Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе"  +/
Сообщение от opennews (?), 03-Июл-26, 18:33 
В пакетном менеджере Guix выявлены уязвимости (CVE не назначены) в реализации внутренней команды "guix substitute", автоматически вызываемой фоновым процессом guix-daemon при выполнении операций установки пакетов. Команда применяется для загрузки уже собранных бинарных пакетов с внешних серверов с проверкой их целостности при помощи цифровой подписи. Наиболее опасная уязвимость позволяет удалённо организовать выполнение кода на системе пользователя с правами под которыми выполняется фоновый процесс guix-daemon...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=65837

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от sdk3 (?), 03-Июл-26, 18:33 
А ведь и в NixOS подобное может быть.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (6), 03-Июл-26, 21:14 
Может, но с меньшей вероятностью, NixOS хотя бы используется где-то.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  –1 +/
Сообщение от Аноним (8), 03-Июл-26, 22:13 
Да примерно одинаково, по ощущениям. Кроме того, они нередко уязвимости между собой делят, так как имеют общий код на плюсах. Но вроде и в одном и в другом в разработкке есть версии на других языках.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +1 +/
Сообщение от Аноним (9), 03-Июл-26, 22:22 
Там этого общего кода, хрен да маленько.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (8), 03-Июл-26, 23:11 
Маленько, однако самые критичные уязвимости обычно там и всплывают. На уровне демона, который у многих работает с root правами, как я полагаю.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (9), 03-Июл-26, 23:58 
>самые критичные уязвимости обычно там и всплывают. На уровне демона

В guix кода на C++ 1.2% от общего, и на сколько я знаю, этот код относится к стору (но и его вроде как собирались переписывать). Общего с nixos только идея, это совершенно другая реализация.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (12), 03-Июл-26, 23:13 
Я на NixOS для финтех-стартапа и для околовоенного контрактора прод деплоил. А Guix даже на виртуалку не ставил, так что точно не одинаково.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +1 +/
Сообщение от Аноним (8), 03-Июл-26, 23:28 
Так тут про критические уязвимости речь ведётся. Они существуют вне зависимости от того что и куда ты ставил и что тебе удобнее использовать.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (12), 04-Июл-26, 05:32 
Существуют пока не найдут. Находят быстрее в том, чем пользуются. И это не сабж.
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (21), 04-Июл-26, 12:35 
Я бы не был так уверен. Находят быстрее в том, в чём ищут. А большинство пользователей не ищет уязвимостей, а просто пользуются.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (12), 04-Июл-26, 18:58 
Ищут всё равно в том, чем пользуются. Сабжем не пользуется практически никто. 3,5 локалхоста у двух инвалидов, и десяток забытых виртуалок "на посмотреть". Вот и вся аудитория.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +2 +/
Сообщение от Аноним (3), 03-Июл-26, 19:01 
> для распаковки по мере загрузки пакета, не дожидаясь его полной загрузки и верификации загруженного архива по цифровой подписи.

Действительно, зачем верификация архива?
Мы же очень спешим!

Жаль в статье и огигинально блогпосте не сказано сколько лет жил бекдор

Но даже применение Scheme не помогло )))))

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  –5 +/
Сообщение от Аноним (4), 03-Июл-26, 20:07 
Если применение Scheme не помогло, то применение языка, который только от выходов спасает, тоже не поможет.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +1 +/
Сообщение от Аноним (5), 03-Июл-26, 20:17 
Есть такая популярная картинка. Самолёт, вид снизу, и много-много пробоин в разных местах. Какие места следует защищать в первую очередь?

Интересно, как бы выглядели разные дистры в такой концепции)

Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором  +/
Сообщение от Аноним (18), 04-Июл-26, 08:49 
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (5), 04-Июл-26, 09:00 
Ок, "долетевший самолёт". Хотя, ненужная точность порой сильно мешает полёту мысли))
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  +/
Сообщение от Аноним (9), 03-Июл-26, 22:24 
Фикс прилетел, новость пложительная, продолжаем пользоваться самым лучшим дистрибутивом линукс бесплатно. Спасибо всем причастным!
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере Guix, допускающая удалённое ..."  –3 +/
Сообщение от _ (??), 04-Июл-26, 05:09 
А как эти долбоящеры шаркали ножкой, мол вотЪ у нас то - не то что у вас! А оказалось оно - оно везде оно! :)
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру