forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость в реализации протокола MCTP для Linux, позволяющая повысить свои привилегии, opennews (??), 17-Ноя-22, (0) [смотреть все]

Таким протоколом наверно пользуются 3,5 анонима Не опасно , Аноним (1), 13:29 , 17-Ноя-22, (1) //

А им и не обязательно пользоваться, для атаки достаточно чтобы модулем было собр, Аноним (3), 13:33 , 17-Ноя-22, (3) //

Сам Это где такое , Аноним (16), 15:37 , 17-Ноя-22, (16) +1
install mctp bin false etc modprobe d block-mctp conf, Аноним (55), 08:36 , 19-Ноя-22, (55) //

echo install mctp bin false etc modprobe d block-mctp conf, Аноним (55), 08:37 , 19-Ноя-22, (56)

Опять начиная с Прекратите принимать код от современных вебмакак , Аноним (16), 15:35 , 17-Ноя-22, (14) +7 //

Местным экспертам надо больше комитить в ядро и тогда не придется принимать код , Аноним (26), 18:43 , 17-Ноя-22, (26) +1 //

У тебя самопротиворечивое предложение , Аноним (16), 21:57 , 17-Ноя-22, (34) +4

Ты просто не умеешь в иронию , Аноним (48), 13:20 , 18-Ноя-22, (48) +2

И используйте олдскульное 2 4, да Там уж точно mctp не было - и вулнов в нем то, Аноним (-), 20:47 , 20-Ноя-22, (62)

Очередное сишное ситечко, Герострат (?), 13:30 , 17-Ноя-22, (2) –2 //

На расте будет ещё хуже, чекайте , Аноним (33), 21:21 , 17-Ноя-22, (33) +2
Пишешь из под redox Ой не верю , Вы забыли заполнить поле Name (?), 22:58 , 17-Ноя-22, (38)

Астрологи объявили день уязвимостей , Аноним (4), 13:49 , 17-Ноя-22, (4) //

Астрологи объявили век уязвимостей , Аноним (20), 16:37 , 17-Ноя-22, (20) +2 //

Следующий век будет самым безопасным веком, потому что все будут писать на самом, Вы забыли заполнить поле Name (?), 23:00 , 17-Ноя-22, (39) +1 //

давайте вообще выпилим языки позволяющие управлять оборудованием вашего компьюте, анонна (?), 23:47 , 17-Ноя-22, (41)

Вы приняты , Вы забыли заполнить поле Name (?), 00:33 , 19-Ноя-22, (53)

COBOL APL , pashev.ru (?), 19:37 , 19-Ноя-22, (57)

Астрологи провозгласили неделю некромансии на опеннете , Аноним (-), 20:47 , 20-Ноя-22, (63)

175 _ 12484 _ 175 , Аноним (5), 13:51 , 17-Ноя-22, (5) +9 //

дебиановцы как всегда красавчикиваш дистрибутив слишком стар для этих уязвимосте, Аноним (42), 00:01 , 18-Ноя-22, (42)

Rust , Шарп (ok), 14:00 , 17-Ноя-22, (7) –7 //

Ладно соседние новости, но такое, это результат кропотливого поиска и постов оби, Без аргументов (?), 18:11 , 17-Ноя-22, (24) +2 //

Очевидно что растофилы закомитили в ядро уязвимостей чтобы очернить си Но на мес, Аноним (26), 18:47 , 17-Ноя-22, (27) –1 //

Нет конечно, просто лучше бы делали свои самбы и прочее вместо очернения существ, Без аргументов (?), 22:14 , 17-Ноя-22, (35)
Я ничего не имею против фич раста Но слишком уж активно насаждают Под предлого, Без аргументов (?), 22:17 , 17-Ноя-22, (36) +1

Народ вроде при нужде создает себе airgapped -окружение без связи с инетом, ес, Аноним (43), 00:35 , 18-Ноя-22, (43) +1

оно не закрыто двухфакторными авторизациями, чтобы только правильные закладчики , Без аргументов (?), 10:22 , 18-Ноя-22, (45)

Чё-то у меня чужие крейты с интернетов выкачивались без двухфакторной авторизаци, Аноним (43), 19:15 , 18-Ноя-22, (49)

не для скачки, для коммита же , Без аргументов (?), 21:02 , 18-Ноя-22, (50)

так не про коммит же, а про использование чужих проектов в своих говорилось а ни, Аноним (43), 00:30 , 19-Ноя-22, (52)

не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять д, Без аргументов (?), 21:03 , 18-Ноя-22, (51)

Ну значит там бурно разработка идет, а не как в каких-то полузабытых сишных прое, Аноним (43), 00:38 , 19-Ноя-22, (54)

лично мне анонимусу пофиг на закладки в ПО я больше о доступности, т к я разра, Без аргументов (?), 10:24 , 18-Ноя-22, (46)

а кому не пофиг, должны иметь спецов по закладкам, Без аргументов (?), 10:30 , 18-Ноя-22, (47)

Уже всех сейчас отпенетрируют на линуксах с таким Мега паком уязвимостей , iPony129412 (?), 14:00 , 17-Ноя-22, (8) //

Предлагаете съезжать на Опёнок , ryoken (ok), 14:05 , 17-Ноя-22, (10) //

опеннетраторы уже там, Аноним (28), 19:50 , 17-Ноя-22, (28)
На хакинтош Или вообще хром ос, Аноним (29), 19:51 , 17-Ноя-22, (29)
Семейство BSD, illumos дистрибутивы, бывший OpenSolaris , Аноним (30), 20:34 , 17-Ноя-22, (30) //

Спасёт только Plan 9 На днях для него hare портируют, так что уже можешь начина, Аноним (32), 21:21 , 17-Ноя-22, (32)

А что даёт Hare Hare ни разу не безопасный , Аноним (65), 13:10 , 21-Ноя-22, (65)

Нет фирменного смайлика Это позор , Аноним (1), 21:19 , 17-Ноя-22, (31)

Сколько оказывается есть интересных протоколов И прямо в ядре , kusb (?), 22:34 , 17-Ноя-22, (37)

Сообщения [Сортировка по времени | RSS]

27. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." –1 +/–

Сообщение от Аноним (26), 17-Ноя-22, 18:47

Очевидно что растофилы закомитили в ядро уязвимостей чтобы очернить си.
Но на местных экспертов, знающих что такое шина адреса, их гнусные уловки не подействуют.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Без аргументов (?), 17-Ноя-22, 22:14

Нет конечно, просто лучше бы делали свои самбы и прочее вместо очернения существующего, обиженно преследуя.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +1 +/–

Сообщение от Без аргументов (?), 17-Ноя-22, 22:17

Я ничего не имею против фич раста. Но слишком уж активно насаждают. Под предлогом безопасности втюхивать несвободу - это классика. В данном случае, централизованная власть над cargo/crates, в другом случае, над npm и github.
P.S. я был рад перейти на Го, т.к. он был проще и читабельней, чем Си для бэкенда. Но Раст усложнили, а фича только одна.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

43. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +1 +/–

Сообщение от Аноним (43), 18-Ноя-22, 00:35

> Под предлогом безопасности втюхивать несвободу - это классика. В данном случае, централизованная власть над cargo/crates
Народ вроде при нужде создает себе "airgapped"-окружение (без связи с инетом, если боятся). Что надо выкачивают с инета (с "центрального хранилища"), а потом переносят в изолированное от инета окружение. Если надо то и проверяешь и патчишь перенесённое по своему разумению. И в этом окружении на крейты ссылаешься уже в локальной системе. С обновлениями - сам понимаешь как будет. Чем это отличается от того, что ты чужие си/сиплюсовые опенсосрные проекты будешь по всему инету выкачивать себе локально ("чтобы независеть") и впендюривать зависимостями в свое поделие? И куда там делась "централизованная власть" над чужими сишными проектами, например, при разработке ядра? Там любой баклан сразу исходники патчами правит наперегонки с другими или всё-таки там кто-то модерирует присылаемые патчи?

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Без аргументов (?), 18-Ноя-22, 10:22

> чужие си/сиплюсовые опенсосрные проекты будешь по всему инету
оно не закрыто двухфакторными авторизациями, чтобы только правильные закладчики работали, в случае блокировки страны есть варианты.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Аноним (43), 18-Ноя-22, 19:15

>> чужие си/сиплюсовые опенсосрные проекты будешь по всему инету
> оно не закрыто двухфакторными авторизациями,
Чё-то у меня чужие крейты с интернетов выкачивались без двухфакторной авторизации. Даже без регистрации и смс
> в случае блокировки страны есть варианты.
в случае блокировки страны таки есть варианты - через випиэн скачиваешь нужные крейты из "центрального хранилища", проверяешь, если есть время и способности и переносишь в своё локальное хранилище. Дальше всё окружение работает с твоим оффлайн-хранилищем.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Без аргументов (?), 18-Ноя-22, 21:02

не для скачки, для коммита же!

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Аноним (43), 19-Ноя-22, 00:30

> не для скачки, для коммита же!
так не про коммит же, а про использование чужих проектов в своих говорилось.
а ниже было же понятно сказано что коммиты в сишный/сиплюснутый опенсорс ты тоже обычно не сможешь сделать без чьего-то дозволения. Местами с двухфакторной авторизацией. Там тоже есть ответственные за "пущать/не пущать" люди, а не ты наперегонки с другими анонимами меняешь код как тебе вздумается, как статьи в ранней википедии. Никакой существенной разницы с растом нет, как ты ее описывал. Я себе локально выкачивал чужой крейт, а потом локально же патчил как мне нужно было. Дописывал рест-метод и необходимые мне конструкции. Конечно со слиянием обновлений потом была бы морока, но точно такая же как если бы я себе в сишный проект откуда-то чужие куски кода засовывал и патчил их локально.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Без аргументов (?), 18-Ноя-22, 21:03

не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять до поддержки LTS версии. (щаз вот encore/sass не тянет ноду 18 LTS, хотя уже 19 вышла)

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

54. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Аноним (43), 19-Ноя-22, 00:38

> не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять до поддержки LTS версии
Ну значит там бурно разработка идет, а не как в каких-то полузабытых сишных проектах. Тем более для таких случаев ссылка на "центральное хранилище" и онлайн-обновление будет актуальнее, конечно в ущерб безопасности, если тебе некогда проверять всё что втягивается. При такой же бурной смене версий кода тебе и в си/плюсах будет так же геморно обновляться. И в любом другом языке. К тому же в карго ты можешь указать строго нужную тебе версию крейта и плевать можешь на все последующие обновления, если багов не боишься.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Без аргументов (?), 18-Ноя-22, 10:24

> при разработке ядра
лично мне анонимусу пофиг на закладки в ПО. я больше о доступности, т.к. я разработчик

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

47. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..." +/–

Сообщение от Без аргументов (?), 18-Ноя-22, 10:30

а кому не пофиг, должны иметь спецов по закладкам

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	27. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	–1 +/–
	Сообщение от Аноним (26), 17-Ноя-22, 18:47
	Очевидно что растофилы закомитили в ядро уязвимостей чтобы очернить си. Но на местных экспертов, знающих что такое шина адреса, их гнусные уловки не подействуют.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Без аргументов (?), 17-Ноя-22, 22:14
	Нет конечно, просто лучше бы делали свои самбы и прочее вместо очернения существующего, обиженно преследуя.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+1 +/–
	Сообщение от Без аргументов (?), 17-Ноя-22, 22:17
	Я ничего не имею против фич раста. Но слишком уж активно насаждают. Под предлогом безопасности втюхивать несвободу - это классика. В данном случае, централизованная власть над cargo/crates, в другом случае, над npm и github. P.S. я был рад перейти на Го, т.к. он был проще и читабельней, чем Си для бэкенда. Но Раст усложнили, а фича только одна.
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	43. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+1 +/–
	Сообщение от Аноним (43), 18-Ноя-22, 00:35
	> Под предлогом безопасности втюхивать несвободу - это классика. В данном случае, централизованная власть над cargo/crates Народ вроде при нужде создает себе "airgapped"-окружение (без связи с инетом, если боятся). Что надо выкачивают с инета (с "центрального хранилища"), а потом переносят в изолированное от инета окружение. Если надо то и проверяешь и патчишь перенесённое по своему разумению. И в этом окружении на крейты ссылаешься уже в локальной системе. С обновлениями - сам понимаешь как будет. Чем это отличается от того, что ты чужие си/сиплюсовые опенсосрные проекты будешь по всему инету выкачивать себе локально ("чтобы независеть") и впендюривать зависимостями в свое поделие? И куда там делась "централизованная власть" над чужими сишными проектами, например, при разработке ядра? Там любой баклан сразу исходники патчами правит наперегонки с другими или всё-таки там кто-то модерирует присылаемые патчи?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Без аргументов (?), 18-Ноя-22, 10:22
	> чужие си/сиплюсовые опенсосрные проекты будешь по всему инету оно не закрыто двухфакторными авторизациями, чтобы только правильные закладчики работали, в случае блокировки страны есть варианты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Аноним (43), 18-Ноя-22, 19:15
	>> чужие си/сиплюсовые опенсосрные проекты будешь по всему инету > оно не закрыто двухфакторными авторизациями, Чё-то у меня чужие крейты с интернетов выкачивались без двухфакторной авторизации. Даже без регистрации и смс > в случае блокировки страны есть варианты. в случае блокировки страны таки есть варианты - через випиэн скачиваешь нужные крейты из "центрального хранилища", проверяешь, если есть время и способности и переносишь в своё локальное хранилище. Дальше всё окружение работает с твоим оффлайн-хранилищем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Без аргументов (?), 18-Ноя-22, 21:02
	не для скачки, для коммита же!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Аноним (43), 19-Ноя-22, 00:30
	> не для скачки, для коммита же! так не про коммит же, а про использование чужих проектов в своих говорилось. а ниже было же понятно сказано что коммиты в сишный/сиплюснутый опенсорс ты тоже обычно не сможешь сделать без чьего-то дозволения. Местами с двухфакторной авторизацией. Там тоже есть ответственные за "пущать/не пущать" люди, а не ты наперегонки с другими анонимами меняешь код как тебе вздумается, как статьи в ранней википедии. Никакой существенной разницы с растом нет, как ты ее описывал. Я себе локально выкачивал чужой крейт, а потом локально же патчил как мне нужно было. Дописывал рест-метод и необходимые мне конструкции. Конечно со слиянием обновлений потом была бы морока, но точно такая же как если бы я себе в сишный проект откуда-то чужие куски кода засовывал и патчил их локально.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Без аргументов (?), 18-Ноя-22, 21:03
	не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять до поддержки LTS версии. (щаз вот encore/sass не тянет ноду 18 LTS, хотя уже 19 вышла)
	Ответить \| Правка \| К родителю #49 \| Наверх \| Cообщить модератору


	54. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Аноним (43), 19-Ноя-22, 00:38
	> не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять до поддержки LTS версии Ну значит там бурно разработка идет, а не как в каких-то полузабытых сишных проектах. Тем более для таких случаев ссылка на "центральное хранилище" и онлайн-обновление будет актуальнее, конечно в ущерб безопасности, если тебе некогда проверять всё что втягивается. При такой же бурной смене версий кода тебе и в си/плюсах будет так же геморно обновляться. И в любом другом языке. К тому же в карго ты можешь указать строго нужную тебе версию крейта и плевать можешь на все последующие обновления, если багов не боишься.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Без аргументов (?), 18-Ноя-22, 10:24
	> при разработке ядра лично мне анонимусу пофиг на закладки в ПО. я больше о доступности, т.к. я разработчик
	Ответить \| Правка \| К родителю #43 \| Наверх \| Cообщить модератору


	47. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."	+/–
	Сообщение от Без аргументов (?), 18-Ноя-22, 10:30
	а кому не пофиг, должны иметь спецов по закладкам
	Ответить \| Правка \| Наверх \| Cообщить модератору