- Лучше и другие пакеты тоже проверить на таких типов, Аноним (1), 20:10 , 31-Мрт-24 (1) +8 [^]
Лучше и другие пакеты тоже проверить на таких типов
- Каких именно Эти полорогие-парнокопытные не подписываются Ну и да, судя по б, Аноним (14), 20:59 , 31-Мрт-24 (14) +7 [^]
- А ведь тысячиглаз работают и мы обсуждаем найденную ими закладку, uis (??), 23:54 , 31-Мрт-24 (53) +16 [^]
- Угу, но только в какой-то альтернативной реальности А тут мы обсуждаем ну, к, Аноним (14), 00:18 , 01-Апр-24 (57) +3
- По каким критериям он не проходит в ряды Тысячеглазовцев , Beta Version (ok), 00:30 , 01-Апр-24 (59) +5
- Где-где были Тыщиглазовцы, когда коммитился сначала сам бэкдор, а потом и фиксы, Аноним (14), 01:02 , 01-Апр-24 (60) +8 [^]
- Ну это так работает - находят не все сразу, а кто-то один первый , Beta Version (ok), 01:34 , 01-Апр-24 (62) +4
- Очевидно, искали проблемы в других пакетах Или вы думаете, что тысячаглаз ищет , Аноним (80), 09:14 , 01-Апр-24 (80) +3
- Если быть честным - тысячепользователи, а глаз которые следили за разработкой на, Аноним (102), 15:29 , 01-Апр-24 (102) +1
- Скрыто модератором, Аноним (110), 17:42 , 01-Апр-24 (110) [---]
- Так первый нашедший бывает только один, uis (??), 12:38 , 04-Апр-24 (132)
- Тот, кто нашел уязвимость, сказал, что это была цепь случайностей, что он наткну, Аноним (61), 01:13 , 01-Апр-24 (61) +2
- Скрыто модератором, Аноним (89), 10:23 , 01-Апр-24 (89) [---]
- Не работает Мы обсуждаем случайно найденную дыру Напомню - ее нашли не в резул, bdrbt (ok), 11:58 , 01-Апр-24 (92) +2
- bzip2, gzip не могли похакать Обязательно привычный xz надо коцать Тьфу,шлеп-шл, Аноним (2), 20:13 , 31-Мрт-24 (2) +1
bzip2, gzip не могли похакать? Обязательно привычный xz надо коцать.Тьфу,шлеп-шлеп - я ушел от вас.(
- А вы уверены, что их не похакали Может их просто ещё не дошли руки у кого надо , lucentcode (ok), 20:25 , 31-Мрт-24 (3) +2
- видел твой коммент, что ты теперь будешь начисто переставляться а я говорил еще, crypt (ok), 20:46 , 31-Мрт-24 (6) +8 [^]
- Вот если по конкретному инциденту Предлагаешь отказаться от сжимальщиков и архи, Аноним (35), 22:01 , 31-Мрт-24 (35) –2
- Хм уточни пожалуйста про какие нарушения KISS и UNIX way ты говоришь Про то, , Аноним (-), 22:26 , 31-Мрт-24 (42) –2
- Скрыто модератором, Пряник (?), 10:09 , 01-Апр-24 (85) +1 [---]
- gzip в руках идейных Хотя, после травли и ухода Столмана туда могли проникнуть , Аноним (35), 20:51 , 31-Мрт-24 (10) +1
- Скрыто модератором, Анонин (-), 20:47 , 31-Мрт-24 (7) –2 [---]
Хаха)) А кто-то в соседней теме хвалился про то, что "тыщща глаз таки работает!" Сколько им открытий чудных еще готовит разбор коммитов того чела?
- нравится мне этот парень с тайваня красиво работает , crypt (ok), 20:48 , 31-Мрт-24 (8) +1
> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точканравится мне этот парень с тайваня... красиво работает.
- Программистские тесты не писал,если так по-детски спалился , Аноним (11), 20:54 , 31-Мрт-24 (11) –1
- с северной кореи он, зачем тайваню это , pelmaniac (?), 20:55 , 31-Мрт-24 (12)
- 1 В Северной Корее интернета нет 2 А если он там есть, значит, официальная про, Аноним (19), 21:09 , 31-Мрт-24 (19) +5
- Зато в северной корее есть северные корейцы , которые по заданию партии могут пм, Аноним (29), 21:35 , 31-Мрт-24 (29) +2
- Есть там выход в интернет, просто он кого надо выход и все кто по службе выходят, Kuromi (ok), 02:31 , 01-Апр-24 (64) +3
- Фигасе, какие умные северо-корейцы с ограниченным интернетом имеют такие глубок, EULA (?), 10:31 , 01-Апр-24 (90)
- В игил не учат математику, а в С Корее учат - см Ланькова , Аноним (91), 11:14 , 01-Апр-24 (91) +2
- Нужные книжки и ресурсы они там потихоньку выкачивают, не волнуйся за них Даже, Kuromi (ok), 16:40 , 01-Апр-24 (108)
- А еще они снарядов могут клепать больше, чем все страны развитого капитализьма в, Аноним (118), 17:45 , 02-Апр-24 (118)
- Осталось исправить master на main, и все saboteurs сразу устыдятся содеянного, и, Аноним (22), 21:18 , 31-Мрт-24 (22) +11 [^]
Осталось исправить master на main, и все saboteurs сразу устыдятся содеянного, и сами откатят свои вредности!
- А что эта точка значит в CMake , Аноним (23), 21:21 , 31-Мрт-24 (23)
А что эта точка значит в CMake?
- возможно сокращение от вкусно и точка , Аноним (25), 21:28 , 31-Мрт-24 (25) +11 [^]
- Чтобы код внутри check_c_source_compiles код не скомпилировался До точки т, topin89 (ok), 22:06 , 31-Мрт-24 (37) +2
- Это не в CMake точка, он её добавил в C коде, который передаётся в CMake функцию, ivanpetrov (ok), 23:08 , 01-Апр-24 (113)
- Интересно, почему не было тестов на данный функционал Механизм изоляции приложе, Аноним (-), 21:26 , 31-Мрт-24 (24)
> что приводило к непрохождению проверки на наличие Landlock при любых условиях. Интересно, почему не было тестов на данный функционал? "Механизм изоляции приложений" звучит достаточно важно чтобы быть покрытым тестами. Так бы хоть у кого-то возникли бы вопросы? Или так такое не принято?
- А с чего взяли что намеренно В программах на СИ постоянно забывают проверять ра, Аноним (-), 21:30 , 31-Мрт-24 (26)
> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки. А с чего взяли что намеренно? В программах на СИ постоянно забывают проверять размер буфера или делают double free. Любой человек может ошибится, это нормально и совершенно не зависти от языка, честно-честно!
- Надо просто посмотреть, кем Неужели нельзя вывести список всех изменений, к кот, Аноним (30), 21:37 , 31-Мрт-24 (30) –1
- Скрыто модератором, Аноним (-), 21:52 , 31-Мрт-24 (32) –1 [---]
- Вот в таком виде https git tukaani org p xz git a commitdiff h f9cf4c05edd14d, Аноним (33), 21:57 , 31-Мрт-24 (33) –4 [V]
- Вот все матерятся на паскаль, а там строгая типизация и FastMM HeapTrc, так что , Аноним (58), 00:22 , 01-Апр-24 (58) –1
- Я видел код ужас от студентов Текло это жесть как И никакой мифический паскаль н, iPony129412 (?), 04:26 , 01-Апр-24 (69) +1
- Вот и сам же написал причину Дело не в языке, а в том что hello world-ы пишешь, iPony129412 (?), 04:28 , 01-Апр-24 (70) +2
- Скрыто модератором, Аноним (-), 09:05 , 01-Апр-24 (77) –1 [---]
- Потому что эта ашипка - одна из череды вредоносных изменений от автора бэкдора, bdrbt (ok), 16:28 , 01-Апр-24 (106)
- Какой интересный язык Добавил просто точку - получил изменение логики , Аноним (41), 22:13 , 31-Мрт-24 (41)
Какой интересный язык. Добавил просто точку - получил изменение логики.
- а как вам язык где балом правит запятая Казнить нельзя помиловать , Стив Балмер (?), 23:37 , 31-Мрт-24 (51) +2
- Причём тут язык В CMake функция check_c_source_compiles проверяет только то, , Аноним (52), 23:49 , 31-Мрт-24 (52) +4
- Какой из языков и какой логики , uis (??), 23:59 , 31-Мрт-24 (54)
- Одна точка - текущий каталог, две точки - ссылка на каталог выше Этому, microcoder (ok), 02:57 , 01-Апр-24 (66)
- Ты серьезно веришь, что если бы там был check_rust_source_compiles это что-то по, Аноним (98), 14:40 , 01-Апр-24 (99)
- Единственное, чего я не понял из имеющихся на данный момент результатов реверсин, Аноним (43), 22:34 , 31-Мрт-24 (43)
Единственное, чего я не понял из имеющихся на данный момент результатов реверсинга - где именно бэкдор умудряется проводить 0.5 секунды.
- Я не понял, там autotools или CMake Или там настолько долбанулись, что им ещё M, Аноним (46), 22:57 , 31-Мрт-24 (46)
>В сборочном сценарии CMakeLists.txt Я не понял, там autotools или CMake? Или там настолько долбанулись, что им ещё Meson, Basel и Buck не помешали бы? Взять и закопать этот xz.
- Сразу ффтопку - машина, на которой производится сборка не является машиной, на к, Аноним (46), 23:06 , 31-Мрт-24 (48) +4
>дополнительно вызывающий prctl для проверки. Сразу ффтопку - машина, на которой производится сборка не является машиной, на которой производится исполнение. Более того, пакеты шарятся между всеми ядрами и хардкодинг использования или неиспользования landlock приведёт лишь к тому, что либо на ядрах без него программа будет падать, либо на ядрах с ним он будет незадействован. Абсолютно непрофессиональная проверка, за которую и так надо гнать вон из профессии.
- То есть они только сейчас начали проверять все коммиты данного персонажа и выявл, Kuromi (ok), 02:28 , 01-Апр-24 (63) +3
То есть они только сейчас начали проверять все коммиты данного персонажа и выявляют все новые приколы? Мне казалось очевидным что все сделанное Jia Tan по умолчанию вредоносно.
- Сама идея проверить наличие пакета X и на основе этого включать не включать ф, yet another anonymous (?), 03:23 , 01-Апр-24 (68) +2
Сама идея "проверить наличие пакета X" и на основе этого "включать/не включать функциональность Y" выглядит ... (как бы помягче...) несколько неразумной.
- В доках landlock и правда советуют использовать сисколл https docs kernel org , Аноним (74), 06:37 , 01-Апр-24 (74) +2
В доках landlock и правда советуют использовать сисколл https://docs.kernel.org/userspace-api/landlock.html#landlock..., потому что действительно, это опциональная фича, которая может быть отключена в коммандлайне ядра. Вот только это относится к запуску программы, а не к ее компиляции. Если при компиляции хедер есть и линковка отрабатывает, то что еще надо-то?Так что да, весь этот патч изначально запилен с целью отключить landlock. И очевидно что его никто не ревьюил (по крайней мере никто компетентный), потому что как такое можно пропустить?
- Саботажников в опенсорце и так хватает, многие из них не прячутся и не скрываютс, Ivan_83 (ok), 08:26 , 01-Апр-24 (76) +1
Саботажников в опенсорце и так хватает, многие из них не прячутся и не скрываются, а гордятся свой работой.Тут кто то старался и впиливал бэкдор, а они стараются и не впиливают патчи потому что они им не нужны или не нравятся или они этим не пользуются, или втаскивают всякую хрень нужную только им и мешающую остальным.
- А может кто-нибудь внятно объяснить, почему какая-то сжималка требует доступ к н, Аноним (80), 09:09 , 01-Апр-24 (78) +3
А может кто-нибудь внятно объяснить, почему какая-то сжималка требует доступ к низкоуровневым особенностям ядра и глибц (которые сами по себе уже являются глубоко системными компонентами), но проблемой считается не это, а то, что эти особенности используются неправильно?Из многочисленных последних тредов про xz так и не понял, почему хелло-ворлд, требующий экзотических системных вызовов, работающих даже на линуксе не на каждой версии, не вызывал никаких подозрений, пока кто-то не открыл глаза и не увидел, что там куча уязвимостей? Ну требует хелло-ворлд подмены функций на уровне глибц и экзотических системных вызовов - ачотакова?
- Эээ Арчлинуху передайте инфу Они же пакет не откатывали, а только перестрои, Аноним (83), 09:59 , 01-Апр-24 (83)
Эээ.... Арчлинуху передайте инфу. Они же пакет не откатывали, а только перестроили и про лишнюю точку не в курсе, наверно.
- Лица кричавших про нечитаемые m4-скрипты в угоду симейку - к осмотру , Аноним (94), 13:00 , 01-Апр-24 (94) +4
>В сборочном сценарии CMakeLists.txtЛица кричавших про нечитаемые m4-скрипты в угоду симейку - к осмотру.
- Херовая проверка на наличие функций в заголовке В CMake проверка делается через, anonymous (??), 17:27 , 01-Апр-24 (109)
Херовая проверка на наличие функций в заголовке. В CMake проверка делается через check_symbol_exists(), а не эту херню с check_c_source_compiles(). Понятно, что этот саботажник сам так и написал, да еще херню придумал, что по хедеру не проверить наличие возможностей.
- Технически красиво конечно сделано со всей этой криптографией и занос скрипта пр, Прадед (?), 20:58 , 01-Апр-24 (111)
Технически красиво конечно сделано со всей этой криптографией и занос скрипта прямо в открытый сырец, прямо музейный экспонат, но удивляет другое. Как методично всё протащили, и даже мантейнера,учитывая что коммиты были не особо нужные. Иные проекты попробуй убеди твой патч принять, если только он не как на ладони багу фиксит, а тут какой-то треш, да ещё и во все дистры сразу... Как бы да, нормального леща прописали. Однако не спешим хихикать, в закрытый сырец такое бы внесли моментально и никто бы не нашёл никогда.
- Скрыто модератором, Аноним (-), 11:19 , 03-Апр-24 (122) [---]
|