ответе сразу прощаются)

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +4 +/–

Сообщение от Аноним (-), 18-Мрт-26, 17:08

> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже.
> Сишники раз за разом показывают свою профнепригодность
Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Вы облажались по полной программе. Профпригодные, тоже мне. Только что умеете других даунплеить - и обделываться с брызгами в "заменах". Да-да, и "фреймворк от клаудфлари" тоже - с двумя жирными вулнами получился. Позволяющими атакующему полностью перехватить сайт. Если у меня сайт взломают от и до - какая мне разница, через доступ к памяти это или просто логическая ошибка? На результат это не влияет.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

52. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (52), 18-Мрт-26, 17:15

> Если вы дали васяну рут - кого волнуют ваши долбаные микродетали?
Всех адекватных людей, внезапно!
У тебя есть проблемы, которые научились решать, и есть те, которые еще не научились.
И что сделает любой разумный человек - будет пользоваться инструментом, который умеет решать хотя бы часть проблем.
У вас же подход - сгорел сарай, гори и хата.
>  с двумя жирными вулнами получился.
Всего с двумя. Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари.
Вот то-то и оно.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:34

А кому этот ваш фреймворк от клаудвари вообще нужен?
Вот нгинх в любой бочке - вебсервер, куда ни плюнь.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:33

Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С?
Может в вашей картине мира что то не так?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

75. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (75), 18-Мрт-26, 17:45

> Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С?
Ну.. раньше все дома лепились из овна и палок.
Ка(к)чество дидовых поделок соответствовало технологиям прошлого тысячелетия.
CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8
Heartbleed (CVE-2014-0160)
Перечислять можно бесконечно)
> Может в вашей картине мира что то не так?
Или в вашей.
Вангую "и так сойдет" и "вас что взломали"))

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 18:06

Так и щас не лучше, раст ничего кардинально не изменил.
Вы всё никак не поймёте что безопасность это комплексный процесс, включающий в себя разные уровни, от предотвращения и минимизации рисков, разными путями, до компенсации последствий.
Раст-нираст - вообще пофиг для безопасности системы.
Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. Минимизация прав в системе. Отдельные виртуалки/сервера под разные роли. Бэкапы. Тренированный персонал на восстановление из бэкапов. Страховка на бабло в обычной страховой компании. И ещё всякое разное, включая хорошую дверь, вахтёра и сигнализацию в ментовку.
Heartbleed (CVE-2014-0160) - стоил мне рублей 50, во столько я оцениваю свои работу для самого себя по замене самоподписного сертификата на моём домашнем сервере. Хотя нет, я тогда забил, у меня ничего ценного через TLS не ходило вообще.
CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 - хз, ну оверфлоу и оверфлоу - дальше что? nginx взбунтуется и под своим www юзером прочитает из темпа что то?)
Учитывая что у меня не попсовая ОС то риск поймать эксплоит под убунту/цент - 0, для таргетированной атаки я никому не интересен чтобы на меня время тратить.
И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка - чем было бы писать на пхп и каждую неделю выпускать фиксы для цве9.999.
Основные по ущербу атаки были таргетированными, и далеко не всегда узким местом был код - часто это люди.
Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под них трудно автоматизировать и получить широкий охват. Иногда это удаётся, типа log4j но тут "логическая ошибка" а не "дыряшка".
В общем не там вы ищите спокойствия душевного, ширее надо мыслить.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (84), 18-Мрт-26, 18:15

> Так и щас не лучше, раст ничего кардинально не изменил.
А вы в этом разбираетесь?
> Вы всё никак не поймёте что безопасность это комплексный процесс,
Я как раз это прекрасно понимаю.
> Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп.
У вас не получится построит стену, если из материалов только навоз.
> Heartbleed (CVE-2014-0160) - стоил мне рублей 50
А бомжу под мостов вообще ноль))
Он даже не знает что такое SSL.
> И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка
Но пруфов вы не предоставите)
Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку".
> Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под  них трудно автоматизировать и получить широкий охват.
> В общем не там вы ищите спокойствия душевного, ширее надо мыслить.
А лучше делать хорошо и хорошо будет.

Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 22:52

Так а что там с громких взломов, взломали софт или человеков?
Не видел я с начала 2000х эпидемий массовых чтобы кучу всего поломали за раз и чтобы это ещё и денег стоило.
У меня за 26 лет не так уж и много всего было, из того что помню только один раз была штука которая полностью сама всё сломала - велчна через дыру в самбе, это ещё до того как в ХР фаер появился, 2003 год.
От чиха пару раз лечился. Был один червяк на который я повёлся - социнженерия, притом там реально игра с червяками была :)
Была куча VBA всякого хлама, но их я добывал с компов в универе, они там размножались.
И на работе был вирус который папками прикидывался на флешках, а сам прятал ориг папку - короче тоже социнженерия.
Помню в аутлук експресс вместо wav прикрепляли exe и аутглюк эту музыку сам запускал, но это как вы называете "логическая ошибка".
Поэтому я весьма скептично настроен по отношению к этим вашим CVE - типа они есть, а на практике ничего не происходит.
Намного чаще я страдал от того что проги просто сами падали (хотя памяти ЕСС не было, так что как знать сами или железо).

> Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку".
Если производить 0 строчек кода в год, то и возвращать будет нечего :)
А так, мне начальник (и владелец бузинеса) говорил что надо в начале сделать, потом продать, а уже на вырученные деньги можно будет доводить до ума :)))
Иногда можно в начале продать, а потом сделать. Это просто идеальный комм кейс.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (103), 18-Мрт-26, 20:01

Если для тебя Си - это овно и палки, то где же тогда твой компилятор? Есть подозрение, что если тебе дать 2 недели и сколько хочешь денег на переписывание баша на Rust, максимум что ты сможешь сделать - это запихнуть исходники в кланкера и получить на выходе нечто с десятью новыми уязвимостями, просто потому что ни ты, ни кланкер не умеют разбираться в том, как работает _система_ под которую ты пишешь код.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

87. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (87), 18-Мрт-26, 18:26

> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже.
Не так разве?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (15), 18-Мрт-26, 16:02

Зато дает гарантии в более замусоренном коде, который количество этих ошибок и увеличивает.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

69. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:38

Так иногда пишут чтобы хоть как то работало и вываливают, а потом оказывается что это всем надо. Но желающих и способных сделать лучше не находится. Так и живём.
Я вот знаю=пользуюсь двумя проектами на крестах. Как же плохо, даже ужасно они оба написаны... но сил/времени/желания их переписывать у меня нет, приходится страдать. Аналоги на мой вкус или хуже или менее мне нравятся.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (29), 18-Мрт-26, 16:49

Ну ок, логическая ошибка в расте. А почему фикс то - это замена rm из uutils на сишную rm из gnu? Типа, мы тут все на безопасном языке переписываем... ой, тут пока небезопасно - пользуйтесь rm из cioreutils.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (13), 18-Мрт-26, 16:00

О, Иван83!
Ой, т.е. Аноним83, простите.
Рад что у вас все хорошо, а то что-то не видно вас было в недавних темах про "Уязвимости в AppArmor" и "10 уязвимостей в GStreamer". Подумал, не случилось ли у вас часом чего.
Ведь вы пропустили такие прекрасные обсуждения.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

63. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:30

У меня много всего случилось.
Для меня коментирование уязвимостей и сами уязвимости не являются чем то значимым в жизни.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (-), 18-Мрт-26, 17:39

> У меня много всего случилось.
И еще больше случится :)
> Для меня коментирование уязвимостей и сами уязвимости не
> являются чем то значимым в жизни.
А сюда решили заглянуть.
Будем считать это совпадением, не так ли.

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (-), 18-Мрт-26, 21:01

>Будем считать это совпадением, не так ли.
Нет, это точно заговор злых дидов, чтобы бедных растеров лишний раз задеть.

Ответить | Правка | Наверх | Cообщить модератору

112. Скрыто модератором +/–

Сообщение от Аноним (112), 18-Мрт-26, 21:59

Сам себе ответил?

Ответить | Правка | Наверх | Cообщить модератору

110. Скрыто модератором +/–

Сообщение от Анон1110м (?), 18-Мрт-26, 21:31

Это другое. Понимать надо.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

111. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Васян Айтишник (?), 18-Мрт-26, 21:34

Причём тут Раст? Вы про Раст хоть читали или видели или хоть как-то изучили в чём его фишка? Похоже что нет. НУ идите дальше гостевые книжки пишите на РНР и не отсвечивайте :)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

114. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от ДядяПетя (?), 18-Мрт-26, 22:27

Я и смотрел и изучал. Неплохой язык. Но не идеальный

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –4 +/–

Сообщение от Аноним (14), 18-Мрт-26, 16:03

Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣
Сейчас поисправляют ошибки, которые не мог найти компилятор.
Допишут тестов.
Всё равно гнутые поделки возвращать не будут.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Ананоним (?), 18-Мрт-26, 16:27

Судя по моей практике компиляния пакетов для этого нашего Линукса, подавляющее большинство компилятся с огромной кучей предупреждений, которые вообще никто даже не пытается читать и исправлять. Похоже разработчики так рады от щасця что это их г... продукт вообще компилится, что забывают о предупреждениях компилера.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (54), 18-Мрт-26, 17:16

В проекте xlibre как раз за это и взялись.

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним83 (?), 18-Мрт-26, 17:46

Это прям больная тема.
У нас тут продукт... в общем он компеляется только на отдельной билдмашине, и разрабы естессно лог компеляции не читают, типа собралось значит ок.
Короче мне это надоело и я добавил -Werror :)
Если брать большие проекты типа той же FreeBSD или просто огромные всякие типа OpenToonz то там много и долго компеляется, даже при сборке у себя скролить лог то ещё удовольствие.
Плюс всякие внешние компоненты, которые разрабатывают в других местах другие люди...

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

86. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Ананоним (?), 18-Мрт-26, 18:22

Про логи и их строл... Как же прекрасны те системы сборки, которые дают чистый лог только с именами файлов (+путь к ним). А не вот это всё с килобайтом аргументов для каждого вызова компилера для единицы трансляции.

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Tty4 (?), 18-Мрт-26, 18:32

Мне объясняли, на проекте в ~5К файлов, что с предупреждениями, что без них, все равно мозг взрывается. 2 недели, пара десятков серьезных проблем косков исправлено и терпеть собирается без предупреждений. Но так же неинтересно!

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (28), 18-Мрт-26, 16:47

>Допишут тестов.
Вот это делать не надо. Допишут тестов и опять uutils не поддерживают четверть функционала coreutils.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

34. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (34), 18-Мрт-26, 16:55

> uutils не поддерживают четверть функционала coreutils.
И?
Если это какие-то древние функции, которые не нужны в убунте, то убунте пофиг.
Если кому-то надо - садитесь и дописывайте.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (28), 18-Мрт-26, 17:01

>Если кому-то надо - садитесь и дописывайте.
Можно, а зачем? В coreutils все нужные функции есть.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:15

типичная отмазка фанатиков раста: если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

56. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (52), 18-Мрт-26, 17:17

> если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно
А где их "принципиально сделать нельзя"?
Вам предлагают - берите и делайте. Вам же нужны эти утилиты.
Но вы  ̶л̶е̶н̶и̶в̶ы̶е̶ ̶м̶у̶д̶и̶л̶ы̶ хотите чтобы кто-то сделал за вас.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:19

нам нужны - мы используем. без вендорлока, проприетари, тормозов и корпораций

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –2 +/–

Сообщение от Аноним (52), 18-Мрт-26, 17:25

> нам нужны - мы используем. без вендорлока, проприетари, тормозов и корпораций
Ахаха! Без корпораций вы cоcете столлмановский хурд))
Но не буду вас осуждать, мы терпимо относимся к таким девиантам.
Но раз вы без корпораций, что же вы к ubuntu лезете? Стокгольмский синдром такой?

Ответить | Правка | Наверх | Cообщить модератору

93. Скрыто модератором –1 +/–

Сообщение от Аноним (93), 18-Мрт-26, 18:49

Ну это как раз временно. ОколоGNU/FSF спонсируется корпоративными спонсорами для производства glibc, coreutils, и пары других полезных в коммерческом проде проектов. Когда это всё будет заменено на свободные аналоги, кому-то придётся снимать костюм антилопы и идти мыть полы в госпитале. Но мы -- как видно по обсуждаемой новости -- пока ещё не там. Опенсорс мёртв, он просто ещё не осознал этого.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

117. Скрыто модератором +/–

Сообщение от 12yoexpert (ok), 18-Мрт-26, 23:44

> я нитакуся, ляляля, я нитакуся, ляляля

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от Аноним (29), 18-Мрт-26, 16:52

> поставку /usr/bin/gnurm вместо uutils rm
Разве? устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

74. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (74), 18-Мрт-26, 17:42

>Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣
>Всё равно гнутые поделки возвращать не будут.
Как то вы не очень внимательно новость читаете:
Проблема выявлена в процессе рецензирования изменений в Ubuntu 25.10 и устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

24. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Сладкая булочка (?), 18-Мрт-26, 16:39

А чего это Qualsys взялись за убунту? Кто спонсор?

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (103), 18-Мрт-26, 20:10

Бубунтувский докер-образ очень часто берут за базу для клепания своих пакетов для запуска какого-нибудь недосервера на руби. Наверное отсюда интерес и спонсоры.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (28), 18-Мрт-26, 16:40

Красота, это в очередной раз доказывает, что Rust небезопасен, как бы не пытались утверждать обратное.
>Проблема вызвана состоянием гонки
Но разве Rust не создавался в том числе для решения проблем работы с потоками?

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (27), 18-Мрт-26, 16:44

> Но разве Rust не создавался в том числе для решения проблем работы с потоками?
Так это и не проблема с потоками.
Это проблема изменения файлов на символическую ссылку внешним приложением.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +3 +/–

Сообщение от Аноним (29), 18-Мрт-26, 16:53

Т.е. еще проще, чем состояние гонок в потоках.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (27), 18-Мрт-26, 16:59

> Т.е. еще проще, чем состояние гонок в потоках.
Нет, кто сказал что проще?
Состояние гонок в потоках только в твоем кода. Тут есть внешний фактор.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +2 +/–

Сообщение от Аноним (29), 18-Мрт-26, 17:04

ну хз, рукопопы-сишники и CVE-меркеры из GNU как-то сделали, а ты профессионалы да еще и на безопасносном расте в симлинках запутались.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (29), 18-Мрт-26, 17:04

*CVE-мейкеры

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." –1 +/–

Сообщение от Аноним (52), 18-Мрт-26, 17:11

> рукоопые-сишники из GNU
не осилили sort (дважды) и split.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

53. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (29), 18-Мрт-26, 17:15

>> рукоопые-сишники из GNU
> не осилили sort (дважды) и split.
Тоже юзеру рута подарили?

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (-), 18-Мрт-26, 17:29

> Тоже юзеру рута подарили?
"allows local users to modify the ownership of arbitrary files by leveraging a race condition"
Причем тоже запутались с симлинками:
"chown and chgrp does not prevent replacement of a plain file with a symlink during use of the POSIX "-R -L" options"
C Potential exploit кстати.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (29), 18-Мрт-26, 18:21

>> Тоже юзеру рута подарили?
> "allows local users to modify the ownership of arbitrary files by leveraging
> a race condition"
> Причем тоже запутались с симлинками:
> "chown and chgrp does not prevent replacement of a plain file with
> a symlink during use of the POSIX "-R -L" options"
> C Potential exploit кстати.
Ну допустим это так (видимо и правда так). Но им то простительно, они ведь инвалиды мозга и диды + еще и на сишке. Что с них взять то... Но почему эльфы да еще и с безопасным растом оказались не лучше?

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (93), 18-Мрт-26, 18:51

> как-то сделали
Ну так 30 лет делали. Или все 40?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

70. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +1 +/–

Сообщение от Аноним (70), 18-Мрт-26, 17:38

> Несмотря на то, что права изменены внутри sandbox-окружения, файл с изменёнными правами доступен и в основной системе
Гы...

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (97), 18-Мрт-26, 20:52

Программисты разучились обходить каталоги. Чувствительные данные пишутся в общедоступное место. Системные настройки легко меняются на пользовательские. Современные тенденции.

Ответить | Правка | Наверх | Cообщить модератору

113. Скрыто модератором +2 +/–

Сообщение от Аноним (112), 18-Мрт-26, 22:01

Опять диды растоманам в штаны наваляли.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..." +/–

Сообщение от Аноним (118), 19-Мрт-26, 00:14

Там это, обосрамс у убунты снова произошёл при обновлении из секурити-реп. Регрессия которая валит пачку программ работающих с изображениями. Новость кто-нибудь пилить будет вообще?
https://www.reddit.com/r/linuxquestions/comments/1rx90wb/can...,apt%2Dmark%20hold%20libexiv2%2D27%20;%20Restart%20Dolphin/Okular/Gwenview/GIMP/gThumb/KIO%20etc.
https://www.reddit.com/r/linuxmint/comments/1rwz9fr/nemo_is_.../
https://bugs.launchpad.net/ubuntu/+source/exiv2/+bug/2144759
https://bugs.launchpad.net/ubuntu/+source/gimp/+bug/2144731

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
Сообщение от Аноним (1), 18-Мрт-26, 15:42
>В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75. Думаю это надо как-то выделять, не все читают дальше заголовка.
Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+4 +/–
	Сообщение от Аноним (83), 18-Мрт-26, 18:14
	Да со snap'ом то давно всё понятно, к нему уже вопросов никаких не осталось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	97. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (97), 18-Мрт-26, 18:57
	Можно сократить новость до: "Уязвимости в Rust Сoreutils, позволяющие получить root-привилегии".
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+8 +/–
Сообщение от Аноним (-), 18-Мрт-26, 15:44
> написанном на языке Rust. Уязвимость позволяет > непривилегированному пользователю получить права root в системе Улучшение безопасности системы прощло успешно. Достойное дополнение к этому их visuedit'у и что там еще.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+4 +/–
	Сообщение от Жироватт (ok), 18-Мрт-26, 15:48
	Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хоть трава не расти. Типичные best prctices
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от анон (?), 18-Мрт-26, 15:54
	дак проблему нашли и исправили
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	23. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–1 +/–
	Сообщение от Аноним (23), 18-Мрт-26, 16:36
	А сколько ещё открытий чудных... Сколько ещё предстоит найти.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–1 +/–
	Сообщение от Аноним (88), 18-Мрт-26, 18:27
	Много. Но _значительно_ меньше, чем если бы еще вдобавок с памятью по сишному игрались.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	115. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от aname (ok), 18-Мрт-26, 22:32
	Своё очко ставишь?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:11
	втихую, чтобы майкрософт по попе не надавал. слова нет, а уязвимости есть, как так?
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	101. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (101), 18-Мрт-26, 19:44
	дак все проблемы со временем находят, в том числе и в сишном коде.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору

4. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+5 +/–
Сообщение от Аноним83 (?), 18-Мрт-26, 15:46
Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое безобразие!!! Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+8 +/–
	Сообщение от Аноним (8), 18-Мрт-26, 15:51
	> Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед. Именно так! В коде была логическая ошибка, на отсутствие которых раст гарантий не дает. Хорошо, что даже вы это понимаете))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (11), 18-Мрт-26, 15:58
	Маленький секрет: _до_ проверки во время выполнения никаких гарантий быть не может.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–2 +/–
	Сообщение от VVVVVV (?), 18-Мрт-26, 15:58
	Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Сишники раз за разом показывают свою профнепригодность
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	14. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Аноним (14), 18-Мрт-26, 16:01
	Учитывая кол-во ошибок в коде у дыpявых это скорее норма. Т.е для кодинга на СИ надо уметь овнокодить. И если вспомнить историю с unix4, где дырень написали в функции из 50 строк, то наверное при приеме на работу спрашивают "чем отличается логическая ошибка от ...?" И при правильном ответе сразу прощаются)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+4 +/–
	Сообщение от Аноним (-), 18-Мрт-26, 17:08
	> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. > Сишники раз за разом показывают свою профнепригодность Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Вы облажались по полной программе. Профпригодные, тоже мне. Только что умеете других даунплеить - и обделываться с брызгами в "заменах". Да-да, и "фреймворк от клаудфлари" тоже - с двумя жирными вулнами получился. Позволяющими атакующему полностью перехватить сайт. Если у меня сайт взломают от и до - какая мне разница, через доступ к памяти это или просто логическая ошибка? На результат это не влияет.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	52. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (52), 18-Мрт-26, 17:15
	> Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Всех адекватных людей, внезапно! У тебя есть проблемы, которые научились решать, и есть те, которые еще не научились. И что сделает любой разумный человек - будет пользоваться инструментом, который умеет решать хотя бы часть проблем. У вас же подход - сгорел сарай, гори и хата. > с двумя жирными вулнами получился. Всего с двумя. Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари. Вот то-то и оно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним83 (?), 18-Мрт-26, 17:34
	А кому этот ваш фреймворк от клаудвари вообще нужен? Вот нгинх в любой бочке - вебсервер, куда ни плюнь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним83 (?), 18-Мрт-26, 17:33
	Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С? Может в вашей картине мира что то не так?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	75. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (75), 18-Мрт-26, 17:45
	> Это такую непригодность что все ОС в этом мире, все базовые либы с криптой, кодеками, сжатием написы на С? Ну.. раньше все дома лепились из овна и палок. Ка(к)чество дидовых поделок соответствовало технологиям прошлого тысячелетия. CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 Heartbleed (CVE-2014-0160) Перечислять можно бесконечно) > Может в вашей картине мира что то не так? Или в вашей. Вангую "и так сойдет" и "вас что взломали"))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним83 (?), 18-Мрт-26, 18:06
	Так и щас не лучше, раст ничего кардинально не изменил. Вы всё никак не поймёте что безопасность это комплексный процесс, включающий в себя разные уровни, от предотвращения и минимизации рисков, разными путями, до компенсации последствий. Раст-нираст - вообще пофиг для безопасности системы. Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. Минимизация прав в системе. Отдельные виртуалки/сервера под разные роли. Бэкапы. Тренированный персонал на восстановление из бэкапов. Страховка на бабло в обычной страховой компании. И ещё всякое разное, включая хорошую дверь, вахтёра и сигнализацию в ментовку. Heartbleed (CVE-2014-0160) - стоил мне рублей 50, во столько я оцениваю свои работу для самого себя по замене самоподписного сертификата на моём домашнем сервере. Хотя нет, я тогда забил, у меня ничего ценного через TLS не ходило вообще. CVE-2025-15467: OpenSSL Buffer Overflow Vulnerability - CVSS 9.8 - хз, ну оверфлоу и оверфлоу - дальше что? nginx взбунтуется и под своим www юзером прочитает из темпа что то?) Учитывая что у меня не попсовая ОС то риск поймать эксплоит под убунту/цент - 0, для таргетированной атаки я никому не интересен чтобы на меня время тратить. И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка - чем было бы писать на пхп и каждую неделю выпускать фиксы для цве9.999. Основные по ущербу атаки были таргетированными, и далеко не всегда узким местом был код - часто это люди. Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под них трудно автоматизировать и получить широкий охват. Иногда это удаётся, типа log4j но тут "логическая ошибка" а не "дыряшка". В общем не там вы ищите спокойствия душевного, ширее надо мыслить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (84), 18-Мрт-26, 18:15
	> Так и щас не лучше, раст ничего кардинально не изменил. А вы в этом разбираетесь? > Вы всё никак не поймёте что безопасность это комплексный процесс, Я как раз это прекрасно понимаю. > Помимо раста, если вам реально нужна безопасность, нужны другие уровни защиты, тот же selinux/MAC/capsicum и тп. У вас не получится построит стену, если из материалов только навоз. > Heartbleed (CVE-2014-0160) - стоил мне рублей 50 А бомжу под мостов вообще ноль)) Он даже не знает что такое SSL. > И там дальше если поговорить за деньги - то выяснится что на раст уходит сильно больше денег в целом: медленная разработка, жручая электрочество и тормозящая сборка Но пруфов вы не предоставите) Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку". > Другой класс дорогих атак - это когда удалось автоматизировать атаку, такое проканывает только с максимально однотипными системами - вендой. Линукса сильно разные, под них трудно автоматизировать и получить широкий охват. > В общем не там вы ищите спокойствия душевного, ширее надо мыслить. А лучше делать хорошо и хорошо будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	116. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним83 (?), 18-Мрт-26, 22:52
	Так а что там с громких взломов, взломали софт или человеков? Не видел я с начала 2000х эпидемий массовых чтобы кучу всего поломали за раз и чтобы это ещё и денег стоило. У меня за 26 лет не так уж и много всего было, из того что помню только один раз была штука которая полностью сама всё сломала - велчна через дыру в самбе, это ещё до того как в ХР фаер появился, 2003 год. От чиха пару раз лечился. Был один червяк на который я повёлся - социнженерия, притом там реально игра с червяками была :) Была куча VBA всякого хлама, но их я добывал с компов в универе, они там размножались. И на работе был вирус который папками прикидывался на флешках, а сам прятал ориг папку - короче тоже социнженерия. Помню в аутлук експресс вместо wav прикрепляли exe и аутглюк эту музыку сам запускал, но это как вы называете "логическая ошибка". Поэтому я весьма скептично настроен по отношению к этим вашим CVE - типа они есть, а на практике ничего не происходит. Намного чаще я страдал от того что проги просто сами падали (хотя памяти ЕСС не было, так что как знать сами или железо). > Но у других (осиляторов) раст команды эффективние команд на СИ/C++ по параметру "как часто баг возвращают на доработку". Если производить 0 строчек кода в год, то и возвращать будет нечего :) А так, мне начальник (и владелец бузинеса) говорил что надо в начале сделать, потом продать, а уже на вырученные деньги можно будет доводить до ума :))) Иногда можно в начале продать, а потом сделать. Это просто идеальный комм кейс.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	103. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (103), 18-Мрт-26, 20:01
	Если для тебя Си - это овно и палки, то где же тогда твой компилятор? Есть подозрение, что если тебе дать 2 недели и сколько хочешь денег на переписывание баша на Rust, максимум что ты сможешь сделать - это запихнуть исходники в кланкера и получить на выходе нечто с десятью новыми уязвимостями, просто потому что ни ты, ни кланкер не умеют разбираться в том, как работает _система_ под которую ты пишешь код.
	Ответить \| Правка \| К родителю #75 \| Наверх \| Cообщить модератору


	87. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (87), 18-Мрт-26, 18:26
	> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Не так разве?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	15. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Аноним (15), 18-Мрт-26, 16:02
	Зато дает гарантии в более замусоренном коде, который количество этих ошибок и увеличивает.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	69. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним83 (?), 18-Мрт-26, 17:38
	Так иногда пишут чтобы хоть как то работало и вываливают, а потом оказывается что это всем надо. Но желающих и способных сделать лучше не находится. Так и живём. Я вот знаю=пользуюсь двумя проектами на крестах. Как же плохо, даже ужасно они оба написаны... но сил/времени/желания их переписывать у меня нет, приходится страдать. Аналоги на мой вкус или хуже или менее мне нравятся.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (29), 18-Мрт-26, 16:49
	Ну ок, логическая ошибка в расте. А почему фикс то - это замена rm из uutils на сишную rm из gnu? Типа, мы тут все на безопасном языке переписываем... ой, тут пока небезопасно - пользуйтесь rm из cioreutils.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	13. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (13), 18-Мрт-26, 16:00
	О, Иван83! Ой, т.е. Аноним83, простите. Рад что у вас все хорошо, а то что-то не видно вас было в недавних темах про "Уязвимости в AppArmor" и "10 уязвимостей в GStreamer". Подумал, не случилось ли у вас часом чего. Ведь вы пропустили такие прекрасные обсуждения.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору