Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock"	+/–
Сообщение от opennews (??), 31-Мрт-24, 20:10
В репозитории проекта xz продолжают всплывать изменения, внесённые автором бэкдора для блокирования механизмов защиты. В сборочном сценарии CMakeLists.txt  выявлено изменение, не позволявшее использовать в xz механизм   изоляции приложений Landlock, при его поддержке в системе. В  коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки на наличие Landlock при любых условиях... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60888
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 31-Мрт-24, 20:10	+8 +/–
Лучше и другие пакеты тоже проверить на таких типов
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

2. Сообщение от Аноним (2), 31-Мрт-24, 20:13	+1 +/–
bzip2, gzip не могли похакать? Обязательно привычный xz надо коцать.Тьфу,шлеп-шлеп - я ушел от вас.(
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #10

3. Сообщение от lucentcode (ok), 31-Мрт-24, 20:25	+2 +/–
А вы уверены, что их не похакали? Может их просто ещё не дошли руки у кого надо проверить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

6. Сообщение от crypt (ok), 31-Мрт-24, 20:46	+8 +/–
видел твой коммент, что ты теперь будешь начисто переставляться. а я говорил еще пару лет назад, что нарушение принципа KISS и UNIX way в systemd приведут к проблемам безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #35, #42, #85

7. Сообщение от Анонин (-), 31-Мрт-24, 20:47    Скрыто ботом-модератором	–2 +/–
Хаха)) А кто-то в соседней теме хвалился про то, что "тыщща глаз таки работает!" Сколько им открытий чудных еще готовит разбор коммитов того чела?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

8. Сообщение от crypt (ok), 31-Мрт-24, 20:48	+1 +/–
> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка нравится мне этот парень с тайваня... красиво работает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12

10. Сообщение от Аноним (35), 31-Мрт-24, 20:51	+1 +/–
gzip в руках идейных. Хотя, после травли и ухода Столмана туда могли проникнуть сомнительные личности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

11. Сообщение от Аноним (11), 31-Мрт-24, 20:54	–1 +/–
Программистские тесты не писал,если так по-детски спалился?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от pelmaniac (?), 31-Мрт-24, 20:55	+/–
с северной кореи он, зачем тайваню это?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #19

14. Сообщение от Аноним (14), 31-Мрт-24, 20:59	+7 +/–
> Лучше и другие пакеты тоже проверить на таких типов Каких именно? Эти полорогие-парнокопытные не подписываются ... Ну и да, судя по бурным обсуждениям на опеннете - походу многие опеннетчики "патчи от Минесотовцев" уже или подзабыли или не сделали совершенно никаких выводов, все еще свято веруя в Великую Силу "Тысячеглаза".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #53

15. Сообщение от Аноним (35), 31-Мрт-24, 20:59	+8 +/–
Ну вот, очеыидно же, работает. Нашли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #17, #18

17. Сообщение от Аноним (17), 31-Мрт-24, 21:04	+/–
А сколько найдут? А сколько не найдут? А сколько найдут и не покажут? (не только корпорастам скрывать свои двери)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

18. Сообщение от Аноним (18), 31-Мрт-24, 21:07	+2 +/–
Пока оно глючить не начало, тысячеглаз ничего не видел. Был бы анбшник чуть поумнее, сообщество так бы и оставалось тысячедырником.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27, #28

19. Сообщение от Аноним (19), 31-Мрт-24, 21:09	+5 +/–
1. В Северной Корее интернета нет. 2. А если он там есть, значит, официальная пропаганда США распространяет недостоверные данные. Такого быть не может, так что см. п. 1.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #29, #64

22. Сообщение от Аноним (22), 31-Мрт-24, 21:18	+11 +/–
Осталось исправить master на main, и все saboteurs сразу устыдятся содеянного, и сами откатят свои вредности!
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Аноним (23), 31-Мрт-24, 21:21	+/–
А что эта точка значит в CMake?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #37, #113

24. Сообщение от Аноним (-), 31-Мрт-24, 21:26	+/–
> что приводило к непрохождению проверки на наличие Landlock при любых условиях. Интересно, почему не было тестов на данный функционал? "Механизм изоляции приложений" звучит достаточно важно чтобы быть покрытым тестами. Так бы хоть у кого-то возникли бы вопросы? Или так такое не принято?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #103

25. Сообщение от Аноним (25), 31-Мрт-24, 21:28	+11 +/–
возможно сокращение от "вкусно и точка"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #31

26. Сообщение от Аноним (-), 31-Мрт-24, 21:30	+/–
> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки . А с чего взяли что намеренно? В программах на СИ постоянно забывают проверять размер буфера или делают double free. Любой человек может ошибится, это нормально и совершенно не зависти от языка, честно-честно!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #32, #33, #58, #106

27. Сообщение от qwe (??), 31-Мрт-24, 21:30	+4 +/–
Зато пользователям проприетари хорошо и удобно: благостное существование тысячи дыр в этом ПО не зависит от ума анбшников и самих пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от Стив Балмер (?), 31-Мрт-24, 21:32	–1 +/–
какие-то невнятные претензии, тысячаглаз сработал ? сработал а шутки про глупого анбешника оставь поклонникам мелкомягкого и их продукту, куда не то что взор тысячеглаза пробиться не может, а и око тысячеденег быстро иссякает в дебрях индусского кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #127

29. Сообщение от Аноним (29), 31-Мрт-24, 21:35	+2 +/–
Зато в северной корее есть северные корейцы , которые по заданию партии могут пмжествовать в любой точке мира .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

30. Сообщение от Аноним (30), 31-Мрт-24, 21:37	–1 +/–
Надо просто посмотреть, кем. Неужели нельзя вывести список всех изменений, к которым причастен этот аккаунт? А, нельзя, Майкрософт же заметает следы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

31. Сообщение от Аноним (29), 31-Мрт-24, 21:38	+3 +/–
Вот они и спалились .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #36

32. Сообщение от Аноним (-), 31-Мрт-24, 21:52    Скрыто ботом-модератором	–1 +/–
Такие программы надо писать читабельном и удобном для сопровождения языке V.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от Аноним (33), 31-Мрт-24, 21:57	–4 +/–
Вот в таком виде https://git.tukaani.org/?p=xz.git;a=commitdiff;h=f9cf4c05edd... ? и даже с комментарием ? Вообще ни разу не палево.. хоть бы чтото еще поправил, чтобы оно реально смахивало на случайность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #40

35. Сообщение от Аноним (35), 31-Мрт-24, 22:01	–2 +/–
Вот если по конкретному инциденту. Предлагаешь отказаться от сжимальщиков и архиваторов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

36. Сообщение от Аноним (35), 31-Мрт-24, 22:03	+/–
Точнее, работодатель товарища майора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от topin89 (ok), 31-Мрт-24, 22:06	+2 +/–
Чтобы код внутри check_c_source_compiles("<код>") не скомпилировался. До точки там был код, который не собирается только если в linux-headers в системе сборки нет SYS_landlock_create_ruleset. После точки он вообще никогда не скомпилируется, как если бы landlock вообще ни в одной системе нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #56

40. Сообщение от sigprof (ok), 31-Мрт-24, 22:13	+3 +/–
Так это удаление ошибки, а добавили код с ошибкой в https://git.tukaani.org/?p=xz.git;a=commitdiff;h=328c52da8a2...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #72

41. Сообщение от Аноним (41), 31-Мрт-24, 22:13	+/–
Какой интересный язык. Добавил просто точку - получил изменение логики.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #52, #54, #66, #99

42. Сообщение от Аноним (-), 31-Мрт-24, 22:26	–2 +/–
Хм... уточни пожалуйста про какие нарушения KISS и UNIX way ты говоришь? Про то, что очень важную либу пилит какие-то полтора васяна, половина из которых вообше анон взявшийся из ниоткуда? Или про то, что в это важной либе используются отрыжки из прошлого века в виде м4 скритов? Или про то, в итоге это вызывает нечитаемое уродство в виде баш-портянок, которые как оказалось попахивают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #116

43. Сообщение от Аноним (43), 31-Мрт-24, 22:34	+/–
Единственное, чего я не понял из имеющихся на данный момент результатов реверсинга - где именно бэкдор умудряется проводить 0.5 секунды.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

46. Сообщение от Аноним (46), 31-Мрт-24, 22:57	+/–
>В сборочном сценарии CMakeLists.txt Я не понял, там autotools или CMake? Или там настолько долбанулись, что им ещё Meson, Basel и Buck не помешали бы? Взять и закопать этот xz.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Аноним (46), 31-Мрт-24, 23:06	+4 +/–
>дополнительно вызывающий prctl для проверки. Сразу ффтопку - машина, на которой производится сборка не является машиной, на которой производится исполнение. Более того, пакеты шарятся между всеми ядрами и хардкодинг использования или неиспользования landlock приведёт лишь к тому, что либо на ядрах без него программа будет падать, либо на ядрах с ним он будет незадействован. Абсолютно непрофессиональная проверка, за которую и так надо гнать вон из профессии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73, #100

51. Сообщение от Стив Балмер (?), 31-Мрт-24, 23:37	+2 +/–
а как вам язык где балом правит запятая ? "Казнить нельзя помиловать"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

52. Сообщение от Аноним (52), 31-Мрт-24, 23:49	+4 +/–
Причём тут язык? В CMake функция `check_c_source_compiles` проверяет только то, что переданный в неё сишный код компилируется и линкуется. Добавили в тестовый код лишнюю точку → код стал невалидным → тест на компилируемость перестал проходить → фича, наличие которой определялось попыткой скомпилировать тестовый код, стала считаться отсутствующей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #117

53. Сообщение от uis (??), 31-Мрт-24, 23:54	+16 +/–
А ведь тысячиглаз работают и мы обсуждаем найденную ими закладку
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #57, #61, #89, #92

54. Сообщение от uis (??), 31-Мрт-24, 23:59	+/–
Какой из языков и какой логики?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

55. Сообщение от uis (??), 01-Апр-24, 00:00	+/–
В поиске строк в таблице
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #87, #95

56. Сообщение от Аноним (23), 01-Апр-24, 00:03	+1 +/–
Да это понятно. Я про синтаксис. Что в С/CMake это означает? Почему не летит ошибка синтаксиса и т.д
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #86

57. Сообщение от Аноним (14), 01-Апр-24, 00:18	+3 +/–
> А ведь тысячиглаз работают и мы обсуждаем найденную ими закладку Угу, но только в какой-то альтернативной реальности. А тут мы "обсуждаем" (ну, как на опеннете принято, т.е. больше с уклоном в "как нужно было правильно!" и "да я б, да если б встал с дивана, то ух ...!") найденное уже "задним числом" (т.е. когда уже знали, что нужно искать). И "оригинал" нашел совсем не Тыщиглазовец при проверке коммита или перепаковке-добавлению-обновлению в формат пакета <вставить любой дистр Тысячеглазов>, а "жалкий раб(отник) Маздайцев" - и полез искать он "по симтомам" (тупило при логине и сыпало ошибками в валгринд).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #59, #132

58. Сообщение от Аноним (58), 01-Апр-24, 00:22	–1 +/–
Вот все матерятся на паскаль, а там строгая типизация и FastMM/HeapTrc, так что я по сути даже не знаю, что такое искать утечки памяти. Окошко с утечкой выскакивает сразу же, как только я ее допускаю. А это зачастую является сигналом о наличии более серьезных косяков. А ненавидят паскаль наверное те быдлокодеры, которым он не дает свести все типы в программе к int/uint и пропихнуть боинг 747 в функцию, которая ожидает блоху. C++ кончно мощный и позволяет по сути изобрести свой мета-язык из макросов. Но мне как то неуютно. Вот напишу я прогу на 100500 строк на gcc. Как я потом там буду искать все эти утечки памяти?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #69, #70, #77

59. Сообщение от Beta Version (ok), 01-Апр-24, 00:30	+5 +/–
По каким критериям он не проходит в ряды Тысячеглазовцев?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #60, #110

60. Сообщение от Аноним (14), 01-Апр-24, 01:02	+8 +/–
>> при проверке коммита или перепаковке-добавлению-обновлению в формат пакета <вставить любой дистр Тысячеглазов>, а "жалкий раб(отник) Маздайцев" - и полез искать он "по симтомам" (тупило при логине и сыпало ошибками в валгринд). > По каким критериям он не проходит в ряды Тысячеглазовцев? Где-где были Тыщиглазовцы, когда коммитился сначала сам бэкдор, а потом и "фиксы" ошибок в нём (повторюсь еще раз - "кандидат в Тыщиглазовцы" полез искать "что не так" из-за "тупняков" бэкдора)? А, они растаскивали бэкдоры прилежно по дистрам и надеялись на других Тыщиглазовцев? Я ж не зря Миннесоту упоминал, но вы повторяйте про халву^W силу Тыщеглаз, игнорируя "неудобные" факты ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #62, #80, #102

61. Сообщение от Аноним (61), 01-Апр-24, 01:13	+2 +/–
Тот, кто нашел уязвимость, сказал, что это была цепь случайностей, что он наткнулся на бяку. А сколько нас ждет ещё открытий чудных, которые оставили для подслеповатых тысячеглаз эти анонимы-мэнтейнеры, нагенерировавшие себе никнеймов и пролезшие в проекты... Остается надеяться на новые "цепочки счастливых случайностей"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #98, #126

62. Сообщение от Beta Version (ok), 01-Апр-24, 01:34	+4 +/–
Ну это так работает - находят не все сразу, а кто-то один первый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

63. Сообщение от Kuromi (ok), 01-Апр-24, 02:28	+3 +/–
То есть они только сейчас начали проверять все коммиты данного персонажа и выявляют все новые приколы? Мне казалось очевидным что все сделанное Jia Tan по умолчанию вредоносно.
Ответить | Правка | Наверх | Cообщить модератору

64. Сообщение от Kuromi (ok), 01-Апр-24, 02:31	+3 +/–
Есть там выход в интернет, просто он кого надо выход и все кто по службе выходят делают это в присутствии верных товарищей с табельным оружием. Ну чтоб там порнобаннер не словить например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #90

66. Сообщение от microcoder (ok), 01-Апр-24, 02:57	+/–
> Какой интересный язык. Одна точка (.) - текущий каталог, две точки (..) - ссылка на каталог выше. Этому "языку" уже сто лет в обед.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

68. Сообщение от yet another anonymous (?), 01-Апр-24, 03:23	+2 +/–
Сама идея "проверить наличие пакета X" и на основе этого "включать/не включать функциональность Y" выглядит ... (как бы помягче...) несколько неразумной.
Ответить | Правка | Наверх | Cообщить модератору

69. Сообщение от iPony129412 (?), 01-Апр-24, 04:26	+1 +/–
Я видел код ужас от студентов. Текло это жесть как. И никакой мифический паскаль не спасал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

70. Сообщение от iPony129412 (?), 01-Апр-24, 04:28	+2 +/–
> Вот напишу я прогу на 100500 Вот и сам же написал причину. Дело не в языке, а в том что hello world-ы пишешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

72. Сообщение от Анонимщик (?), 01-Апр-24, 05:57	–1 +/–
Или я в глаза долблюсь, или тут нет добавления той точки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #75, #79

73. Сообщение от Аноним (73), 01-Апр-24, 06:32	+2 +/–
Он похоже профессионал в другой области.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

74. Сообщение от Аноним (74), 01-Апр-24, 06:37	+2 +/–
В доках landlock и правда советуют использовать сисколл https://docs.kernel.org/userspace-api/landlock.html#landlock..., потому что действительно, это опциональная фича, которая может быть отключена в коммандлайне ядра. Вот только это относится к запуску программы, а не к ее компиляции. Если при компиляции хедер есть и линковка отрабатывает, то что еще надо-то? Так что да, весь этот патч изначально запилен с целью отключить landlock. И очевидно что его никто не ревьюил (по крайней мере никто компетентный), потому что как такое можно пропустить?
Ответить | Правка | Наверх | Cообщить модератору

75. Сообщение от Аноним (75), 01-Апр-24, 07:30	+1 +/–
почти в самом верху: +        #include <sys/prctl.h> +. +        void my_sandbox(void)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

76. Сообщение от Ivan_83 (ok), 01-Апр-24, 08:26	+1 +/–
Саботажников в опенсорце и так хватает, многие из них не прячутся и не скрываются, а гордятся свой работой. Тут кто то старался и впиливал бэкдор, а они стараются и не впиливают патчи потому что они им не нужны или не нравятся или они этим не пользуются, или втаскивают всякую хрень нужную только им и мешающую остальным.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101, #124

77. Сообщение от Аноним (-), 01-Апр-24, 09:05    Скрыто ботом-модератором	–1 +/–
Паскаль немного устарел, лучше на Microsoft Power Fx писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

78. Сообщение от Аноним (80), 01-Апр-24, 09:09	+3 +/–
А может кто-нибудь внятно объяснить, почему какая-то сжималка требует доступ к низкоуровневым особенностям ядра и глибц (которые сами по себе уже являются глубоко системными компонентами), но проблемой считается не это, а то, что эти особенности используются неправильно? Из многочисленных последних тредов про xz так и не понял, почему хелло-ворлд, требующий экзотических системных вызовов, работающих даже на линуксе не на каждой версии, не вызывал никаких подозрений, пока кто-то не открыл глаза и не увидел, что там куча уязвимостей? Ну требует хелло-ворлд подмены функций на уровне глибц и экзотических системных вызовов - ачотакова?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #82, #88

79. Сообщение от Аноним (80), 01-Апр-24, 09:11	+/–
Поскольку добавление точки нашлось... не могу не спросить, зачем вы так со своими глазами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

80. Сообщение от Аноним (80), 01-Апр-24, 09:14	+3 +/–
> Где-где были Тыщиглазовцы, когда Очевидно, искали проблемы в других пакетах. Или вы думаете, что тысячаглаз ищет проблемы только в xz? А что там про Миннесоту, кстати?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

82. Сообщение от Аноним (74), 01-Апр-24, 09:44	+/–
ну тебе же это не открыло глаза до выхода новости? Ну вот и остальным то же самое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

83. Сообщение от Аноним (83), 01-Апр-24, 09:59	+/–
Эээ.... Арчлинуху передайте инфу. Они же пакет не откатывали, а только перестроили и про лишнюю точку не в курсе, наверно.
Ответить | Правка | Наверх | Cообщить модератору

85. Сообщение от Пряник (?), 01-Апр-24, 10:09    Скрыто ботом-модератором	+1 +/–
Systemd нужно первым переписать на Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

86. Сообщение от Аноним (86), 01-Апр-24, 10:17	+/–
Ничего не значит. Ошибка синтаксиса и код не компилируется... И поэтому проверки отключаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

87. Сообщение от Аноним (86), 01-Апр-24, 10:19	+/–
То есть там O(n^2) наверно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

88. Сообщение от Пряник (?), 01-Апр-24, 10:21	+1 +/–
Всё так и есть. Но видимо всем просто пофиг на xz. А выкинуть из зависимостей его забыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

89. Сообщение от Аноним (89), 01-Апр-24, 10:23    Скрыто ботом-модератором	+/–
Работает? Закладку нашли через исследование поведения в первую и основную очередь. В исходниках её никто не видел, пока не начали копать. Тысяча глаз, ржу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

90. Сообщение от EULA (?), 01-Апр-24, 10:31	+/–
Фигасе, какие умные северо-корейцы: с ограниченным интернетом имеют такие глубокие знания в программировании, бэкдурописании, вирусописании... Вот игил (запрещенная в России террористическая организация), имея неограниченный выход в интернет таких познаний совсем не имеет. Что же будет с миром, если хотя бы 20% северо-корейцев смогут выходить в интернет???
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #91, #108, #118

91. Сообщение от Аноним (91), 01-Апр-24, 11:14	+2 +/–
В игил не учат математику, а в С.Корее учат - см. Ланькова.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #119

92. Сообщение от bdrbt (ok), 01-Апр-24, 11:58	+2 +/–
Не работает. Мы обсуждаем случайно найденную дыру. Напомню - ее нашли не в результате аудита, а из-за кривого инжекта бэкдора, который слишком много жрал и лагал, а если бы был поптимизированее - никто бы и не мяукнул.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #107

94. Сообщение от Аноним (94), 01-Апр-24, 13:00	+4 +/–
>В сборочном сценарии CMakeLists.txt Лица кричавших про нечитаемые m4-скрипты в угоду симейку - к осмотру.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #96, #112

95. Сообщение от Аноним (43), 01-Апр-24, 13:44	+/–
Там не таблица, а простенький FSA. Даже если бы оно было написано на Python, оно бы не нажрало 0.5 секунд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

96. Сообщение от Аноним (96), 01-Апр-24, 14:23	+/–
В автоконфе точно такой же способ сработал бы прекрасно, сюрприз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #97

97. Сообщение от Аноним (96), 01-Апр-24, 14:25	+/–
Но в автоконфе я бы спрятал через divert, там и в корректном-то коде без поллитры не разберешься
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #129

98. Сообщение от Аноним (98), 01-Апр-24, 14:34	+1 +/–
А это фундаментальный недостаток всех централизованных репозиториев типа Cargo - какой-нибудь "полезный" пакет типа выравнивания отступов из двух строчек включен в зависимости тысячи других пакетов и тем самым становится желанной целью атакующего. Получить к нему доступ, как мы убедились на примере xz, это дело техники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

99. Сообщение от Аноним (98), 01-Апр-24, 14:40	+/–
Ты серьезно веришь, что если бы там был check_rust_source_compiles это что-то поменяло бы? Наивный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #105

100. Сообщение от Серб (ok), 01-Апр-24, 14:50	+1 +/–
> Сразу ффтопку - машина, на которой производится сборка не является машиной, на которой производится исполнение. А вот это неважно. Эта машина на которой прописываются нужные зависимости. Если машина будет ставить такой пакет, то зависимости установятся автоматически. Так что ваши корни выросшие в другой ОС просматриваются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #114

101. Сообщение от Аноним (98), 01-Апр-24, 15:12	+/–
Если у опенсорца нет денег чтобы заплатить разработчикам за то что нужно придется кушать то что дают и тешить ЧСВ программистов которых бы на другом проекте выгнали тряпками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

102. Сообщение от Аноним (102), 01-Апр-24, 15:29	+1 +/–
Если быть честным - тысячепользователи, а глаз которые следили за разработкой наверняка на одной руке можно пересчитать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

103. Сообщение от Аноним (103), 01-Апр-24, 15:45	–2 +/–
У Линуса, походу, вообще никаких тестов нет. Фин тянет в свою поделку любую шнягу. Оттого поделка вся дырява насквозь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

105. Сообщение от morphe (?), 01-Апр-24, 16:06	+1 +/–
В Rust не производят проверку наличия фич методом компилируется код с ней или нет) Всё же не надо отрицать что механизм пробинга в autoconfig - отвратительная дичь, которая была сделана просто потому что разработчики языка Си не озаботились указать какие размеры имеют char, short, int, long int, long long, и стандартизировать механизмы расширения компилятора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

106. Сообщение от bdrbt (ok), 01-Апр-24, 16:28	+/–
>> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки > . > А с чего взяли что намеренно? > В программах на СИ постоянно забывают проверять размер буфера или делают double > free. > Любой человек может ошибится, это нормально и совершенно не зависти от языка, > честно-честно! Потому что эта "ашипка" - одна из череды вредоносных изменений от автора бэкдора
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

107. Сообщение от Аноним (107), 01-Апр-24, 16:36	+4 +/–
«Тысячи глаз» это не аудит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

108. Сообщение от Kuromi (ok), 01-Апр-24, 16:40	+/–
> Фигасе, какие умные северо-корейцы: с ограниченным интернетом имеют такие глубокие знания > в программировании, бэкдурописании, вирусописании... Вот игил (запрещенная в России террористическая > организация), имея неограниченный выход в интернет таких познаний совсем не имеет. > Что же будет с миром, если хотя бы 20% северо-корейцев смогут > выходить в интернет??? Нужные книжки и  ресурсы они там потихоньку выкачивают, не волнуйся за них. Даже свой самопальный Линукс сделали, причем с колоритными модификациями. Ну а то что развлекательное ничего не доступно и даже порно только в  погонах - ну таковы лишения от борьбы с "мировой закулисой".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #121

109. Сообщение от anonymous (??), 01-Апр-24, 17:27	+/–
Херовая проверка на наличие функций в заголовке. В CMake проверка делается через check_symbol_exists(), а не эту херню с check_c_source_compiles(). Понятно, что этот саботажник сам так и написал, да еще херню придумал, что по хедеру не проверить наличие возможностей.
Ответить | Правка | Наверх | Cообщить модератору

110. Сообщение от Аноним (110), 01-Апр-24, 17:42    Скрыто ботом-модератором	+/–
Когда MS находит дыру - они часть великого сообщества. Во всех остальных случаях - враги опенсорса. Не перепутайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #115

111. Сообщение от Прадед (?), 01-Апр-24, 20:58	+/–
Технически красиво конечно сделано со всей этой криптографией и занос скрипта прямо в открытый сырец, прямо музейный экспонат, но удивляет другое. Как методично всё протащили, и даже мантейнера,учитывая что коммиты были не особо нужные. Иные проекты попробуй убеди твой патч принять, если только он не как на ладони багу фиксит, а тут какой-то треш, да ещё и во все дистры сразу... Как бы да, нормального леща прописали. Однако не спешим хихикать, в закрытый сырец такое бы внесли моментально и никто бы не нашёл никогда.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #123

112. Сообщение от Аноним (112), 01-Апр-24, 22:48	+1 +/–
> тест всегда завершался неудачей. И? Код был сломан, тест был сломан. То что это никто не проверял - не проблема языка. В отличие от всяких там убожественных умирающих ЯП, изобилующих спец-символами и где "каждая строка - это валидное выражение".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

113. Сообщение от ivanpetrov (ok), 01-Апр-24, 23:08	+/–
Это не в CMake точка, он её добавил в C коде, который передаётся в CMake функцию check_c_source_compiles(), то есть (пытаться) конпелировать это будет не CMake, а C компилятор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

114. Сообщение от Аноним (114), 02-Апр-24, 00:06	+/–
Спасибо, мне нафиг не надо, чтобы какой-то xz-utils решал, какой версией ядра мне пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

115. Сообщение от Beta Version (ok), 02-Апр-24, 03:13	+/–
>Когда MS находит дыру Дыру нашла не MS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #125

116. Сообщение от минона (?), 02-Апр-24, 07:35	+/–
> отрыжки из прошлого века в виде м4 скритов Ну, вообще-то, в данном топике обсуждается изменение в CMakeLists.txt Не в M4 дело, а в том, что: 1. Критичные для функционирования системы службы - сложные, со множеством зависимостей от сторонних компонентов и неявными связями. 2. Сторонние компоненты по вполне объективным причинам не имеют собственного унифицированного механизма контроля ("базар" же) и при использовании как 3rd party не проходят внешнего аудита. Поэтому данная атака - это не пробой какой-то уязвимости, это пробой в целом модели базара
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

117. Сообщение от adolfus (ok), 02-Апр-24, 09:37	+1 +/–
> разработчики языка Си не озаботились указать какие размеры имеют char, short, int, long int, long long Именно потому С можно адаптировать для любой мыслимой архитектуры и платформы. И никогда никому это не мешало, поскольку в языке есть заголовок <stdint.h>, объявляющий типы фиксированной ширины.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

118. Сообщение от Аноним (118), 02-Апр-24, 17:45	+/–
>Фигасе, какие умные северо-корейцы А еще они снарядов могут клепать больше, чем все страны развитого капитализьма во главе в гегемоном вместе взятые. Что-то тут не так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #128

119. Сообщение от Аноним (119), 02-Апр-24, 18:33    Скрыто ботом-модератором	+/–
Ланьков до сих пор числится в Южно-Корейском отделе ФСБ, или он уволился? Ах да, впрочем бывших осведомителей небывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

121. Сообщение от EULA (?), 03-Апр-24, 10:05	+/–
И все равно получается, что они умные. Что же будет, если их в сеть выпустят???
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #130

122. Сообщение от Аноним (-), 03-Апр-24, 11:19    Скрыто ботом-модератором	+/–
Роса Линукс забэкдорена: https://abf.rosalinux.ru/platforms/rosa2023.1/products/428/p...
Ответить | Правка | Наверх | Cообщить модератору

123. Сообщение от пох. (?), 03-Апр-24, 18:24	+/–
> Иные проекты попробуй убеди твой патч принять, если только он не как на ладони багу фиксит, > а тут какой-то треш, да ещё и во все дистры сразу... в точности наоборот: почти любые проекты невозможно убедить патч принять, особенно если он багу фиксит - это ж главному разработчику прожекта прям игла в задницу - КАК, У МЕНЯ БАГИ?! И НЕ Я нашел?! Порежьте помельче и переподайте с тройным поклоном, и не поясным, а земным! А такую вот дрянь - принимают на ура. Как и наезды на недостаточную толерастность майнтейнера, впрочем. (Смотри не перепутай - наедешь на недостаточность квалификации - самого заканселят! Как можно, он же аутист и ОНО!) > Однако не спешим хихикать, в закрытый сырец такое бы внесли моментально и никто бы не нашёл > никогда. угу, у корпорации-зла  ж ни code review, ни разборов полетов по четвергам, ни раздачи pink slip по пятницам.  Сиди себе, пили бэкдоры, только не увлекайся, чтобы успевать деньги загрести лопатой, пока ими не засыпало с головой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

124. Сообщение от пох. (?), 03-Апр-24, 18:30	+/–
ты что - так и не научился до земли кланяться, а не только в пояс? Ну блин, никто ж не требует от тебя, столетнего деда, молодецкой гибкости! Становись на колени, аккуратненько, коленки старые, повредишь быстро плюхаясь. И из этой позы - лобешником в грязь под ногами гениального "разработчика" - шмяк! Вот! И так три раза! (если дотянешься - можешь еще и поцеловать туфлю! Только не разгибайся, могут принять за нетолерантность, а так ползи!) И ему удовлетворение, и тебе польза - патч повертят-повертят на ...ую, заставят пару-тройку раз colour на color поменять и обратно - да и примут!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

125. Сообщение от пох. (?), 03-Апр-24, 18:32	+/–
>>Когда MS находит дыру > Дыру нашла не MS. дыру нашел разработчик на зарплате от MS. Живи теперь с этим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #131

126. Сообщение от пох. (?), 03-Апр-24, 18:34	+/–
> Тот, кто нашел уязвимость, сказал, что это была цепь случайностей, Угу, цепь счастливых случайностей. Он не "решил проблему" перезапуском контейнера, рестартом виртуалки, линейным скейлингом.... взял и полез... разбираться! Вот это - и правда неимоверно счастливая случайность. (а то что этот чувак работает на MS - закономерность) > никнеймов и пролезшие в проекты... Остается надеяться на новые "цепочки счастливых > случайностей" ну, в принципе, в MS еще остались вменяемые кадры. Немного, но держатся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

127. Сообщение от пох. (?), 03-Апр-24, 18:36	+/–
> а шутки про глупого анбешника оставь поклонникам мелкомягкого и их продукту, куда но... это был... сотрудник корпорации зла... (внезапно, у той больше одного продукта. В том числе - и azure cloud)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

128. Сообщение от пох. (?), 03-Апр-24, 18:42	+/–
>>Фигасе, какие умные северо-корейцы > А еще они снарядов могут клепать больше, чем все страны развитого капитализьма > во главе в гегемоном вместе взятые. Что-то тут не так. ну так вместо выращивания нежных личностев и уточнения как к Оно обращаться - там пилят снаряды в четыре смены. Кто плохо пилит - не получает свою пайку риса и волен сдохнуть с голодухи. Новых нарожают! (кто плохо рожовывает - ну ты понял, ага) Кто хорошо пилит - получает полторы пайки риса, и с голодухи подыхает гораздо медленней. Поэтому когда ему скажут сдохнуть во имя Кима - он это сделает с радостью и гордостью - ведь так гораздо лучше, чем дальше жить впроголодь. А эти, в развитом капитализме - очень любят послужить в армии, форма красивая, зарплата нормальная, ништяков сверх нее масса падает... но вот как где-то даже далеко война - так хоть увольняйся. А уж на заводе работать - ну разумеется только в дневную смену, с перерывом на качалку и медитацию (и еще семь положенных молитв в день, конечно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

129. Сообщение от пох. (?), 03-Апр-24, 18:49	+/–
> Но в автоконфе я бы спрятал через divert, там и в корректном-то > коде без поллитры не разберешься как будто в Cmake ты разберешься. Не говоря уже про питоноуродцев. Но вот пропихнуть патч с таким divert - удастся только в том случае, если ты сам и есть тот кто его примет, и не найдется никого кто посмотрит и задаст удивленный вопрос - "какого, собственно?" Поскольку торчать он будет как х-й во лбу. (разумеется, исключая сценарий когда ты умеешь что-то кроме вредительства и 99% большого патча реально решают чьи-то проблемы, а эта мелочь идет в довесок. Но здесь совсем иной случай. Товарищ особо даже и не прятался. Пипл схавает.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

130. Сообщение от Kuromi (ok), 03-Апр-24, 18:56	+/–
> И все равно получается, что они умные. > Что же будет, если их в сеть выпустят??? Советские сумрачные ученые тоже в шарашках клепали супероружие. Запад тоже думал "а что будет если их выпустить в  свет?". Как выяснилось ничего (страшного).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #133

131. Сообщение от Beta Version (ok), 03-Апр-24, 20:46	+/–
Если этот человек убьёт кого нибудь, то это M$ станет убийцей, т.к. этот человек у неё на зарплате? Если этот человек не занимает в M$ должность, связанную конкретно с поиском уязвимостей в системах на Линуксе, M$ к данному обнаружению бэкдора не имеет никакого отношения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

132. Сообщение от uis (??), 04-Апр-24, 12:38	+/–
Так первый нашедший бывает только один
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

133. Сообщение от EULA (?), 08-Апр-24, 08:16	+/–
В СССР хакеров не было, даже некоторые компьютеры были подключены к арпанет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема