Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu"	+/–
Сообщение от opennews (??), 18-Мрт-26, 15:42
Компания Qualys выявила уязвимость (CVE-2026-3888) в организации работы связки snap-confine и systemd-tmpfiles  в Ubuntu, позволяющую непривилегированному пользователю получить root-доступ к системе. Проблема проявляется в Ubuntu в конфигурации по умолчанию начиная с выпуска 24.04. В Ubuntu 16.04-22.04 уязвимость может быть эксплуатирована в нестандартных конфигурациях, имитирующих поведение более новых версий дистрибутива.  В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В  snapd проблема устранена в обновлении 2.75... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65014
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
Сообщение от Аноним (1), 18-Мрт-26, 15:42
>В Ubuntu исправление доступно во вчерашнем обновлении пакета snapd. В snapd проблема устранена в обновлении 2.75. Думаю это надо как-то выделять, не все читают дальше заголовка.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
Сообщение от Аноним (-), 18-Мрт-26, 15:44
> написанном на языке Rust. Уязвимость позволяет > непривилегированному пользователю получить права root в системе Улучшение безопасности системы прощло успешно. Достойное дополнение к этому их visuedit'у и что там еще.
Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Жироватт (ok), 18-Мрт-26, 15:48
	Ну, перед инвесторами отчитались о внедрении очередной хайп-утилс, а дальше - хоть трава не расти. Типичные best prctices
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от анон (?), 18-Мрт-26, 15:54
	дак проблему нашли и исправили
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	23. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (23), 18-Мрт-26, 16:36
	А сколько ещё открытий чудных... Сколько ещё предстоит найти.
	Ответить | Правка | Наверх | Cообщить модератору

	41. Скрыто модератором	+/–
	Сообщение от Аноним (-), 18-Мрт-26, 17:05
	>  дак проблему нашли и исправили ...предварительно ее создав и разложив мины на поле для лохов :)
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	46. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:11
	втихую, чтобы майкрософт по попе не надавал. слова нет, а уязвимости есть, как так?
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

3. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
Сообщение от Жироватт (ok), 18-Мрт-26, 15:45
<здесь должен был быть иронично-едкий комментарий, но мне слишком влом его писать>
Ответить | Правка | Наверх | Cообщить модератору

	7. Скрыто модератором	–2 +/–
	Сообщение от Аноним (7), 18-Мрт-26, 15:49
	Конечно. Потому что как бы ты не пыжился, контр примеров обcepов будет больше)) Это уже стадия принятия?
	Ответить | Правка | Наверх | Cообщить модератору

	49. Скрыто модератором	+/–
	Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:12
	очередное живое доказательство того, что все фанатики раста безграмотны
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от LaunchWiskey (ok), 18-Мрт-26, 16:14
	Как там в старом советском анекдоте про пикет с чистым плакатом: «А чего писать - и так всё ясно!»
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	31. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–1 +/–
	Сообщение от Аноним (31), 18-Мрт-26, 16:50
	5 лет ИТЛ :)
	Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+3 +/–
Сообщение от Аноним83 (?), 18-Мрт-26, 15:46
Чего раст то так облажался и не выдал тонну мата на пограмиста, допустил такое безобразие!!! Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед.
Ответить | Правка | Наверх | Cообщить модератору

	5. Скрыто модератором	–3 +/–
	Сообщение от Аноним (5), 18-Мрт-26, 15:48
	Надо же! Иван прям сразу же прибежал комментить новость)))
	Ответить | Правка | Наверх | Cообщить модератору

	9. Скрыто модератором	–2 +/–
	Сообщение от Аноним (9), 18-Мрт-26, 15:52
	Мыкола як завжди в кожній бочці затичка
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+5 +/–
	Сообщение от Аноним (8), 18-Мрт-26, 15:51
	> Теперь получается програмист во всём виноват, а не плохой язык или железо или сосед. Именно так! В коде была логическая ошибка, на отсутствие которых раст гарантий не дает. Хорошо, что даже вы это понимаете))
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	11. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Аноним (11), 18-Мрт-26, 15:58
	Маленький секрет: _до_ проверки во время выполнения никаких гарантий быть не может.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от VVVVVV (?), 18-Мрт-26, 15:58
	Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. Сишники раз за разом показывают свою профнепригодность
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	14. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+2 +/–
	Сообщение от Аноним (7), 18-Мрт-26, 16:01
	Учитывая кол-во ошибок в коде у дыpявых это скорее норма. Т.е для кодинга на СИ надо уметь овнокодить. И если вспомнить историю с unix4, где дырень написали в функции из 50 строк, то наверное при приеме на работу спрашивают "чем отличается логическая ошибка от ...?" И при правильном ответе сразу прощаются)
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (-), 18-Мрт-26, 17:08
	> Для сишников логическая ошибка и ошибка в работе с памятью это одно и тоже. > Сишники раз за разом показывают свою профнепригодность Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Вы облажались по полной программе. Профпригодные, тоже мне. Только что умеете других даунплеить - и обделываться с брызгами в "заменах". Да-да, и "фреймворк от клаудфлари" тоже - с двумя жирными вулнами получился. Позволяющими атакующему полностью перехватить сайт. Если у меня сайт взломают от и до - какая мне разница, через доступ к памяти это или просто логическая ошибка? На результат это не влияет.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	52. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (52), 18-Мрт-26, 17:15
	> Если вы дали васяну рут - кого волнуют ваши долбаные микродетали? Всех адекватных людей, внезапно! У тебя есть проблемы, которые научились решать, и есть те, которые еще не научились. И что сделает любой разумный человек - будет пользоваться инструментом, который умеет решать хотя бы часть проблем. У вас же подход - сгорел сарай, гори и хата. >  с двумя жирными вулнами получился. Всего с двумя. Сравни сколько вулнов было в nginx и сколько в фреймворке от клаудфлари. Вот то-то и оно.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (15), 18-Мрт-26, 16:02
	Зато дает гарантии в более замусоренном коде, который количество этих ошибок и увеличивает.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	22. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (23), 18-Мрт-26, 16:33
	Вот ненадо тут теперь. Рaстолюбы неоднократно орали про то, что Раст не допустит гонок, в отличие от Сишки.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	30. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (30), 18-Мрт-26, 16:50
	И про утечки памяти они так говорили, а теперь говорят что никогда такого не говорили.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (42), 18-Мрт-26, 17:08
	> И про утечки памяти они так говорили, Кто они? Шиза косит ваши ряды? Раст не дает никаких гарантий на отсутствие утечек. Это прям в доке написано "Preventing memory leaks entirely is not one of Rust’s guarantees" Более того, по их модели угроз "memory leaks are memory safe in Rust." Но чтобы это знать, нужно заглянуть в доку.
	Ответить | Правка | Наверх | Cообщить модератору

	48. Скрыто модератором	+/–
	Сообщение от Аноним (30), 18-Мрт-26, 17:11
	> Кто они? Местные топители за раст на опеннете.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от warlock66613 (ok), 18-Мрт-26, 16:55
	Не допустит (и действительно не допускает) гонок данных. Здесь другая гонка.
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	38. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (42), 18-Мрт-26, 17:02
	> Раст не допустит гонок Мда... хейтеры настолько измельчали, что не отличают одну гонку от другой. Не то чтобы я был сильно удивлен, но все же это как-то печально.
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	29. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (30), 18-Мрт-26, 16:49
	Ну ок, логическая ошибка в расте. А почему фикс то - это замена rm из uutils на сишную rm из gnu? Типа, мы тут все на безопасном языке переписываем... ой, тут пока небезопасно - пользуйтесь rm из cioreutils.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	13. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (13), 18-Мрт-26, 16:00
	О, Иван83! Ой, т.е. Аноним83, простите. Рад что у вас все хорошо, а то что-то не видно вас было в недавних темах про "Уязвимости в AppArmor" и "10 уязвимостей в GStreamer". Подумал, не случилось ли у вас часом чего. Ведь вы пропустили такие прекрасные обсуждения.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	50. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:13
	программисты на расте не пишут
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

16. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–3 +/–
Сообщение от Аноним (7), 18-Мрт-26, 16:03
Как любят говорить СИшники "ну нашли и исправили! чего бухтеть" 🤣 Сейчас поисправляют ошибки, которые не мог найти компилятор. Допишут тестов. Всё равно гнутые поделки возвращать не будут.
Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Ананоним (?), 18-Мрт-26, 16:27
	Судя по моей практике компиляния пакетов для этого нашего Линукса, подавляющее большинство компилятся с огромной кучей предупреждений, которые вообще никто даже не пытается читать и исправлять. Похоже разработчики так рады от щасця что это их г... продукт вообще компилится, что забывают о предупреждениях компилера.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (54), 18-Мрт-26, 17:16
	В проекте xlibre как раз за это и взялись.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Аноним (28), 18-Мрт-26, 16:47
	>Допишут тестов. Вот это делать не надо. Допишут тестов и опять uutils не поддерживают четверть функционала coreutils.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	34. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (34), 18-Мрт-26, 16:55
	> uutils не поддерживают четверть функционала coreutils. И? Если это какие-то древние функции, которые не нужны в убунте, то убунте пофиг. Если кому-то надо - садитесь и дописывайте.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (28), 18-Мрт-26, 17:01
	>Если кому-то надо - садитесь и дописывайте. Можно, а зачем? В coreutils все нужные функции есть.
	Ответить | Правка | Наверх | Cообщить модератору

	44. Скрыто модератором	+/–
	Сообщение от Аноним (44), 18-Мрт-26, 17:09
	> Можно, а зачем? Затем чтобы очиститься от гнурака. Чем его меньше - тем лучше.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от 12yoexpert (ok), 18-Мрт-26, 17:15
	типичная отмазка фанатиков раста: если в расте чего-то принципиально нельзя сделать, значит, тебе это не нужно
	Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

	32. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (30), 18-Мрт-26, 16:52
	> поставку /usr/bin/gnurm вместо uutils rm Разве? устранена обходным путём до релиза Ubuntu 25.10 через поставку /usr/bin/gnurm вместо uutils rm
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

17. Скрыто модератором	+2 +/–
Сообщение от Аноним (17), 18-Мрт-26, 16:04
Rust это бэкдор, который только и ждёт своего крейта.
Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором	+1 +/–
Сообщение от Ананоним (?), 18-Мрт-26, 16:24
Ш Е Р Е Т О !
Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором	+/–
Сообщение от Аноним (23), 18-Мрт-26, 16:28
> Проблема вызвана состоянием гонки в утилите "rm", позволяющем локальному пользователю подменить содержимое каталога на символическую ссылку во время удаления подконтрольного пользователю файла процессом "rm" с правами root. Зато это безопасТная гонка! Раст защищает от гонок, говорили адепты.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
Сообщение от Сладкая булочка (?), 18-Мрт-26, 16:39
А чего это Qualsys взялись за убунту? Кто спонсор?
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	–1 +/–
Сообщение от Аноним (28), 18-Мрт-26, 16:40
Красота, это в очередной раз доказывает, что Rust небезопасен, как бы не пытались утверждать обратное. >Проблема вызвана состоянием гонки Но разве Rust не создавался в том числе для решения проблем работы с потоками?
Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+1 +/–
	Сообщение от Аноним (42), 18-Мрт-26, 16:44
	> Но разве Rust не создавался в том числе для решения проблем работы с потоками? Так это и не проблема с потоками. Это проблема изменения файлов на символическую ссылку внешним приложением.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (30), 18-Мрт-26, 16:53
	Т.е. еще проще, чем состояние гонок в потоках.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (42), 18-Мрт-26, 16:59
	> Т.е. еще проще, чем состояние гонок в потоках. Нет, кто сказал что проще? Состояние гонок в потоках только в твоем кода. Тут есть внешний фактор.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (30), 18-Мрт-26, 17:04
	ну хз, рукопопы-сишники и CVE-меркеры из GNU как-то сделали, а ты профессионалы да еще и на безопасносном расте в симлинках запутались.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
	Сообщение от Аноним (30), 18-Мрт-26, 17:04
	*CVE-мейкеры
	Ответить | Правка | Наверх | Cообщить модератору

	47. Скрыто модератором	+/–
	Сообщение от Аноним (52), 18-Мрт-26, 17:11
	> рукоопые-сишники из GNU не осилили sort (дважды) и split.
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	53. Скрыто модератором	+/–
	Сообщение от Аноним (30), 18-Мрт-26, 17:15
	>> рукоопые-сишники из GNU > не осилили sort (дважды) и split. Тоже юзеру рута подарили?
	Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором	+/–
Сообщение от Аноним (26), 18-Мрт-26, 16:44
>>Rust это бэкдор, который только и ждёт своего крейта. NPM  пoкaжeтся дeтcким лeпeтoм
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в snapd и Rust Сoreutils, позволяющие получить ro..."	+/–
Сообщение от Аноним (30), 18-Мрт-26, 17:10
Спешите видеть и запомните этот твит. Растовая утилита не упала с паников, а подарила юзеру рута!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема