Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock, opennews (??), 31-Мрт-24, (0) [смотреть все] Лучше и другие пакеты тоже проверить на таких типов, Аноним (1), 20:10 , 31-Мрт-24, (1) +8 // Каких именно Эти полорогие-парнокопытные не подписываются Ну и да, судя по б, Аноним (14), 20:59 , 31-Мрт-24, (14) +7 // А ведь тысячиглаз работают и мы обсуждаем найденную ими закладку, uis (??), 23:54 , 31-Мрт-24, (53) +16 // Угу, но только в какой-то альтернативной реальности А тут мы обсуждаем ну, к, Аноним (14), 00:18 , 01-Апр-24, (57) +3 По каким критериям он не проходит в ряды Тысячеглазовцев , Beta Version (ok), 00:30 , 01-Апр-24, (59) +5 Где-где были Тыщиглазовцы, когда коммитился сначала сам бэкдор, а потом и фиксы, Аноним (14), 01:02 , 01-Апр-24, (60) +8 Ну это так работает - находят не все сразу, а кто-то один первый , Beta Version (ok), 01:34 , 01-Апр-24, (62) +4 Очевидно, искали проблемы в других пакетах Или вы думаете, что тысячаглаз ищет , Аноним (80), 09:14 , 01-Апр-24, (80) +3 Если быть честным - тысячепользователи, а глаз которые следили за разработкой на, Аноним (102), 15:29 , 01-Апр-24, (102) +1 Скрыто модератором, Аноним (110), 17:42 , 01-Апр-24, (110) Скрыто модератором, Beta Version (ok), 03:13 , 02-Апр-24, (115) Скрыто модератором, пох. (?), 18:32 , 03-Апр-24, (125) Скрыто модератором, Beta Version (ok), 20:46 , 03-Апр-24, (131) Так первый нашедший бывает только один, uis (??), 12:38 , 04-Апр-24, (132) Тот, кто нашел уязвимость, сказал, что это была цепь случайностей, что он наткну, Аноним (61), 01:13 , 01-Апр-24, (61) +2 А это фундаментальный недостаток всех централизованных репозиториев типа Cargo -, Аноним (98), 14:34 , 01-Апр-24, (98) +1 Угу, цепь счастливых случайностей Он не решил проблему перезапуском контейнер, пох. (?), 18:34 , 03-Апр-24, (126) Скрыто модератором, Аноним (89), 10:23 , 01-Апр-24, (89) Не работает Мы обсуждаем случайно найденную дыру Напомню - ее нашли не в резул, bdrbt (ok), 11:58 , 01-Апр-24, (92) +2 171 Тысячи глаз 187 это не аудит, Аноним (107), 16:36 , 01-Апр-24, (107) +4 bzip2, gzip не могли похакать Обязательно привычный xz надо коцать Тьфу,шлеп-шл, Аноним (2), 20:13 , 31-Мрт-24, (2) +1 // А вы уверены, что их не похакали Может их просто ещё не дошли руки у кого надо , lucentcode (ok), 20:25 , 31-Мрт-24, (3) +2   // видел твой коммент, что ты теперь будешь начисто переставляться а я говорил еще, crypt (ok), 20:46 , 31-Мрт-24, (6) +8   // Вот если по конкретному инциденту Предлагаешь отказаться от сжимальщиков и архи, Аноним (35), 22:01 , 31-Мрт-24, (35) –2   Хм уточни пожалуйста про какие нарушения KISS и UNIX way ты говоришь Про то, , Аноним (-), 22:26 , 31-Мрт-24, (42) –2   Ну, вообще-то, в данном топике обсуждается изменение в CMakeLists txtНе в M4 дел, минона (?), 07:35 , 02-Апр-24, (116)   Скрыто модератором, Пряник (?), 10:09 , 01-Апр-24, (85) +1   gzip в руках идейных Хотя, после травли и ухода Столмана туда могли проникнуть , Аноним (35), 20:51 , 31-Мрт-24, (10) +1 Скрыто модератором, Анонин (-), 20:47 , 31-Мрт-24, (7) –2 // Скрыто модератором, Аноним (35), 20:59 , 31-Мрт-24, (15) +8 // Скрыто модератором, Аноним (17), 21:04 , 31-Мрт-24, (17) Скрыто модератором, Аноним (18), 21:07 , 31-Мрт-24, (18) +2 // Скрыто модератором, qwe (??), 21:30 , 31-Мрт-24, (27) +4 Скрыто модератором, Стив Балмер (?), 21:32 , 31-Мрт-24, (28) –1 Скрыто модератором, пох. (?), 18:36 , 03-Апр-24, (127) нравится мне этот парень с тайваня красиво работает , crypt (ok), 20:48 , 31-Мрт-24, (8) +1 // Программистские тесты не писал,если так по-детски спалился , Аноним (11), 20:54 , 31-Мрт-24, (11) –1 с северной кореи он, зачем тайваню это , pelmaniac (?), 20:55 , 31-Мрт-24, (12) // 1 В Северной Корее интернета нет 2 А если он там есть, значит, официальная про, Аноним (19), 21:09 , 31-Мрт-24, (19) +5 // Зато в северной корее есть северные корейцы , которые по заданию партии могут пм, Аноним (29), 21:35 , 31-Мрт-24, (29) +2 Есть там выход в интернет, просто он кого надо выход и все кто по службе выходят, Kuromi (ok), 02:31 , 01-Апр-24, (64) +3 Фигасе, какие умные северо-корейцы с ограниченным интернетом имеют такие глубок, EULA (?), 10:31 , 01-Апр-24, (90) В игил не учат математику, а в С Корее учат - см Ланькова , Аноним (91), 11:14 , 01-Апр-24, (91) +2 Скрыто модератором, Аноним (119), 18:33 , 02-Апр-24, (119) Нужные книжки и ресурсы они там потихоньку выкачивают, не волнуйся за них Даже, Kuromi (ok), 16:40 , 01-Апр-24, (108) И все равно получается, что они умные Что же будет, если их в сеть выпустят , EULA (?), 10:05 , 03-Апр-24, (121) Советские сумрачные ученые тоже в шарашках клепали супероружие Запад тоже думал, Kuromi (ok), 18:56 , 03-Апр-24, (130) В СССР хакеров не было, даже некоторые компьютеры были подключены к арпанет , EULA (?), 08:16 , 08-Апр-24, (133) А еще они снарядов могут клепать больше, чем все страны развитого капитализьма в, Аноним (118), 17:45 , 02-Апр-24, (118) ну так вместо выращивания нежных личностев и уточнения как к Оно обращаться - та, пох. (?), 18:42 , 03-Апр-24, (128) Осталось исправить master на main, и все saboteurs сразу устыдятся содеянного, и, Аноним (22), 21:18 , 31-Мрт-24, (22) +11 А что эта точка значит в CMake , Аноним (23), 21:21 , 31-Мрт-24, (23) // возможно сокращение от вкусно и точка , Аноним (25), 21:28 , 31-Мрт-24, (25) +11 // Вот они и спалились , Аноним (29), 21:38 , 31-Мрт-24, (31) +3 // Точнее, работодатель товарища майора , Аноним (35), 22:03 , 31-Мрт-24, (36) Чтобы код внутри check_c_source_compiles код не скомпилировался До точки т, topin89 (ok), 22:06 , 31-Мрт-24, (37) +2 // Да это понятно Я про синтаксис Что в С CMake это означает Почему не летит оши, Аноним (23), 00:03 , 01-Апр-24, (56) +1 // Ничего не значит Ошибка синтаксиса и код не компилируется И поэтому проверки, Аноним (86), 10:17 , 01-Апр-24, (86) Это не в CMake точка, он её добавил в C коде, который передаётся в CMake функцию, ivanpetrov (ok), 23:08 , 01-Апр-24, (113) Интересно, почему не было тестов на данный функционал Механизм изоляции приложе, Аноним (-), 21:26 , 31-Мрт-24, (24) // У Линуса, походу, вообще никаких тестов нет Фин тянет в свою поделку любую шняг, Аноним (103), 15:45 , 01-Апр-24, (103) –2 А с чего взяли что намеренно В программах на СИ постоянно забывают проверять ра, Аноним (-), 21:30 , 31-Мрт-24, (26) // Надо просто посмотреть, кем Неужели нельзя вывести список всех изменений, к кот, Аноним (30), 21:37 , 31-Мрт-24, (30) –1 Скрыто модератором, Аноним (-), 21:52 , 31-Мрт-24, (32) –1 Вот в таком виде https git tukaani org p xz git a commitdiff h f9cf4c05edd14d, Аноним (33), 21:57 , 31-Мрт-24, (33) –4 // Так это удаление ошибки, а добавили код с ошибкой в https git tukaani org p x, sigprof (ok), 22:13 , 31-Мрт-24, (40) +3 // Или я в глаза долблюсь, или тут нет добавления той точки , Анонимщик (?), 05:57 , 01-Апр-24, (72) –1 почти в самом верху include sys prctl h void my_sandbox vo, Аноним (75), 07:30 , 01-Апр-24, (75) +1 Поскольку добавление точки нашлось не могу не спросить, зачем вы так со своим, Аноним (80), 09:11 , 01-Апр-24, (79) Вот все матерятся на паскаль, а там строгая типизация и FastMM HeapTrc, так что , Аноним (58), 00:22 , 01-Апр-24, (58) –1 // Я видел код ужас от студентов Текло это жесть как И никакой мифический паскаль н, iPony129412 (?), 04:26 , 01-Апр-24, (69) +1 Вот и сам же написал причину Дело не в языке, а в том что hello world-ы пишешь, iPony129412 (?), 04:28 , 01-Апр-24, (70) +2 Скрыто модератором, Аноним (-), 09:05 , 01-Апр-24, (77) –1 Потому что эта ашипка - одна из череды вредоносных изменений от автора бэкдора, bdrbt (ok), 16:28 , 01-Апр-24, (106) Какой интересный язык Добавил просто точку - получил изменение логики , Аноним (41), 22:13 , 31-Мрт-24, (41) // а как вам язык где балом правит запятая Казнить нельзя помиловать , Стив Балмер (?), 23:37 , 31-Мрт-24, (51) +2 Причём тут язык В CMake функция check_c_source_compiles проверяет только то, , Аноним (52), 23:49 , 31-Мрт-24, (52) +4 // Именно потому С можно адаптировать для любой мыслимой архитектуры и платформы И, adolfus (ok), 09:37 , 02-Апр-24, (117) +1 Какой из языков и какой логики , uis (??), 23:59 , 31-Мрт-24, (54) Одна точка - текущий каталог, две точки - ссылка на каталог выше Этому, microcoder (ok), 02:57 , 01-Апр-24, (66) Ты серьезно веришь, что если бы там был check_rust_source_compiles это что-то по, Аноним (98), 14:40 , 01-Апр-24, (99) // В Rust не производят проверку наличия фич методом компилируется код с ней или не, morphe (?), 16:06 , 01-Апр-24, (105) +1 Единственное, чего я не понял из имеющихся на данный момент результатов реверсин, Аноним (43), 22:34 , 31-Мрт-24, (43) // В поиске строк в таблице, uis (??), 00:00 , 01-Апр-24, (55) // То есть там O n 2 наверно , Аноним (86), 10:19 , 01-Апр-24, (87) Там не таблица, а простенький FSA Даже если бы оно было написано на Python, оно, Аноним (43), 13:44 , 01-Апр-24, (95) Я не понял, там autotools или CMake Или там настолько долбанулись, что им ещё M, Аноним (46), 22:57 , 31-Мрт-24, (46) Сразу ффтопку - машина, на которой производится сборка не является машиной, на к, Аноним (46), 23:06 , 31-Мрт-24, (48) +4 // Он похоже профессионал в другой области , Аноним (73), 06:32 , 01-Апр-24, (73) +2 А вот это неважно Эта машина на которой прописываются нужные зависимости Если м, Серб (ok), 14:50 , 01-Апр-24, (100) +1 // Спасибо, мне нафиг не надо, чтобы какой-то xz-utils решал, какой версией ядра мн, Аноним (114), 00:06 , 02-Апр-24, (114) То есть они только сейчас начали проверять все коммиты данного персонажа и выявл, Kuromi (ok), 02:28 , 01-Апр-24, (63) +3 Сама идея проверить наличие пакета X и на основе этого включать не включать ф, yet another anonymous (?), 03:23 , 01-Апр-24, (68) +2 В доках landlock и правда советуют использовать сисколл https docs kernel org , Аноним (74), 06:37 , 01-Апр-24, (74) +2 Саботажников в опенсорце и так хватает, многие из них не прячутся и не скрываютс, Ivan_83 (ok), 08:26 , 01-Апр-24, (76) +1 // Если у опенсорца нет денег чтобы заплатить разработчикам за то что нужно придетс, Аноним (98), 15:12 , 01-Апр-24, (101) ты что - так и не научился до земли кланяться, а не только в пояс Ну блин, никто, пох. (?), 18:30 , 03-Апр-24, (124) А может кто-нибудь внятно объяснить, почему какая-то сжималка требует доступ к н, Аноним (80), 09:09 , 01-Апр-24, (78) +3 // ну тебе же это не открыло глаза до выхода новости Ну вот и остальным то же само, Аноним (74), 09:44 , 01-Апр-24, (82) Всё так и есть Но видимо всем просто пофиг на xz А выкинуть из зависимостей ег, Пряник (?), 10:21 , 01-Апр-24, (88) +1 Эээ Арчлинуху передайте инфу Они же пакет не откатывали, а только перестрои, Аноним (83), 09:59 , 01-Апр-24, (83) Лица кричавших про нечитаемые m4-скрипты в угоду симейку - к осмотру , Аноним (94), 13:00 , 01-Апр-24, (94) +4 // В автоконфе точно такой же способ сработал бы прекрасно, сюрприз , Аноним (96), 14:23 , 01-Апр-24, (96) // Но в автоконфе я бы спрятал через divert, там и в корректном-то коде без поллитр, Аноним (96), 14:25 , 01-Апр-24, (97) // как будто в Cmake ты разберешься Не говоря уже про питоноуродцев Но вот пропихн, пох. (?), 18:49 , 03-Апр-24, (129) И Код был сломан, тест был сломан То что это никто не проверял - не проблема я, Аноним (112), 22:48 , 01-Апр-24, (112) +1 Херовая проверка на наличие функций в заголовке В CMake проверка делается через, anonymous (??), 17:27 , 01-Апр-24, (109) Технически красиво конечно сделано со всей этой криптографией и занос скрипта пр, Прадед (?), 20:58 , 01-Апр-24, (111) // в точности наоборот почти любые проекты невозможно убедить патч принять, особен, пох. (?), 18:24 , 03-Апр-24, (123) Скрыто модератором, Аноним (-), 11:19 , 03-Апр-24, (122) 1,2,8,22,23,24,26,41,43,46,48,63,68,74,76,78,83,94,109,111

Сообщения

[Сортировка по времени | RSS]

	3. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."	+2 +/–
	Сообщение от lucentcode (ok), 31-Мрт-24, 20:25
	А вы уверены, что их не похакали? Может их просто ещё не дошли руки у кого надо проверить?
	Ответить | Правка | Наверх | Cообщить модератору

	6. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."	+8 +/–
	Сообщение от crypt (ok), 31-Мрт-24, 20:46
	видел твой коммент, что ты теперь будешь начисто переставляться. а я говорил еще пару лет назад, что нарушение принципа KISS и UNIX way в systemd приведут к проблемам безопасности.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."	–2 +/–
	Сообщение от Аноним (35), 31-Мрт-24, 22:01
	Вот если по конкретному инциденту. Предлагаешь отказаться от сжимальщиков и архиваторов?
	Ответить | Правка | Наверх | Cообщить модератору

	42. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."	–2 +/–
	Сообщение от Аноним (-), 31-Мрт-24, 22:26
	Хм... уточни пожалуйста про какие нарушения KISS и UNIX way ты говоришь? Про то, что очень важную либу пилит какие-то полтора васяна, половина из которых вообше анон взявшийся из ниоткуда? Или про то, что в это важной либе используются отрыжки из прошлого века в виде м4 скритов? Или про то, в итоге это вызывает нечитаемое уродство в виде баш-портянок, которые как оказалось попахивают?
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	116. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."	+/–
	Сообщение от минона (?), 02-Апр-24, 07:35
	> отрыжки из прошлого века в виде м4 скритов Ну, вообще-то, в данном топике обсуждается изменение в CMakeLists.txt Не в M4 дело, а в том, что: 1. Критичные для функционирования системы службы - сложные, со множеством зависимостей от сторонних компонентов и неявными связями. 2. Сторонние компоненты по вполне объективным причинам не имеют собственного унифицированного механизма контроля ("базар" же) и при использовании как 3rd party не проходят внешнего аудита. Поэтому данная атака - это не пробой какой-то уязвимости, это пробой в целом модели базара
	Ответить | Правка | Наверх | Cообщить модератору

	85. Скрыто модератором	+1 +/–
	Сообщение от Пряник (?), 01-Апр-24, 10:09
	Systemd нужно первым переписать на Rust.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема