OpenForum RSS: В RustFS выявлен предопределённый в коде токен доступа https://www.opennet.ru/openforum/vsluhforumID3/138872.html В проекте RustFS, развивающем совместимое с S3 распределённое объектное хранилище, написанное на языке Rust, выявлена уязвимость (CVE-2025-68926), напоминающая бэкдор. Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться к сетевому сервису по протоколу gRPC, указав в заголовке "authorization" значение "rustfs rpc". Токен присутствовал в коде сервера и клиента. Проблеме присвоен критический уровень опасности (9.8 из 10)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64551<br> В RustFS выявлен предопределённый в коде токен доступа (Соль земли2) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#181 Tue, 13 Jan 2026 06:46:55 GMT Программисты дышали воздухом при разработке! Во всём виновать воздух!<br> В RustFS выявлен предопределённый в коде токен доступа (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#180 Mon, 12 Jan 2026 08:54:21 GMT &gt; В расте исключены уязвимости, связанные с безопасностью памяти<br><br>если бы это было так, было бы круто, но нет. есть уязвимости<br> - связанные с unsafe, <br> - связанные с неправильным вызовам функций, в которых есть unsafe (то есть сама уязвимость в safe коде, типа забытой проверки), <br> - в safe коде, никак не связанные с unsafe<br><br>просто потому, что никакой безопасности особо то и нет в расте, к сожалению. от кое чего оно защищает, а кое что - добавляет, так что в результате ты просто отказываешься от части возможностей в замен ни на что.<br> В RustFS выявлен предопределённый в коде токен доступа (Sm0ke85) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#179 Mon, 12 Jan 2026 05:19:51 GMT &gt;Чем больше тупых разрабов, тем больше платят хорошим. Это обнадёживает :)<br><br>Вот только ржавый как раз таки для тупых разрабов делался, т.к. не они не могут с памятью нормально взаимодействовать...<br> В RustFS выявлен предопределённый в коде токен доступа (burjui) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#177 Sat, 10 Jan 2026 16:59:47 GMT Растовщики не говорили, что санитайзеры не нужны. Классический случай победы над соломенным чучелом. Держи медаль из сладкого хлебушка.<br> В RustFS выявлен предопределённый в коде токен доступа (burjui) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#176 Sat, 10 Jan 2026 16:57:13 GMT &gt; что-то мешает просто писать код без ошибок?<br><br>facepalm.c<br><br>Дай ссылку на твой GitHub &#8212; посмотрю, как у тебя получается.<br> В RustFS выявлен предопределённый в коде токен доступа (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#175 Wed, 07 Jan 2026 00:05:58 GMT &gt; Rust в названии<br><br>Дело не только в названии. Тут ещё влияет лицензия, идеология инфраструктуры и способы применения.<br> В RustFS выявлен предопределённый в коде токен доступа (ptr) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#174 Tue, 06 Jan 2026 10:46:37 GMT У меня успешно скомпилился. Что я делаю не так?<br><br>~/Project/test/cve-rs$ cargo run segfault<br> Finished `dev` profile [unoptimized] target(s) in 0.04s<br> Running `target/debug/cve-rs segfault`<br>Ошибка сегментирования (образ памяти сброшен на диск)<br><br>rust-toolchain.toml<br>[toolchain]<br>channel = "stable"<br> В RustFS выявлен предопределённый в коде токен доступа (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#172 Mon, 05 Jan 2026 23:24:43 GMT CVE-2020-36318<br>In the standard library in Rust before 1.49.0, VecDeque::make_contiguous has a bug that pops the same element more than once under certain condition. This bug could result in a use-after-free or double free.<br><br>CVE-2021-31162<br>In the standard library in Rust before 1.52.0, a double free can occur in the Vec::from_iter function if freeing the element panics.<br><br>Да, не в компиляторе, но и намного свежее 11-ти лет.<br> В RustFS выявлен предопределённый в коде токен доступа (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/138872.html#170 Mon, 05 Jan 2026 18:41:47 GMT В том&#8211;то и дело, что разница есть. Если бы её не было, каждая тема с упоминанием Rust не превращалась бы в то, во что она превращается.<br><br>Вот сама эта новость &#8212; она по сути ничтожна. Очередное S3 storage, запиленное тремя с половиной китайско&#8211;тайваньскими васянами для своих нужд &#8212; не выдающееся абсолютно ничем, кроме названия. Крайне сомневаюсь, что кто&#8211;либо из отписавшихся в теме им пользовался, а то и вовсе, знал о существовании до этой новости. И то что там нашли такую нелепую заглушку, весьма напоминающую невычищенный артефакт от LLM &#8212; тоже ничем, по сути, не примечательно. В иных проектах закрытые ключи, закомиченные рядом с открытыми находили и токены для внутренней инфраструктуры. Да, опростоволосились, бывает.<br><br>Но у Rust, помимо фактического языка, со своими объективными достоинствами и недостатками, есть ещё маркетинг и фанбои&#8211;евангелисты. И даже вытекающий из всего этого троллинг в виде назойливого, грубого педалирования Rust под новостями об уязвимостях