Организация The Document Foundation...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59823
Подождите, но все обновлялись почти две недели назад
Либра так долго тянула просто с обновлением либы?
виндузятники должны страдатьhttps://packages.debian.org/bookworm/libreoffice-core
libreoffice-core (4:7.4.7-1)
dep: libwebp7 (>= 1.2.4)
Пакет: libwebp7 (1.2.4-0.2+deb12u1) [security]
bookworm (security) 1.2.4-0.2+deb12u1 fixed
13 Sep 2023
В настоящем офисе такого бага не было и чинить нечего.
в 97 что ля?
У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал. Или о прелести пакетного менеджмента в линухе :)А юзеры винды что, будут сидеть как зайцы пока более разумные существа не выкатят апдейченый инсталлер. Они все равно на другое не способны.
> А юзеры винды что, будут сидеть как зайцы пока более разумные существа не выкатят апдейченый инсталлер.Ничего, ничего... Вон, большие дяди активно продвигают Snap с Flatpack - скоро будет и на линуксах счастье.
Атомарно обновляемые дистрибутивы (не путать с Base system freebsd! Эта другое!) забыл - чтоб совсем уж захорошело.
> Ничего, ничего... Вон, большие дяди активно продвигают Snap с Flatpack -
> скоро будет и на линуксах счастье.Да, сделать маздай при сильном желании можно и из линуха если постараться. Но у меня этого всего не будет. Потому что маздая я наелся в маздае.
На фряху свалишь разве что...
> На фряху свалишь разве что...Да мне и на линуксе нормально. Это как раз более-менее работающая система, с поддержкой железа и проч, где не надо рассказывать про виндочки и прочее.
И за энное количество лет я малость научился этих кошек готовить. Поэтому если вы думаете что сможете мне что-то в мою систему без моего согласия напихать - я отвечаю "попробуйте". И посмотрим что у вас получится.
А от ваших BSD мне ничего не надо, отношения master-slave мне не подходят. Особенно в пассивной то роли.
как же флатпаки и сноупоки?
> как же флатпаки и сноупоки?А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.
>> как же флатпаки и сноупоки?
> А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.у меня тоже нету, но у других есть
и кстати электрон то есть? не может чтобы ниодного приложения не было
>>> как же флатпаки и сноупоки?
>> А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.
> у меня тоже нету, но у других естьИ чего? Вон "другие" вообще на Darwin Awards номинировались шикарными способами. Совершенно не обязывает меня следовать их примерам.
В линухе культурно менеждить ОС и не разводить помойку - можно. В винде - с этим трабл на самом фундаментальном уровне: система не предоставляет программам никаких либ кроме может пары вариантов crt. А даже zlib какой тривиальный - вы уже там сами берите гже хотите. Поэтому его у каждой программы по своей копии. А если его обновить приперло - вот это попадос, способов проверить что они все обновлены вообще нет. И поэтому всегда есть риск что кто-то где-то трахнет эксплойтом не отапдейченую программу. И с этим малореально что-то сделать.
> и кстати электрон то есть? не может чтобы ниодного приложения не было
Да вот - может. Я инсталлирую либо софт из репов дистро, либо то что собираю сам, опять же с использованием системных либ по максимуму. И никакой электрон и софт на нем мне даром не уперся. И между прочим за счет этого мой быстрый комп остается быстрым. А не показывает как можно тормозить хуже чем первопень на железе в сто раз мощнее. Мне от кодеров на электроне ничего не нужно. Но если они хотят меня порадовать - могут сдохнуть, например. Или пойти рассаду выращивать.
> Я инсталлирую либо софт из репов дистро, либо то что собираю сам, опять же с использованием системных либ по максимуму.Ааа, краснозенковый конпилятель. Живой пример почему линукс непопулярен на десктопах.
Только непонятно чем ты хвалишься - так-то и в винде можно самому сконпилять софт с обновленной либой, лол (просто ты в виду врождённой природной ограниченности до этой простой мысли не додумался).> Я инсталлирую либо софт из репов дистро
То есть ждёшь, пока мейнтейнер (какой-то неизвестный полупокер, который даже обычно не создатель программы) сконпиляет под конкретно твой дистриб, а до этого сидишь дырявым (или сам конпиляешь)? Ооо, ну это намного безопаснее, дооооо.
> Ааа, краснозенковый конпилятель. Живой пример почему линукс непопулярен на десктопах.Представляешь, чувак, я не буду жр@ть г@вно даже если ты притащишь миллион свидетелей того как это круто, полезно и необходимо. У меня своя башня на плечах.
А еще у меня нет цели загнать всю планету на линух, или куда там. Если кто по своему выбору придет, осознав бенефиты направления - мы будем к их услугам и покажем как взять лучшее из этих миров. А если кому хотелось винду и как в винде - отлично, пусть и пользуется.
Я только не понимаю чего вы ко мне со всем этим лезете. Я не буду жрать г@вно на электроне. Вообще совсем. И винду я использовать не буду. И "как в винде" в моих системах не будет. Это просто данность. Как хотите так и живите с этим, это не изменится.
> Только непонятно чем ты хвалишься - так-то и в винде можно самому
> сконпилять софт с обновленной либой, лолМожно. Но...
1) будет в цать раз сложнее и дольше чем в линухе по множеству причин
2) Не сделает систему в целом безопасной потому что перекомпилить вон ту ху^W блобов пачку вы почему-то не сможете - а даже если б и могли, то половину программ с статически влинкованой либой или что там еще вы просто забудете. Этот зоопарк майнтенансу не подлежит.
3) Я не собираюсь устраивать у себя в системах зоопарк не подлежащий майнтенансу с полисями диктуемыми рандомными васянами. Это решение окончательное и бесповоротное, оно не подлежит обсуждению.
4) Видите ли сама винда не модулярная система. Даже на уровне своих компонентов куча траблов такого плана. А я уже познал что это может быть сильно лучше и логичнее, да.> (просто ты в виду врождённой природной ограниченности до этой простой мысли не додумался).
Вам не приходило в голову что мне от вас вообще ничего не надо? Я к вам не припирался и ничего не просил. Это вы приперлись и почему-то возомнили себе что я "должен" быть как вы, разводить у себя помойку в системе, юзать тормозное спайваре на электроне, или что там еще. Нихрена я вам не должен, бамбук курите.
>> Я инсталлирую либо софт из репов дистро
> То есть ждёшь, пока мейнтейнер (какой-то неизвестный полупокер, который даже обычно не
> создатель программы) сконпиляет под конкретно твой дистриб, а до этого сидишь
> дырявым (или сам конпиляешь)? Ооо, ну это намного безопаснее, дооооо.Как показала практика - ну вот у меня уже все программы как 2 недели запатчены. Пока вон те неполупокеры 2 недели виндовым тряпочкам сетапер пекли. Вы ж сами не испечете себе сетапер офиса, право?!
Ну и секурити - это тот случай когда я не по паспорту, а по морде. И если у меня 2 недели как все пропатчено а вы тут ноете - вам ли мне лекции давать? Давайте лучше олимпийского чемпиона бегать или там плавать поучите? Или мастеркласс вождения гонщикам F1 преподайте, с вас станется :)
> И никакой электрон и софт на нем мне даром не
> уперся. И между прочим за счет этого мой быстрый комп остается
> быстрым. А не показывает как можно тормозить хуже чем первопень на
> железе в сто раз мощнее. Мне от кодеров на электроне ничего
> не нужно. Но если они хотят меня порадовать - могут сдохнуть,
> например. Или пойти рассаду выращивать.давай предположим что тебе нужен дестопный клиент Signal, или аналог, а они все на электроне запилены, что Wire, что Threema, Whatsapp и тд
ты будешь собирать сам? ну ок так все равно же электрон, и все равно дыра которая в статье описана
У снапа вроде общие образы core18, core20 и т.д. разве не в них обновляются системные либы?
> У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал.ты конечно же проверил каждый из них на предмет отсутствия внутри бандленной версии?
> Или о прелести пакетного менеджмента в линухе :)
причем бы тут - пакетный менеджмент? Ты точно так же можешь обновить любую одиночную библиотеку в каком-нибудь lfs, где нет никаких пакетов. Или в вообще монолитной (нет) freebsd (правда последние лет пять там это немодно и осуждается коллективом грантопилов - но все еще технически возможно)
Чего ты не сможешь - это собрать хромонога распоследней (с миллионом исправленных уязвимостей в основном коде а не 3-d party) версии с этими самыми библиотеками. Потому что он требует наисвежайших, а у тебя, смотри, смотри, либненужноненужноененужно.so - позавчерашняя. А поменять ее ты просто так тоже не можешь - рассыплется какой-нибудь гомощёл, в котором даже вчерашняя еще не поддерживается.
И объяснить обезьянской сборочной системе на очередном модном язычке что вот же она, рядом с той лежит, только чуть в сторонке - уже тоже почти невозможно.
И остается только два подхода - либо включать все зависимости в сборку, либо флэтшлак или шляп.
Результат довольно очевиден.А других разработчиков, умеющих в совместимость, у меня для вас лет десять уже нет. Они пиццей торгуют и не парятся что мука несовместима с беконом. В конце-концов всегда можно найти других поставщиков ингредиентов.
>> У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал.
> ты конечно же проверил каждый из них на предмет отсутствия внутри бандленной версии?конечно, если дистр нормальный, то в репе все будет обновлено и либа и браузеры (где защита либа)...
тебе, если ты ответственный админ или неуловимый джо, надо подписаться на security-tracker.debian.org
>рассыплется какой-нибудь гомощёл, в котором даже вчерашняя еще не поддерживается.Так туда ему и дорога, раз с последней версией зависимости не совместим.
Ты еще скажи, что у тебя приложений на элохтроне нету и что ты не сидишь как заяц и не ждёшь пока более разумные существа (под названием мэйнтейнеры) не выкатят апдейченные пакеты (конкретно под твою васяносборку ненужного-на-десктопе (под названием дистрибутив)).
> Ты еще скажи, что у тебя приложений на элохтроне нету и что
> ты не сидишь как заяц и не ждёшь пока более разумные
> существа (под названием мэйнтейнеры) не выкатят апдейченные пакеты (конкретно под твою
> васяносборку ненужного-на-десктопе (под названием дистрибутив)).Если это была попытка троллить то она какая-то лажовая и бездарная получилась. Дыры то в результате 2 недели не у меня были :)
А гордые дебианщики с вечно дырявым Chromium на что способны?А в Ubuntu c дырявым Thunderbird?
А в Debian с дырявым VLC, потому что в апстриме не пометили исправление как секурное?
Хотя во всех этих случаях на Windows понятное дело проблемы не было.
у тебя какой-то видимо альтернативный дебиан.
>Они все равно на другое не способны.Будто бы обновление в линухе — твоя заслуга. Ты просто дешёвый понтарь, вся суть гордости которого в том, что твои «более разумные существа» в данном случае оказались расторопнее.
Гордый заяц, бгг.
К сожалению, подобные логические ошибки никакой Раст не выловит.
> критическая уязвимость вызвана переполнением буфера в обработчике формата изображений WebPНу-ну...
Раст то уже существует почему он не пришел на помощь?
Раст от логических ошибок не защитит. Мысли он не читает, собственным разумом не обладает и узнать, что твой алгоритм делает не то, что ты хотел - не может. Как и любой другой ЯП. Ваш кэп.
а еще сколько электронщины не обновилось
Так это гуглоиды закладку и сделали. Лучше держаться подальше от их поделок.
> Так это гуглоиды закладку и сделали.Все правильно: настоящий сишник не обделывается - настоящий сишник ставит закладку.
Под угрозами рептилоидов из rhbm из гулага по заданию АНБ - то есть нивиноватые оне!
Вот что значит - бандловать/статически линковать зависимости вместо использования пакетного менеджера.
> уязвимость вызвана переполнением буфераЧто не уязвимость, то почти всегда "переполнение буфера".
Ну дела!
Разработка не в состоянии большие буфера сделать!
Доколе???
Буфера это эти самые - (. )( .) ?
Откуда вы знаете, что разработчики не в состоянии? Может как раз с этого все и началось. Сейчас это модно..
С таким подходом MS Office не обгонят.
Конечно, по количеству дыр некрософт никто догнать не сможет.