forum.opennet.ru - "Обновление XZ Utils 5.8.1 с устранением уязвимости" (42)

"Обновление XZ Utils 5.8.1 с устранением уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от opennews (?), 04-Апр-25, 10:43
Опубликован выпуск пакета XZ Utils 5.8.1, включающего библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz". XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. На прошлой неделе в Git был создан тег 5.8.0, но релиз не был объявлен официально из-за выявленных после публикации тега проблем с производительностью и совместимостью со старыми версиями GNU make... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63017
Ответить \| Правка \| Cообщить модератору

Оглавление

Here we are again , Витюшка (?), 10:43 , 04-Апр-25, (1) +1

Просто XZ Utils писался ненастоящими сишниками Настоящие сишники такого бы не д, Аноним (49), 15:41 , 04-Апр-25, (49)

Вы думаете расты такое не напишут Они мало что такое же могут написать, так ещё, Аноним (-), 15:46 , 04-Апр-25, (51) +1

Во-первых, причём здесь Rust У вас какие-то комплексы на этот счёт Где автор в, Прохожий (??), 14:15 , 05-Апр-25, (65)

Я вот не сишник, но мне вот честно обидно как русские люди друг к другу относятс, Аноним (-), 15:56 , 04-Апр-25, (53) +3

Если они выступают в роли луддитов - да В других случаях - нет Для поддержки с, Прохожий (??), 14:19 , 05-Апр-25, (66) –2
Книги по Делфи были самыми худшими книгами о программировании, которые я читал в, Аноним (73), 19:36 , 06-Апр-25, (73) +1

Jia Tun уже занялся переписыванием на соседнюю новость, User (??), 10:47 , 04-Апр-25, (2) +3

В смысле, это где он бэйсик чтоли выложил А бэкдор там где , Аноним (-), 13:45 , 04-Апр-25, (37) +1
North Korea rules , Аноним (-), 15:36 , 04-Апр-25, (48)

После прошлого года вообще нет доверия к этому XZ, потому что XЗ что там с безоп, Аноним (4), 11:06 , 04-Апр-25, (4) –6
Так а где уязвимость , Аноним (6), 11:16 , 04-Апр-25, (6) +1
Даааааа Все ошибки непреднамеренные Просто непреднамеренно забыли проверить н, Аноним (-), 11:29 , 04-Апр-25, (9) –3

А ничего что assert разворачивается в noop в релизном билде , Да ну нахер (?), 11:49 , 04-Апр-25, (13) +1

Не всегда Надо смотреть переопределено ли NDEBUG, и если да, то как в релизном , HyC (?), 12:02 , 04-Апр-25, (19)

Прошу прощения, но как говорится, вот Вы говорите, а кажется, что Вы бредите , Совершенно другой аноним (?), 13:22 , 04-Апр-25, (34)
За любовь к assert ам надо жестоко бить ногами Проверки надо делать не только , Neon (??), 21:47 , 04-Апр-25, (58) –1

Ассерты - скорее средство документирования кода, а не управления логикой програм, Аноним (75), 12:12 , 07-Апр-25, (75)

Это как, они случайно дырявый язык взяли С каких пор использование Си - не сабо, Аноним (-), 12:01 , 04-Апр-25, (17) –5

Со времён K R , Аноним (20), 12:03 , 04-Апр-25, (20) +1
Добро пожаловать, евангелист Просветите нас А то тут все темные, священного сло, Аноним (47), 15:22 , 04-Апр-25, (47)
libxz порядка 15 лет, тогда из memory-safe языков были только языки с GC типа жа, blkkid (?), 11:18 , 05-Апр-25, (63)

А теперь мемори-сейф это брэйнфачный крюк на котором даже Иа писать не хочет За, Аноним (70), 18:47 , 06-Апр-25, (70)

Хорошо Но когда в компиляторе Rust будет найдена закладка от АНБ за авторством, Аноним (73), 19:42 , 06-Апр-25, (74)

Прямо как в ядре Bvp47 жил 10 лет и тыщщи глаз не заметили Хм, я не сильно разб, Аноним (-), 12:59 , 07-Апр-25, (76)

debian 11 xz --versionxz XZ Utils 5 2 5liblzma 5 2 5, Аноним (-), 12:05 , 04-Апр-25, (21)

Ну и к чему этот пост К тому что в Debian более старые версии, ну так об этом з, Аноним (33), 13:21 , 04-Апр-25, (33)

поправлю - более рабочие , Аноним (-), 16:54 , 04-Апр-25, (56)

5 2 5-2 1 deb11u1 5 4 0 5 6 0Всё верно Проблемы не применимы Работает, не , Аноним (38), 13:47 , 04-Апр-25, (38)

Когда-нибудь они дойдут до SSE3 и SSE4 Лет через 20 Но это не точно , Аноним (22), 12:27 , 04-Апр-25, (22)

memcpy не реализует те же самые инструкции, тем более с включёнными уровнями опт, Аноним (29), 12:58 , 04-Апр-25, (29) +2

Это сильно зависит от компелятора и libc Для той же FreeBSD там внутри memcpy ес, Ivan_83 (ok), 15:44 , 04-Апр-25, (50)

Для различных мемкопий в лгптСИ трамплин есть, он прыгнет и на АВХ512ф если надо, Аноним (70), 18:50 , 06-Апр-25, (71)

К этому не мешало бы добавить The bug has been fixed in XZ Utils 5 8 1, and the , Аноним (31), 13:13 , 04-Апр-25, (31)
прааальна, перемещаем уязвимости в старые версии прикольная опечатка, RM (ok), 13:47 , 04-Апр-25, (39)

А теперь сделай поиск lzma dll на своей секурной винде , Аноним (38), 14:30 , 04-Апр-25, (42)
А мне нраица Ом-ном-ном усиленна кушоед кагтуз , Аноним (43), 14:33 , 04-Апр-25, (43)

подскажите для сжатия что указывать чтобы максимум тредов использовать , Аноним (46), 14:39 , 04-Апр-25, (46)
Как же так вышло Неужели лучшие умы человечество опять допустили такую банальн, Аноним (-), 16:00 , 04-Апр-25, (54) –1

А разве XZ Utils обязательно пишут именно лучшие умы Или, всё таки, лучшие умы , Аноним (69), 18:15 , 06-Апр-25, (69)
Понимаешь, это философская тема баланс безопасность свобода Если ты ФРИ то теб, Аноним (70), 18:53 , 06-Апр-25, (72)

в генту обновился до 5 6 4-r1, dannyD (?), 17:47 , 04-Апр-25, (57) +2

Сообщения [Сортировка по времени | RSS]

1. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +1 +/–

Сообщение от Витюшка (?), 04-Апр-25, 10:43

Here we are again

Ответить | Правка | Наверх | Cообщить модератору

49. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (49), 04-Апр-25, 15:41

> Уязвимость вызвана обращением к уже освобождённой области памяти (use after free).
Просто XZ Utils писался ненастоящими сишниками. Настоящие сишники такого бы не допустили.

Ответить | Правка | Наверх | Cообщить модератору

51. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +1 +/–

Сообщение от Аноним (-), 04-Апр-25, 15:46

Вы думаете расты такое не напишут? Они мало что такое же могут написать, так ещё не видеть и не проверять нечто подобное, потому что язык у них типо безопастный.

Ответить | Правка | Наверх | Cообщить модератору

65. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Прохожий (??), 05-Апр-25, 14:15

Во-первых, причём здесь Rust? У вас какие-то комплексы на этот счёт? Где автор высказывания хоть слово сказал про этот язык?
Во-вторых, нет, не напишут, там компилятор за это по рукам надаёт. Программистам на Rust не надо проверять свой код на наличие подобных ошибок (не корректная работа с памятью) вручную, это делает за них компилятор.
В-третьих, безопасный (и производные слова) пишется без буквы "т".
В-четвертых, тут любители языка Си часто любят говорить про токсичное Раст-сообщество. А бревна в своём глазу не замечают.

Ответить | Правка | Наверх | Cообщить модератору

53. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +3 +/–

Сообщение от Аноним (-), 04-Апр-25, 15:56

Я вот не сишник, но мне вот честно обидно как русские люди друг к другу относятся. Что вы этим хотите сказать? Что к сишникам нужно хуже относиться? Что не нужна работа на си? Я помню время когда рассказывали что дельфисты не программисты, хотя вот был отличный сайт Королевство Делфи и много книг об этом языке, да и софт был весьма неплохой. У меня вот на телефоне до сих пор есть AIMP. А упаковать самораспаковывающийся архив с выполнением вредоносной программы, да может даже и оформить это как бинарный файл нынче и школьник может после курса "этического" хакинга. Причем некоторые форматы сжатия предполагают выполнение таких сценариев после распаковки.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

66. "Обновление XZ Utils 5.8.1 с устранением уязвимости" –2 +/–

Сообщение от Прохожий (??), 05-Апр-25, 14:19

>Что к сишникам нужно хуже относиться?
Если они выступают в роли луддитов - да. В других случаях - нет.
>Что не нужна работа на си?
Для поддержки существующего кода нужна. В других случаях - нет.

Ответить | Правка | Наверх | Cообщить модератору

73. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +1 +/–

Сообщение от Аноним (73), 06-Апр-25, 19:36

Книги по Делфи были самыми худшими книгами о программировании, которые я читал в своей жизни (а прочитал я их много и самые разные). Концентрированное инфоцыганство отлитое в бронзе. Где-то на уровне видеосамоучителей по HTML от Попова. Чур меня, чур.
Ну и сам язык.. После него требуется курс реабилитации для пострадавших от ООП головного мозга. Ужасная парадигма. Столько светлых умов погубила.. Столько проектов из-за неё абстрахнулись в легаси-лету.. После всего этого дельфийства, Си был как глоток свежего воздуха. Настоящий, практичный, олдскульный компьютер-саенс. А не эти пластиковые подделки, пригодные лишь для формошлёпства..
> паковать самораспаковывающийся архив с выполнением вредоносной программы
> Причем некоторые форматы сжатия предполагают выполнение таких сценариев после распаковки.
Самораспаковывающийся архив, как бы, является программой - копией декодировщика, к которой в конец дописаны данные (собственно архив). Если (убедить) запустить его на исполнение, то он сможет делать всё, что любая другая программа, с теми же (пользовательскими) привилегиями. В том числе, вредить.
А вот чтобы вызвать "полезную нагрузку" из произвольного архива, распаковываемого отдельной программой, требуется найти уязвимость этой программы и проэксплуатировать (разместить данные в архиве специальным образом).

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

2. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +3 +/–

Сообщение от User (??), 04-Апр-25, 10:47

Jia Tun уже занялся переписыванием на соседнюю новость

Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +1 +/–

Сообщение от Аноним (-), 04-Апр-25, 13:45

> Jia Tun уже занялся переписыванием на соседнюю новость
В смысле, это где он бэйсик чтоли выложил? А бэкдор там где?

Ответить | Правка | Наверх | Cообщить модератору

48. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (-), 04-Апр-25, 15:36

North Korea rules.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Обновление XZ Utils 5.8.1 с устранением уязвимости" –6 +/–

Сообщение от Аноним (4), 04-Апр-25, 11:06

После прошлого года вообще нет доверия к этому XZ, потому что XЗ что там с безопасностью.

Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +1 +/–

Сообщение от Аноним (6), 04-Апр-25, 11:16

>приводящая к аварийному завершению при попытке распаковки специально оформленных архивов
Так а где уязвимость?

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление XZ Utils 5.8.1 с устранением уязвимости" –3 +/–

Сообщение от Аноним (-), 04-Апр-25, 11:29

> Проблема рассматривается как непреднамеренная ошибка, так как
> вызвавшее её изменение было внесено в код задолго до прихода
> в проект разработчика Jia Tan, деятельность которого привела к
> внедрению бэкдора.
Даааааа! Все ошибки непреднамеренные)))
Просто непреднамеренно забыли проверить на NULL.
А потом еще раз непреднамеренно забыли проверить не вышли ли за границы))
+ assert(in != NULL || *in_pos == in_size);
+ assert(out != NULL || *out_pos == out_size);
+ assert(*in_pos <= in_size);
+ assert(*out_pos <= out_size);
Возможно там этих ЖыТянок половина контрибьюторов, просто они за разные фракции играют.

Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +1 +/–

Сообщение от Да ну нахер (?), 04-Апр-25, 11:49

А ничего что assert разворачивается в noop в релизном билде?

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от HyC (?), 04-Апр-25, 12:02

Не всегда. Надо смотреть переопределено ли NDEBUG, и если да, то как в релизном билде.

Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Совершенно другой аноним (?), 04-Апр-25, 13:22

Прошу прощения, но как говорится, "вот Вы говорите, а кажется, что Вы бредите" (с)
Там правка совсем не в assert()-ах, тем более, что assert()-ы вообще не для этого предназначены. Если так интересно, то патч находится по адресу https://tukaani.org/xz/xz-cve-2025-31115.patch

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

58. "Обновление XZ Utils 5.8.1 с устранением уязвимости" –1 +/–

Сообщение от Neon (??), 04-Апр-25, 21:47

За любовь к assert'ам надо жестоко бить ногами.) Проверки надо делать не только в дебаге,но и в релизах тоже

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

75. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (75), 07-Апр-25, 12:12

Ассерты - скорее средство документирования кода, а не управления логикой программы. Используются, когда программист уверен в истинности проверки. Если подобные проверки заменить на обычный if - другой программист придёт и скажет "зачем это проверять, оно и так всегда true". Ассерты - простое понятие, но понимание их нужности обычно приходит с опытом и набитыми шишками. Как и понимание, где использовать if, а где assert.

Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление XZ Utils 5.8.1 с устранением уязвимости" –5 +/–

Сообщение от Аноним (-), 04-Апр-25, 12:01

> Проблема рассматривается как непреднамеренная ошибка
Это как, они случайно дырявый язык взяли? С каких пор использование Си - не саботаж, а "непреднамеренная ошибка"?

Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +1 +/–

Сообщение от Аноним (20), 04-Апр-25, 12:03

Со времён K&R.

Ответить | Правка | Наверх | Cообщить модератору

47. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (47), 04-Апр-25, 15:22

Добро пожаловать, евангелист!
Просветите нас! А то тут все темные, священного слова не знают!

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

63. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от blkkid (?), 05-Апр-25, 11:18

libxz порядка 15 лет, тогда из memory-safe языков были только языки с GC типа жабы, и тот был намертво фризящей всё помойкой с реализацией через подсчет ссылок

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

70. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (70), 06-Апр-25, 18:47

А теперь мемори-сейф это брэйнфачный крюк на котором даже Иа писать не хочет. Запилиле бы давно этот ХЗ на ГОУ и обмазались

Ответить | Правка | Наверх | Cообщить модератору

74. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (73), 06-Апр-25, 19:42

Хорошо. Но когда в компиляторе Rust будет найдена закладка от АНБ (за авторством п-ста из M$), язык получит официальный статус "дырявого", а его продвигатели-pтом на Опеннете - статус "дырявых". Договорились?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

76. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (-), 07-Апр-25, 12:59

> Хорошо. Но когда в компиляторе Rust будет найдена закладка от АНБ
Прямо как в ядре? Bvp47 жил 10 лет и тыщщи глаз не заметили.

> язык получит официальный статус "дырявого", а его продвигатели-pтом на Опеннете - статус "дырявых". Договорились?
Хм, я не сильно разбираюсь в вашем АУЕ и теории корпускулярно волновых зашкваров.
Так что скорее нет)
Бекдор можно внедрить куда угодно - вон аффтор ХЗ подтвердит вместе с ЖинТянами.
А просто по природе быть дырявым - это к сишечке и ее бастарду С++.

Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (-), 04-Апр-25, 12:05

> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd.
debian 11
$ xz --version
xz (XZ Utils) 5.2.5
liblzma 5.2.5

Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (33), 04-Апр-25, 13:21

>> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd.
> debian 11
> $ xz --version
> xz (XZ Utils) 5.2.5
> liblzma 5.2.5
Ну и к чему этот пост? К тому что в Debian более старые версии, ну так об этом знают все кто знает про Debian чуть больше, чем то что на нём основана их Убунточка.

Ответить | Правка | Наверх | Cообщить модератору

56. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (-), 04-Апр-25, 16:54

поправлю - более рабочие.

Ответить | Правка | Наверх | Cообщить модератору

38. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (38), 04-Апр-25, 13:47

5.2.5-2.1~deb11u1 < 5.4.0 < 5.6.0
Всё верно. Проблемы не применимы. Работает, не трожь. А мелочи и патчем поправить можно.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

22. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (22), 04-Апр-25, 12:27

> декодировщик LZMA/LZMA2 добавлена возможность использования инструкций SSE2 вместо функции memcpy() на 32- и 64-разрядных системах x86.
Когда-нибудь они дойдут до SSE3 и SSE4.
Лет через 20.
Но это не точно.

Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +2 +/–

Сообщение от Аноним (29), 04-Апр-25, 12:58

memcpy не реализует те же самые инструкции, тем более с включёнными уровнями оптимизаций и встроенным в компилятор memcpy?

Ответить | Правка | Наверх | Cообщить модератору

50. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Ivan_83 (ok), 04-Апр-25, 15:44

Это сильно зависит от компелятора и libc.
Для той же FreeBSD там внутри memcpy есть уже код для более свежих SSE/AVX и куча других оптимизаций.

Ответить | Правка | Наверх | Cообщить модератору

71. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (70), 06-Апр-25, 18:50

Для различных мемкопий в лгптСИ трамплин есть, он прыгнет и на АВХ512ф если надо

Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (31), 04-Апр-25, 13:13

>Уязвимость устранена в выпуске XZ Utils 5.8.1, а также перенесена в стабильные ветки 5.4 и 5.6
К этому не мешало бы добавить:
The bug has been fixed in XZ Utils 5.8.1, and the fix has been committed to the v5.4, v5.6. No new release packages will be made from the old stable branches, but a patch is available

Ответить | Правка | Наверх | Cообщить модератору

39. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от RM (ok), 04-Апр-25, 13:47

> Уязвимость устранена в выпуске XZ Utils 5.8.1, а также перенесена в стабильные ветки 5.4 и 5.6.
прааальна, перемещаем уязвимости в старые версии...
прикольная опечатка

Ответить | Правка | Наверх | Cообщить модератору

42. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (38), 04-Апр-25, 14:30

А теперь сделай поиск *lzma*.dll на своей секурной винде.

Ответить | Правка | Наверх | Cообщить модератору

43. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (43), 04-Апр-25, 14:33

А мне нраица! Ом-ном-ном! *усиленна кушоед кагтуз*

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

46. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (46), 04-Апр-25, 14:39

подскажите для сжатия что указывать чтобы максимум тредов использовать?

Ответить | Правка | Наверх | Cообщить модератору

54. "Обновление XZ Utils 5.8.1 с устранением уязвимости" –1 +/–

Сообщение от Аноним (-), 04-Апр-25, 16:00

> Уязвимость вызвана обращением к уже освобождённой
> области памяти (use after free).
Как же так вышло??
Неужели лучшие умы человечество опять допустили такую банальную ошибку!

Ответить | Правка | Наверх | Cообщить модератору

69. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (69), 06-Апр-25, 18:15

А разве XZ Utils обязательно пишут именно лучшие умы? Или, всё таки, лучшие умы человечества код не пишут, а исследуют математически возможнось тех или иных алгоритмов. А кодят уже кодеры.

Ответить | Правка | Наверх | Cообщить модератору

72. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +/–

Сообщение от Аноним (70), 06-Апр-25, 18:53

Понимаешь, это философская тема: баланс безопасность/свобода. Если ты ФРИ то тебя можно ЮЗ (поиметь). Задача в том чтобы быть свободным но при этом тебя не имели. Это не так просто как кажется

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

57. "Обновление XZ Utils 5.8.1 с устранением уязвимости" +2 +/–

Сообщение от dannyD (?), 04-Апр-25, 17:47

в генту обновился до 5.6.4-r1

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
Сообщение от Витюшка (?), 04-Апр-25, 10:43
Here we are again
Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (49), 04-Апр-25, 15:41
	> Уязвимость вызвана обращением к уже освобождённой области памяти (use after free). Просто XZ Utils писался ненастоящими сишниками. Настоящие сишники такого бы не допустили.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (-), 04-Апр-25, 15:46
	Вы думаете расты такое не напишут? Они мало что такое же могут написать, так ещё не видеть и не проверять нечто подобное, потому что язык у них типо безопастный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Прохожий (??), 05-Апр-25, 14:15
	Во-первых, причём здесь Rust? У вас какие-то комплексы на этот счёт? Где автор высказывания хоть слово сказал про этот язык? Во-вторых, нет, не напишут, там компилятор за это по рукам надаёт. Программистам на Rust не надо проверять свой код на наличие подобных ошибок (не корректная работа с памятью) вручную, это делает за них компилятор. В-третьих, безопасный (и производные слова) пишется без буквы "т". В-четвертых, тут любители языка Си часто любят говорить про токсичное Раст-сообщество. А бревна в своём глазу не замечают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+3 +/–
	Сообщение от Аноним (-), 04-Апр-25, 15:56
	Я вот не сишник, но мне вот честно обидно как русские люди друг к другу относятся. Что вы этим хотите сказать? Что к сишникам нужно хуже относиться? Что не нужна работа на си? Я помню время когда рассказывали что дельфисты не программисты, хотя вот был отличный сайт Королевство Делфи и много книг об этом языке, да и софт был весьма неплохой. У меня вот на телефоне до сих пор есть AIMP. А упаковать самораспаковывающийся архив с выполнением вредоносной программы, да может даже и оформить это как бинарный файл нынче и школьник может после курса "этического" хакинга. Причем некоторые форматы сжатия предполагают выполнение таких сценариев после распаковки.
	Ответить \| Правка \| К родителю #49 \| Наверх \| Cообщить модератору


	66. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–2 +/–
	Сообщение от Прохожий (??), 05-Апр-25, 14:19
	>Что к сишникам нужно хуже относиться? Если они выступают в роли луддитов - да. В других случаях - нет. >Что не нужна работа на си? Для поддержки существующего кода нужна. В других случаях - нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	73. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (73), 06-Апр-25, 19:36
	Книги по Делфи были самыми худшими книгами о программировании, которые я читал в своей жизни (а прочитал я их много и самые разные). Концентрированное инфоцыганство отлитое в бронзе. Где-то на уровне видеосамоучителей по HTML от Попова. Чур меня, чур. Ну и сам язык.. После него требуется курс реабилитации для пострадавших от ООП головного мозга. Ужасная парадигма. Столько светлых умов погубила.. Столько проектов из-за неё абстрахнулись в легаси-лету.. После всего этого дельфийства, Си был как глоток свежего воздуха. Настоящий, практичный, олдскульный компьютер-саенс. А не эти пластиковые подделки, пригодные лишь для формошлёпства.. > паковать самораспаковывающийся архив с выполнением вредоносной программы > Причем некоторые форматы сжатия предполагают выполнение таких сценариев после распаковки. Самораспаковывающийся архив, как бы, является программой - копией декодировщика, к которой в конец дописаны данные (собственно архив). Если (убедить) запустить его на исполнение, то он сможет делать всё, что любая другая программа, с теми же (пользовательскими) привилегиями. В том числе, вредить. А вот чтобы вызвать "полезную нагрузку" из произвольного архива, распаковываемого отдельной программой, требуется найти уязвимость этой программы и проэксплуатировать (разместить данные в архиве специальным образом).
	Ответить \| Правка \| К родителю #53 \| Наверх \| Cообщить модератору

2. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+3 +/–
Сообщение от User (??), 04-Апр-25, 10:47
Jia Tun уже занялся переписыванием на соседнюю новость
Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (-), 04-Апр-25, 13:45
	> Jia Tun уже занялся переписыванием на соседнюю новость В смысле, это где он бэйсик чтоли выложил? А бэкдор там где?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 04-Апр-25, 15:36
	North Korea rules.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

4. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–6 +/–
Сообщение от Аноним (4), 04-Апр-25, 11:06
После прошлого года вообще нет доверия к этому XZ, потому что XЗ что там с безопасностью.
Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
Сообщение от Аноним (6), 04-Апр-25, 11:16
>приводящая к аварийному завершению при попытке распаковки специально оформленных архивов Так а где уязвимость?
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–3 +/–
Сообщение от Аноним (-), 04-Апр-25, 11:29
> Проблема рассматривается как непреднамеренная ошибка, так как > вызвавшее её изменение было внесено в код задолго до прихода > в проект разработчика Jia Tan, деятельность которого привела к > внедрению бэкдора. Даааааа! Все ошибки непреднамеренные))) Просто непреднамеренно забыли проверить на NULL. А потом еще раз непреднамеренно забыли проверить не вышли ли за границы)) + assert(in != NULL \|\| in_pos == in_size); + assert(out != NULL \|\| out_pos == out_size); + assert(in_pos <= in_size); + assert(out_pos <= out_size); Возможно там этих ЖыТянок половина контрибьюторов, просто они за разные фракции играют.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Да ну нахер (?), 04-Апр-25, 11:49
	А ничего что assert разворачивается в noop в релизном билде?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от HyC (?), 04-Апр-25, 12:02
	Не всегда. Надо смотреть переопределено ли NDEBUG, и если да, то как в релизном билде.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Совершенно другой аноним (?), 04-Апр-25, 13:22
	Прошу прощения, но как говорится, "вот Вы говорите, а кажется, что Вы бредите" (с) Там правка совсем не в assert()-ах, тем более, что assert()-ы вообще не для этого предназначены. Если так интересно, то патч находится по адресу https://tukaani.org/xz/xz-cve-2025-31115.patch
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	58. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–1 +/–
	Сообщение от Neon (??), 04-Апр-25, 21:47
	За любовь к assert'ам надо жестоко бить ногами.) Проверки надо делать не только в дебаге,но и в релизах тоже
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	75. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (75), 07-Апр-25, 12:12
	Ассерты - скорее средство документирования кода, а не управления логикой программы. Используются, когда программист уверен в истинности проверки. Если подобные проверки заменить на обычный if - другой программист придёт и скажет "зачем это проверять, оно и так всегда true". Ассерты - простое понятие, но понимание их нужности обычно приходит с опытом и набитыми шишками. Как и понимание, где использовать if, а где assert.
	Ответить \| Правка \| Наверх \| Cообщить модератору

17. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	–5 +/–
Сообщение от Аноним (-), 04-Апр-25, 12:01
> Проблема рассматривается как непреднамеренная ошибка Это как, они случайно дырявый язык взяли? С каких пор использование Си - не саботаж, а "непреднамеренная ошибка"?
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (20), 04-Апр-25, 12:03
	Со времён K&R.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (47), 04-Апр-25, 15:22
	Добро пожаловать, евангелист! Просветите нас! А то тут все темные, священного слова не знают!
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	63. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от blkkid (?), 05-Апр-25, 11:18
	libxz порядка 15 лет, тогда из memory-safe языков были только языки с GC типа жабы, и тот был намертво фризящей всё помойкой с реализацией через подсчет ссылок
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	70. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (70), 06-Апр-25, 18:47
	А теперь мемори-сейф это брэйнфачный крюк на котором даже Иа писать не хочет. Запилиле бы давно этот ХЗ на ГОУ и обмазались
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (73), 06-Апр-25, 19:42
	Хорошо. Но когда в компиляторе Rust будет найдена закладка от АНБ (за авторством п-ста из M$), язык получит официальный статус "дырявого", а его продвигатели-pтом на Опеннете - статус "дырявых". Договорились?
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	76. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 07-Апр-25, 12:59
	> Хорошо. Но когда в компиляторе Rust будет найдена закладка от АНБ Прямо как в ядре? Bvp47 жил 10 лет и тыщщи глаз не заметили. > язык получит официальный статус "дырявого", а его продвигатели-pтом на Опеннете - статус "дырявых". Договорились? Хм, я не сильно разбираюсь в вашем АУЕ и теории корпускулярно волновых зашкваров. Так что скорее нет) Бекдор можно внедрить куда угодно - вон аффтор ХЗ подтвердит вместе с ЖинТянами. А просто по природе быть дырявым - это к сишечке и ее бастарду С++.
	Ответить \| Правка \| Наверх \| Cообщить модератору

21. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от Аноним (-), 04-Апр-25, 12:05
> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. debian 11 $ xz --version xz (XZ Utils) 5.2.5 liblzma 5.2.5
Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (33), 04-Апр-25, 13:21
	>> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. > debian 11 > $ xz --version > xz (XZ Utils) 5.2.5 > liblzma 5.2.5 Ну и к чему этот пост? К тому что в Debian более старые версии, ну так об этом знают все кто знает про Debian чуть больше, чем то что на нём основана их Убунточка.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 04-Апр-25, 16:54
	поправлю - более рабочие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (38), 04-Апр-25, 13:47
	5.2.5-2.1~deb11u1 < 5.4.0 < 5.6.0 Всё верно. Проблемы не применимы. Работает, не трожь. А мелочи и патчем поправить можно.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору

22. "Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от Аноним (22), 04-Апр-25, 12:27
> декодировщик LZMA/LZMA2 добавлена возможность использования инструкций SSE2 вместо функции memcpy() на 32- и 64-разрядных системах x86. Когда-нибудь они дойдут до SSE3 и SSE4. Лет через 20. Но это не точно.
Ответить \| Правка \| Наверх \| Cообщить модератору