forum.opennet.ru - "В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd" (376)

"В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd"	+/–
Сообщение от opennews (ok), 29-Мрт-24, 22:43
В пакете XZ Utils, включающем библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz", выявлен бэкдор (CVE-2024-3094), позволяющий перехватывать и модифицировать данные, обрабатываемые приложениями, связанными с библиотекой liblzma. Основной целью бэкдора является сервер OpenSSH, в котором используется liblzma. Связывание sshd с уязвимой библиотекой позволяет злоумышленникам получить доступ к SSH-серверу без аутентификации... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60877
Ответить \| Правка \| Cообщить модератору

Оглавление

И как понять что тот бекдор успел натворить Если он больше месяца существует , semester (ok), 22:43 , 29-Мрт-24, (1) +2

For our openSUSE Tumbleweed users where SSH is exposed to the internet we recomm, Bonbon (?), 22:50 , 29-Мрт-24, (4) +1
Не просто больше месяца существует - автор бэкдора 2 года в проекте и отпра, Alexander_R (ok), 22:59 , 29-Мрт-24, (9) +11

откуда дровишки , Ано ним (?), 23:14 , 29-Мрт-24, (10) –4

В обсуждении на openwall много чего есть из не упомянутого в новости , Alexander_R (ok), 23:24 , 29-Мрт-24, (14) +3

Audit Accounting MAC и логи на другой сервер, который без бекдора с xz Тогд, Аноним (98), 07:55 , 30-Мрт-24, (98) +1

https www opennet ru openforum vsluhforumID10 5622 htmlНаписал скриптик и подп, Аноним (98), 08:04 , 30-Мрт-24, (101)
Accounting это какие примеры , semester (ok), 22:05 , 30-Мрт-24, (333)

Короче Инцидент был и он в дистрибутивах был, которые никто в здравом уме не бу, FSA (??), 22:51 , 29-Мрт-24, (5) –14

Создать ботнет и наехать на конкретных , не , Аноним (7), 22:56 , 29-Мрт-24, (7) +4

Все современные ботнеты, они исключительно иот А там как всегда протухшая на 5-, Аноним324 (ok), 11:03 , 30-Мрт-24, (161) +1

Не надо себя убаюкивать Ботнеты на всём , что удасться взломать И чем круче , Аноним (174), 11:21 , 30-Мрт-24, (174) +3
Именно поэтому у меня воооон там в логах немеряно левака с каких-то маздаев таки, Аноним (-), 01:05 , 04-Апр-24, (411)

На домашних машинах может быть столько криптовалюты что целой группе авторов хва, NameName (?), 09:31 , 30-Мрт-24, (119)

Какой идиот хранит крипту на компе , Аноним324 (ok), 11:03 , 30-Мрт-24, (162) –3

я извиняюсь, а где , а (?), 17:50 , 30-Мрт-24, (311) +2

Малинку заведите И спрятать эту Тамогочу в кладовку с донорскими платами чтобы , сщта (?), 19:17 , 30-Мрт-24, (323) –1
Есть такие устройства, кошельки называются, можешь даже сам такой сделать, штучк, Аноним324 (ok), 20:30 , 30-Мрт-24, (328)

да, а потом как с неё деньги выводить обратно не через интернет ли случаем , namenotfound (?), 21:35 , 30-Мрт-24, (330) +3
А потом этот кошелек выходит из строя и привет Такое уже было , Аноним (364), 15:53 , 31-Мрт-24, (364) +2

Протроянить Васяна, который собирает пакетики для прода - тянет на цель rosa20, n00by (ok), 10:19 , 30-Мрт-24, (141) +4

Ну так цель то ясна, Васяна наняли для конктретного дележа денег, пока государст, Всем Анонимам Аноним (?), 12:28 , 30-Мрт-24, (220)
Про воспроизводимые сборки в НТЦ ИТ Роса никто и не слышал , Аноним (-), 14:13 , 01-Апр-24, (404) –2

найти и наказать гада 8212 это одно, не допускать такого в принципе 8212 д, Перастерос (ok), 22:52 , 29-Мрт-24, (6) +2

Во Если уж бэкдор, то только хардварный, только хардкор Не допускать васянство, Аноним (33), 00:18 , 30-Мрт-24, (33) +4

Intel ME вместе с PSP передать просили - ALL YOUR BASE ARE BELONGS TO US , Аноним (-), 06:43 , 01-Апр-24, (392) +2

Нужно заставить гада извиниться на камеру, Аноним (79), 02:57 , 30-Мрт-24, (79) +1

ну попробуй, заставь сотрудника правительственной связи ее величества это сделат, Sw00p aka Jerom (?), 08:24 , 30-Мрт-24, (105) +2

Что так слабо Заставь её величество извиниться , Аноним (281), 14:21 , 30-Мрт-24, (281)
Почему её Его же, ну, Прохожий (??), 15:31 , 30-Мрт-24, (290)

Её интереснее Расскажет, как там климат, на чём жарят - на масле или на голой с, Аноним (317), 18:35 , 30-Мрт-24, (317) +1

Какой, извиниться Его валить нужно А если есть семья, то и семью , adolfus (ok), 20:32 , 31-Мрт-24, (381) –2
И отрезать ему ухо , vantoo (ok), 15:43 , 02-Апр-24, (410)

хз-utils, ну что, уважаемо, эпично Эта библиотека есть прям везде И самое дурн, kusb (?), 22:58 , 29-Мрт-24, (8) +3

Да что ты говоришь Это же чушь несусветная RHEL или MS напрямую у тебя берут д, sesto (?), 23:23 , 29-Мрт-24, (13) –7

Эпично, что гуманитарий уловил суть, а технарь , слегка подвинутый на идеолог, n00by (ok), 10:22 , 30-Мрт-24, (144)

Но он прав в том, что один бэкдор в мире Linux был относительно быстро обнаружен, Аноним (364), 15:56 , 31-Мрт-24, (365) +1

Может быть ключевое слово, а ничего поделать с этим нельзя следует читать ка, n00by (ok), 17:35 , 31-Мрт-24, (375)

Да, читать нужно уметь, но не так альтернативно одаренно, по итгу буквально все , Аноним (417), 11:02 , 26-Апр-24, (417)

Ну почему же всё итгу - годный пример, что читать надо уметь Особенно, что с, n00by (ok), 09:01 , 28-Апр-24, (420)

Ага, уже пошёл смотреть все сорсы всех либ, используемых в моем дистре, начиная , Аноним (354), 09:53 , 31-Мрт-24, (354) +1

в дебианах даже 12м нет пока сам не поставишь на rhel сильно старое нашёл ср, pelmaniac (?), 18:03 , 30-Мрт-24, (312) –1

Arch не был подвержен этому вектору атаки, там openssh не использовал liblzma, в, myster (ok), 18:53 , 30-Мрт-24, (320) +2

Я уже много лет говорю об этой проблеме и о том, как плохо обстоят дела с безопа, birdie (ok), 23:15 , 29-Мрт-24, (11) –24

Все ок, но про одобрение каждой строчки кода уже слишком жирно, Аноним (15), 23:27 , 29-Мрт-24, (15) +10

Да, примерно так Причём код проверяет не один человек, а несколько Жирно - это к, birdie (ok), 23:49 , 29-Мрт-24, (24) –1

Ты лично видел, как проверяли всей оргией каждую строчку кода Готов имена назва, Аноним (125), 10:00 , 30-Мрт-24, (125) –2

Каким боком здесь безопасность линукса Это не дыра в ядре, не эскалация привиле, Аноним (18), 23:29 , 29-Мрт-24, (18) +10

ну объективно говоря от этого приложения зависит пол системы Может я не прав, н, semester (ok), 23:33 , 29-Мрт-24, (19) +1

Да, но если так же скомпрометировать популярную библиотеку на винде, разница буд, Аноним (18), 00:02 , 30-Мрт-24, (27) +2

Разница в том, что для верности аналогии тебе придётся скомпрометировать библиот, n00by (ok), 10:31 , 30-Мрт-24, (148)

В формулировке ошибка это компонент системы, а не приложение, как его пытался в, n00by (ok), 10:27 , 30-Мрт-24, (146)
да откуда вы такие беретесь не зависит от xz ничего, его даже поставить надо ру, pelmaniac (?), 18:05 , 30-Мрт-24, (313)

apt autopurge xz-utilsЧтение списков пакетов 8230 ГотовоПостроение дерева зави, Аноним (327), 20:25 , 30-Мрт-24, (327) +3

Примеры backdoors в продуктах Microsoft в студию Хотя бы один за 40 с лишним ле, birdie (ok), 23:46 , 29-Мрт-24, (20) –13

Сначала ты примеры backdoors в продуктах Linux Foundation в студию То есть все л, Аноним (18), 23:56 , 29-Мрт-24, (25) +4

Ну вот буквально несколько дней назад нашли в Fedora продукте redhat, платиново, Аноним (40), 00:32 , 30-Мрт-24, (40)
Да легко Как насчет Bvp47 По слухам связан с NSA, но проверить естественно нево, Fyjy (-), 00:37 , 30-Мрт-24, (45) –2

Так падажи, но если считать дыры за умышленные бэкдоры, то винда тогда по этому , Аноним (18), 00:45 , 30-Мрт-24, (51) +6

А про Bvp47 есть что сказать Эм как-то не получается Linux Kernel - 3876 vu, Fyjy (-), 01:06 , 30-Мрт-24, (57) –3

Здесь стоит опять же учитывать, что например злополучный ядерный модуль ksmbd, в, Аноним (18), 01:18 , 30-Мрт-24, (61) +3

Ну так не принимайте от них модули А то уже был прецедент с деревянным конем в п, Fyjy (-), 01:27 , 30-Мрт-24, (64) –2

Не, это не выход, так можно вообще перестать любой код принимать Есть жирный плю, Аноним (18), 01:43 , 30-Мрт-24, (69) +2

Нет Это не Microsoft пишет его И не более злополучен чем остальное ядро , iPony129412 (?), 03:25 , 30-Мрт-24, (80) +1

так уязвимости ведь разные бывают- DoS Denial of Service отказ в обслуживании, твёрдый ветер (?), 01:38 , 30-Мрт-24, (67) +1

Если честно, мне лень искать и считать сколько у кого RCE, сколько privilege esc, Аноним (-), 01:54 , 30-Мрт-24, (75) –1

Стоп, а почему по Винде ты взял только две последние версии Опять подгоняешь ус, Аноним (121), 09:44 , 30-Мрт-24, (121)

Потому что более ранние версии - EOL Мы же не считаем дырки в ненужном начиная , Аноним (147), 10:30 , 30-Мрт-24, (147)

Вы серьёзно Тут даже сложно комментировать ибо вы похоже очень многое пропустил, Аноним (28), 00:07 , 30-Мрт-24, (28) +1

это константа, Вася (??), 14:51 , 30-Мрт-24, (286)

Держи Не захлебнись только https www cvedetails com vulnerability-list vendor, Аноним (36), 00:28 , 30-Мрт-24, (36)

Разницу между malware backdoor и vulnerability чувствуете Видимо, вообще нискол, birdie (ok), 00:45 , 30-Мрт-24, (50) +1
Linux Kernel обгоняет винду десятку на 796 CVEcvedetails com vulnerability-list , Аноним (-), 01:44 , 30-Мрт-24, (71)

Мы не знаем сколько на самом деле CVE в винде, потому что винда не open-source , Skullnet (ok), 03:44 , 30-Мрт-24, (83)

Ну да, а доверие к опенсорс софту - есть У нас тут новость про бекдор, вообще, Аноним (-), 09:01 , 30-Мрт-24, (110) +2

Фишка опенсорса в том, что за тебя сделали работу по реализации функционала и от, Аноним (125), 10:06 , 30-Мрт-24, (127)

Стоп-стоп Мы сейчас не про достоинства опенсорса А про то что аргумент опенсор, Аноним (-), 10:13 , 30-Мрт-24, (135) –1
Это не фишка, а насадка на зависимость , Аноним (327), 20:47 , 30-Мрт-24, (329) +1

Исходники Шрёдингера И бекдоры тоже добавляет тот кому надо Ага, утекали исходни, Skullnet (ok), 12:13 , 30-Мрт-24, (214) +1

Ты это про винду Или про те бинарники, которые тебе в пакетный менеджер прилетаю, Аноним (-), 12:35 , 30-Мрт-24, (223) –1

Спасают, бекдор исправили, а в винде хз, наверное ещё даже не нашли А про бекдо, Skullnet (ok), 03:09 , 31-Мрт-24, (347) +1

И фарфоровый чайник на орбите летает, да , Аноним (360), 10:44 , 31-Мрт-24, (360) –1

Абсолютно кривая логика Если сравнивать конкретную версию винды Win10 , то, Аноним (84), 04:05 , 30-Мрт-24, (84) +5

Абсолютно кривая логика Сравнивать только ядро с полноценной операционной сис, Анонин (-), 09:38 , 30-Мрт-24, (120) +1

Предполагаемый автор бэкдора и у MS отметилсяhttps learn microsoft com en-US, Аноним (38), 00:28 , 30-Мрт-24, (38) +1

Ужасы С этого момента все его коммиты за последние пару лет раз 10 будут проверя, birdie (ok), 01:57 , 30-Мрт-24, (77)

история про неусыпное око миллионов наблюдающее за исходным кодом 2 0 , ss (??), 09:27 , 30-Мрт-24, (116)

Да вся винда бэкдор для МС Хотят качают телеметрию от пользователя, хотят ставя, Jh (?), 11:18 , 30-Мрт-24, (172) –1
Как-то утек в открытый доступ сервис пак для NT с неудаленными отладочными симво, Аноним (84), 12:20 , 30-Мрт-24, (217) –1
Всякие ремотные активации с customer experience improvement с отсылкой нажатий, Аноним (-), 01:08 , 04-Апр-24, (412)

Ну да, ядро же оно само по себе существует, ему же вообще ничего не нужно Прикл, Аноним (68), 01:39 , 30-Мрт-24, (68)

Ну так в стабильных дистро - all systems online Ну в васяны с роллингами как , Аноним (-), 01:10 , 04-Апр-24, (413)

можно поподробнее о том как крупные корпорации одобряют каждую строчку кода , твёрдый ветер (?), 23:48 , 29-Мрт-24, (23) +1

Джобс считал что так надо делать Как там сейчас - хз, ss (??), 09:28 , 30-Мрт-24, (118)

К вопросу о RHEL 1 We built 5 6 0 for Fedora 40 41 Jia Tan was very insist, Bonbon (?), 08:04 , 30-Мрт-24, (100) +1

Что интересно, в светлой голове мейнтейнера даже мысли не возникло, почему ПРИКЛ, Аноним (40), 11:14 , 30-Мрт-24, (168)

Ага, наивный Работал я в крупных компаниях Строчки там одобряют неглядя за ред, Аноним (117), 09:27 , 30-Мрт-24, (117)

Решаемая, просто для начала её стоит правильно сформулировать Правильная же, на, ProfessorNavigator (ok), 11:46 , 30-Мрт-24, (199)

gt оверквотинг удален хорошая попытка, но нет , Аноним (386), 23:04 , 31-Мрт-24, (386)

Что именно и почему , ProfessorNavigator (ok), 00:30 , 01-Апр-24, (388)

Cisco достаточно крупная корпорация Все же помним доступ по curl А исправление, Аноним (211), 12:04 , 30-Мрт-24, (211)
Тем временем https overclockers ru blog Docent2006 show 20835 v_routerah_cisco, Аноним (121), 13:07 , 30-Мрт-24, (241)

Вы прекрасно нарыли дыры у networking equipment vendor Прекрасно Но какое Cisco, Аноним (288), 15:26 , 30-Мрт-24, (288) –1

А если прочесть его сообщение внимательней Cisco разве перестала быть корпорацие, Аноним (121), 16:07 , 30-Мрт-24, (305)

Гнутое точно такая же проприетарщина потому что требует передачи авторских прав,, Аноним (363), 12:43 , 31-Мрт-24, (363)

Ох, лол Чел, ты же, очевидно, в коммерческой разработке никогда не участвовал , Аноним (248), 13:15 , 30-Мрт-24, (248) +1

Давно много работаете в указанных выше компаниях или ваша коммерческая разработ, Аноним (288), 15:28 , 30-Мрт-24, (289)

Скрыто модератором, Anonimous (?), 13:22 , 30-Мрт-24, (252) +2

Скрыто модератором, birdie (ok), 15:24 , 30-Мрт-24, (287)

Это не правда В sshd не используется liblzma SSHd _можно_ собрать, слинковав с, Ано ним (?), 23:17 , 29-Мрт-24, (12) +1

sshd дёргает метод из systemd, который дёргает liblzma То, что вы в своём Gentoo, birdie (ok), 23:29 , 29-Мрт-24, (17) –5

Учитывая, что разрабатывают openssh разработчики openbsd, то вопрос кто тут извр, Аноним (30), 00:10 , 30-Мрт-24, (30) +8
Нету в проекте openssh никаких обращений к libsystemd и тем более методов Умни, Аноним (43), 00:34 , 30-Мрт-24, (43) +14

Ты всё юлишь, но не хочешь сказать правду, что systemd и есть бекдор Всё об это, Аноним (106), 08:27 , 30-Мрт-24, (106) +2

да-да, власти скрывают, голуби следят, namenotfound (?), 21:38 , 30-Мрт-24, (332) +3

Красиво подгорает Перечитываю снова и снова, не могу налюбоваться , Аноним (40), 01:06 , 30-Мрт-24, (58) +4
Gentoo Newer releases were signed by a potentially compromised upstream mainta, Аноним (98), 08:38 , 30-Мрт-24, (108) +1

Системд нет,екзедутилс 5 4 6-r1 Все норм Бггг , сщта (?), 09:23 , 30-Мрт-24, (114)

Кажется откатывается на 5 4 2, сщта (?), 09:45 , 30-Мрт-24, (122)

Тоже не понимал причём тут xz, пришлось читать оригинал , Ivan_83 (ok), 00:50 , 30-Мрт-24, (53) +2

Тот самый момент, когда арч лучше дебиана , НяшМяш (ok), 13:01 , 30-Мрт-24, (239)

buster - 5 2 4, Аноним (380), 18:58 , 31-Мрт-24, (380)

Вообще xz это зло https www nongnu org lzip xz_inadequate html, Аноним (15), 23:29 , 29-Мрт-24, (16) +4

А что насчёт zstd Бяка типа xz или что-то приятное типа gz lz Есть информация , Аноним (40), 00:34 , 30-Мрт-24, (41) +1

У lz4 и zstd один и тот же автор, так что скорее приятное , Bklrexte (ok), 03:38 , 30-Мрт-24, (82) +1
стоящая вещь, только софт некоторый отсталый, а всякие mc вообще не могут без та, майнеймис (?), 12:53 , 30-Мрт-24, (233)

Слишком много букв А что они там предлагают для long-term archiving , Аноним (42), 00:34 , 30-Мрт-24, (42)

Ничего конкретного Но вообще любой шарящий в теме человек знает, что для действи, Аноним (18), 01:04 , 30-Мрт-24, (55) +1
Они говорят, что gzip, bzip2 и lzip в разы лучше в плане детекта различного ро, Аноним (40), 01:21 , 30-Мрт-24, (62)
Ленту В трех экземплярах , й (?), 13:29 , 30-Мрт-24, (258)

Gentoo проблема с sshd не аффектит, так как там не используют патчи для systemd-, Аноним (28), 23:47 , 29-Мрт-24, (22) +6

Пофиксил, ё велком, burjui (ok), 22:34 , 01-Апр-24, (407)

xz --versionxz XZ Utils 5 4 1liblzma 5 4 1Хакеры 0 1 Debian stable, Аноним (33), 00:07 , 30-Мрт-24, (29)

xz --versionxz XZ Utils 5 2 5liblzma 5 2 5У меня ещё древнее , Skullnet (ok), 00:25 , 30-Мрт-24, (35) +1

А вот у тебя 4 летняя, но сидеть на старостабильной ветке и не ставить на неё об, Аноним (48), 00:40 , 30-Мрт-24, (48) –1

У меня самый свежий Linux Mint вообще-то , Skullnet (ok), 01:30 , 30-Мрт-24, (65) +1

Основанный на покрывшейся плесенью Ubuntu 22 04 LTS Ничего, в этом году должен , Аноним (221), 12:33 , 30-Мрт-24, (221) +1

Псс, Ubuntu 22 04 4 LTS вышел достаточно недавно и софты в нём достаточно свежие, Аноним (281), 14:28 , 30-Мрт-24, (283) +2

Все версии за 2 года содержат код этого автора, у тебя слишком сырая версия , Аноним (48), 00:38 , 30-Мрт-24, (46)
Угу OpenNet Я в безопасности, меня не касается, проблемы нет , Аноним (86), 04:08 , 30-Мрт-24, (86) +1

В pkgsrc уже откатились - https pkgsrc se archivers xzНо в самом образе NetBSD, Аноним (30), 00:15 , 30-Мрт-24, (32)

так BSD и так в безопасносте, Аноним (385), 22:59 , 31-Мрт-24, (385) +1

Чувак не виноват, ему просто copilot сделал автоподстановку и он случайно нажал , Аноним (34), 00:20 , 30-Мрт-24, (34) +21

Да да, приходиш в жкх, а почему вы мне так много начислили А это не мы, это про, Аноним (95), 07:40 , 30-Мрт-24, (95) +1

Шутки шутками, но такое реально бывало https en m wikipedia org wiki British_P, Аноним (248), 12:00 , 30-Мрт-24, (208) +2

Скрыто модератором, Аноним (-), 00:32 , 30-Мрт-24, (39)
Всё ещё веселей https github com google oss-fuzz issues 11760 issuecomment-20, birdie (ok), 00:36 , 30-Мрт-24, (44) +3

Погоди-ка, но ты же выше писал, что Google проверят каждую строчку кода Как же , Аноним (248), 13:15 , 30-Мрт-24, (250)

fedora xz --versionxz XZ Utils 5 4 4liblzma 5 4 4ubuntu xz --versionxz XZ , Аноним (47), 00:39 , 30-Мрт-24, (47)
Ну, ладно А эти пишут, что The problem has been fixed upstream in version 5 6 1, Аноним (42), 00:41 , 30-Мрт-24, (49)

Эти рекомендуют ставить не просто 5 6 1, а 5 6 1-2 , в которой бинарник собира, Аноним (40), 00:55 , 30-Мрт-24, (54) +3

Я буду громко смеяться, если в пофикшенном бинарнике будет второй бекдор, но б, Fyjy (-), 01:16 , 30-Мрт-24, (60) +2

В принципе вы правы Но тогда уж откатываться на версию двухлетней давности Инт, Аноним (40), 01:27 , 30-Мрт-24, (63)

Хорошо, что использую Debian stable, где, как говорят эксперты , все протухло и, Аноним (56), 01:04 , 30-Мрт-24, (56) +1

Хорошо или нет, но именно дебиан среди прочих пропатчил исходники openssh таки, Аноним (40), 01:16 , 30-Мрт-24, (59) +15
Да заметили бы, только уже при расследовании реальных взломов Но автор конечно , Аноним (18), 01:49 , 30-Мрт-24, (73)
OpenNet Я в безопасности, меня не касается, проблемы нет , Аноним (86), 04:07 , 30-Мрт-24, (85) +1

Ну так себе, для любителей всяких current testing unstable версий Хорошо что выя, Аноним (66), 01:36 , 30-Мрт-24, (66) –2

Тут цельное селинукс кровавой црушнёй писано, да не смутит вас ник злыдня под к, Аноним (68), 01:45 , 30-Мрт-24, (72) +2

Матчасть бы изучил, умник Селинукс изобрели в АНБ, и по словам Сноудена они как , Аноним (66), 02:17 , 30-Мрт-24, (78) –1

Вот и сам изучи матчасть, безопасность -- морковка для ослика, а вот поди разг, Аноним (68), 07:44 , 30-Мрт-24, (96) +2

Тогда почему ты пишешь от Анонима, а не зарегистрировался на форуме по телефону , Аноним (125), 10:12 , 30-Мрт-24, (133) +2
Разумеется Но свою безопасность им тоже нужно как-то организовывать Например от, Аноним (-), 10:20 , 30-Мрт-24, (142) –1

Сноудену безоговорочно верить, себя не уважать Учитывая где он сейчас А то как-т, Анонм (?), 10:17 , 30-Мрт-24, (140)
Начинаем учить матчасть 1 Сноуден, прежде всего, предатель Кто не понимает, чт, n00by (ok), 10:48 , 30-Мрт-24, (152) –2

Кому-то самому не мешало бы поучить матчасть Сноуден исходит из мнения что служ, Аноним (159), 10:56 , 30-Мрт-24, (159)

Действительно, учить, так учить Однокоренные слова к мнение мнить, мнимый М, n00by (ok), 11:32 , 30-Мрт-24, (189)

Что же ты юлишь то Очередного задорнова-фоменко косплеишь неубедительно А слов, Аноним (200), 11:47 , 30-Мрт-24, (200)

Я объясняю тебе смысл слов, поскольку ты сам далёк от понимания своей писанины Н, n00by (ok), 13:33 , 30-Мрт-24, (262)

Ливнул, как ожидаемо Ни одного своего лживого утверждения не смог обосновать По, Аноним (270), 13:47 , 30-Мрт-24, (270) +1

Уговорил, объясняю вот это за тебя Проекция - механическая псих защита, характе, n00by (ok), 08:35 , 31-Мрт-24, (351)

Про 12 приёмов Чапека тебе наверное уже ленивый не писал Успокойся, здесь люди , Аноним (360), 10:37 , 31-Мрт-24, (359)

Первый раз такое тут вижу А это постоянно Когда оратор плавает в вопросе, он ре, n00by (ok), 17:38 , 31-Мрт-24, (376)
Так кто прав Американский суд признавший преступным слежку за своими гражданами , Аноним (382), 20:57 , 31-Мрт-24, (382)
Зачем ты задаёшь мне все эти глупые вопросы Ты хочешь меня убедить, что я не пр, n00by (ok), 07:47 , 01-Апр-24, (395)
Прямо эталон по впрыгиванию в жир ногами показал И дальше крутишься как на сков, Аноним (360), 18:43 , 01-Апр-24, (406)
Итак, Анонимный эксперт настойчиво утверждает, что некий окружной суд Жмеринки п, n00by (ok), 11:03 , 02-Апр-24, (408)

По его разумению, я так понимаю, аглийское слово opinion мение происходит от, TSO (?), 22:59 , 30-Мрт-24, (336)

Некоторым быть в танке недостаточно, в качестве дополнительной защиты прибегают , n00by (ok), 08:33 , 31-Мрт-24, (350)

Не хочешь быть соучастником преступлений, о необходимости совершения которых т, ОШИБКА Отсутствуют данные в поле Name (?), 10:57 , 30-Мрт-24, (160)

Каких преступлений Он отказался облучать народ марсианскими технологиями, потом, n00by (ok), 11:35 , 30-Мрт-24, (191)

Ты с мат частью всё-таки ознакомишься может Слежка за любым гражданином без санк, Аноним (205), 11:58 , 30-Мрт-24, (205)

Что это за текст, кто его автор и зачем ты мне его отправляешь в ответ Я лучше , n00by (ok), 13:39 , 30-Мрт-24, (266)

Ты с матчастью ознакомься Это цитата Сноудена в интервью гуардиану Сбор данных б, Аноним (270), 13:46 , 30-Мрт-24, (268)

С какого перепугу я должен верить персонажу, чья компетенция в вопросе никак не , n00by (ok), 08:41 , 31-Мрт-24, (352)

Seven years after former National Security Agency contractor Edward Snowden blew, Аноним (360), 10:23 , 31-Мрт-24, (357)

А ты _мне_ вот этим показал, что сам себя лично ни во что не ставишь , n00by (ok), 17:41 , 31-Мрт-24, (377)
Итак кто прав Американский суд признавший преступным слежку за своими гражданами, Аноним (382), 20:58 , 31-Мрт-24, (383)
Зачем ты задаёшь мне все эти глупые вопросы Ты хочешь меня убедить, что я не пр, n00by (ok), 07:49 , 01-Апр-24, (396)

Извините за занудство, но1 Сноуден сам пошёл в контору Взрослый мужчина, не мо, Аноним (246), 13:13 , 30-Мрт-24, (246) +1

Тут кстати некоторые не очень рады, что он принял наше гражданство Потому что в, n00by (ok), 13:35 , 30-Мрт-24, (264)

Вау, о сколько нам открытий чудных А можно поинтересоваться 8212 какого та, TSO (?), 23:02 , 30-Мрт-24, (337)

Я вижу, ты не в курсе, что Освальд перед тем попросил политическое убежище в ССС, n00by (ok), 08:31 , 31-Мрт-24, (349)

Контора занимался незаконной деятельностью за пределами сша Это его устраивало , Аноним (270), 13:54 , 30-Мрт-24, (274)

Так ты Патриотический Акт почитай Может последуешь примеру своего кумира и пере, n00by (ok), 17:44 , 31-Мрт-24, (378)

Так кто прав Американский суд признавший преступным слежку за своими гражданами , Аноним (382), 20:58 , 31-Мрт-24, (384)

Зачем ты задаёшь мне все эти глупые вопросы Ты хочешь меня убедить, что я не пр, n00by (ok), 07:49 , 01-Апр-24, (397)

То самое анб что протолкнуло свою поделку вместо рсбак и пах-грсек Хотя они был, Аноним (159), 10:49 , 30-Мрт-24, (153) +1

Надо было xz на расте писать, с его наркохипанским синтаксисом никто ничего нико, Аноним (68), 01:44 , 30-Мрт-24, (70) +9

То есть синтаксис m4 портянки из новости тебя не смутил, да , Аноним (248), 11:29 , 30-Мрт-24, (187) +6

Так даже у m4 синтаксис лучше чем у Раста , Аноним (364), 16:30 , 31-Мрт-24, (366) +1

Это хорошо что вы открыто говорите о своих проблемах Ну не удалось вам понять ка, Аноним (-), 13:38 , 30-Мрт-24, (265) +1

m4 Невероятно , Лутту (?), 01:51 , 30-Мрт-24, (74) +2

Ещё одно доказательство, что Automake место на свалке Не читаемый набор скрипто, Аннон (?), 10:49 , 30-Мрт-24, (154) +4

Если скрипты намеренно не читать, их и нельзя будет отревьюить , Аноним (292), 15:44 , 30-Мрт-24, (292)

Какого черта какой то ноунейм liblzma либе доступно чтение и запись в любую обла, Oe (?), 01:54 , 30-Мрт-24, (76) –2

Иди сурсы читай sshd напрямую эту библиотеку и не использует, просто какие-то г, Аноним (125), 10:15 , 30-Мрт-24, (137) +2

Вопрос по прежнему открыт почему ноунейм прилинкованная либа имеет доступ к пам, Oe (?), 12:24 , 30-Мрт-24, (219) –5

в виде указателя на область памяти Ты представляешь производительность того ж, Аноним (243), 13:11 , 30-Мрт-24, (243)

А я предлагаю наконец научиться кодить, почитать про mmap, например , n00by (ok), 13:51 , 30-Мрт-24, (273) +1

Так и запишем - пособник копирастов-тивоизастов и устаревастов , Аноним (322), 18:59 , 30-Мрт-24, (322) +1
Иди книжку почитай как работает линковка и для чего она нужна , Легивон (?), 10:26 , 31-Мрт-24, (358) +1
Это претензии к операционным системам, я надеюсь, а не к разработчикам прикладно, Аноним (317), 14:43 , 01-Апр-24, (405)

Ловите его скорее, а то он и NIH-синдром поставит под сомнение , n00by (ok), 10:54 , 30-Мрт-24, (158)

brew upgradexz 5 6 1 - 5 4 6https github com Homebrew homebrew-core pull 1675, soarin (ok), 03:34 , 30-Мрт-24, (81)
Посжимали и хватит F, Аноним (87), 04:14 , 30-Мрт-24, (87) –1
Я так понимаю, что если был любой другой инит, а не системда патч, то этот бек, Аноним (88), 05:08 , 30-Мрт-24, (88) +1

вот devuan, какой-то рудимент от systemd имеется S ldd usr sbin sshd lin, glad_valakas (?), 05:23 , 30-Мрт-24, (90)

Сколько же там дерьма напихано, фу Правильное у меня мнение было об этом дистре, Аноним (48), 09:15 , 30-Мрт-24, (113) +3

В Debian ldd usr bin ssh linux-vdso so 1 0x00007ffd6d9fb000 libselinux so 1 , Аноним (196), 11:42 , 30-Мрт-24, (196)

так разговор про sshd,а не про ssh, Аноним (243), 13:13 , 30-Мрт-24, (244)

Даже в арче не додумались до такогоldd usr sbin sshd linux-vdso so 1 0x, НяшМяш (ok), 13:09 , 30-Мрт-24, (242)

В арче не принято обмазывать исходники пакетов коричневой субстанцией W W патчам, Аноним (362), 12:20 , 31-Мрт-24, (362)

Это не рудимент, это весь systemd и есть С чем и поздравляю борцунов с системдр, нах. (?), 12:42 , 30-Мрт-24, (225)

чушь 1 процесса systemd нет 2 сравни с нормальным дебианом ldd lib x86_64-li, glad_valakas (-), 14:15 , 30-Мрт-24, (279)

Да, Аноним (91), 05:24 , 30-Мрт-24, (91)

А сколько таких, которые не попались , Аноним (89), 05:20 , 30-Мрт-24, (89) +3

А я-то думаю чего с годами потребление памяти и другая требовательность к ресурс, BrainFucker (ok), 06:33 , 30-Мрт-24, (93) +1

Так их переписывают просто То на Питончик, то на Раст , Аноним (166), 11:14 , 30-Мрт-24, (166)

a xz-5 6 1-x86_64-2 txz Rebuilt Seems like a good idea to build this fro, Аноним (92), 05:38 , 30-Мрт-24, (92) +3
Вот В этом месте и надо отлавливать вредителей Ещё одно место это JIT код котор, Аноним (98), 07:51 , 30-Мрт-24, (97) +5
libsystemdДля меня это уже повод насторожиться, iCat (ok), 07:57 , 30-Мрт-24, (99) –1

А для меня расслабится Использую дистр без сысды, дбас, полкитды, вяленого , Аноним (98), 08:07 , 30-Мрт-24, (103)

Расслабился - смой за собой, Аноним (281), 14:32 , 30-Мрт-24, (284)

Так он же сказал , Аноним (292), 15:47 , 30-Мрт-24, (294)

Интересно, на сколько лет посадят писателя этого бэкдора , вася (??), 08:04 , 30-Мрт-24, (102)

Закон дышло, чужого - посадим, своего - наградим https tass ru obschestvo 170, Вова (?), 08:12 , 30-Мрт-24, (104)

ну да, прям как, чтобы ликвидировать кучку ТТ, надо было потравить тучу хостейдж, Sw00p aka Jerom (?), 08:35 , 30-Мрт-24, (107)

Ни на сколько, потому что в лицензии либы есть отказ от каких либо обязательств , Аноним (248), 12:04 , 30-Мрт-24, (210)
Кто ж посадит действующего члена КПК Судя по имячку - он прям оттуда и кодил , нах. (?), 12:44 , 30-Мрт-24, (227) +1

Хомы начинают прозревать, а вдруг не все выходы за границы буфера это просто оши, Аноним (106), 08:40 , 30-Мрт-24, (109) +1
Какой позор для опенсорса Внезапно оказалось, что открытый код и контролируемы, Аноним (-), 09:09 , 30-Мрт-24, (111) –7

Так бекдор, внезапно, в бинарнике Вот тебе и закрытый код , Аноним (121), 10:13 , 30-Мрт-24, (134) +1

Бэкдор в библиотеке с открытым кодом Ты думал, что его ещё и прокомментируют в , n00by (ok), 11:21 , 30-Мрт-24, (175)

Ты точно читал новость Архивы давно перестали быть бинарными файлами При сборке, Аноним (121), 16:15 , 30-Мрт-24, (306)

Бэкдор не в коде программы, а в её сборочных скриптах Это определенно всё меняе, Аноним (342), 23:31 , 30-Мрт-24, (342)
Я не только читал новость, но и краем уха слышал, чем полиморфные движки отличаю, n00by (ok), 08:53 , 31-Мрт-24, (353) –1

Скрыто модератором, Аноним (364), 16:45 , 31-Мрт-24, (367)

Скрыто модератором, n00by (ok), 08:09 , 01-Апр-24, (398)

Скрыто модератором, Аноним (417), 11:09 , 26-Апр-24, (418)

Скрыто модератором, n00by (ok), 08:53 , 28-Апр-24, (419)

Ты с логикой дружишь Бэкдор найден через месяц после внедрения, в репе по комит, Аноним (248), 11:36 , 30-Мрт-24, (192) +3

А ничего бы не было, в Cisco до сих пор не расказали, кто на наоставлял вагон бе, Аноним (121), 16:18 , 30-Мрт-24, (307) +3

Не удивлюсь, если во всех проектах на automake, включая rpm и firejail, такое пр, Аноним (123), 09:51 , 30-Мрт-24, (123) +4

В ninja тем более смотреть не будет никто А в automake очень даже , Аноним (292), 15:49 , 30-Мрт-24, (296) –1

Makefile для ninja никто руками не пишет, и, соответственно, не заливает в репы , Анонми (?), 20:09 , 30-Мрт-24, (325)

Очень даже пишут Иногда В очень нишевых кейсах Они даже читаемыми получаются , Аноним (334), 22:27 , 30-Мрт-24, (334)

Но идиотские дистры вроде Дебиана продолжат собирарь из архивов , Аноним (123), 09:53 , 30-Мрт-24, (124) –1

Ага, а надо из апстрим репы исходного кода, да прямо из master ветки , Аноним (248), 11:38 , 30-Мрт-24, (193)

man git-checkout, Аноним (230), 12:48 , 30-Мрт-24, (230) +2
Расскажи, в каком дистрибутиве ты собираешь пакетики Страна должна знать своих , n00by (ok), 13:58 , 30-Мрт-24, (275) +1

Fedora, OpenSUSE тоже идиотские дистрибутивы , Аноним (195), 11:40 , 30-Мрт-24, (195) –1

Эти - особенно , Аноним (230), 12:47 , 30-Мрт-24, (228) +2

Так это в Сид каком-нибудь только прилетело,навряд ли в обычный Дебиан попало , сщта (?), 10:06 , 30-Мрт-24, (126) +1
Эта либа себя дискредитировала Jia Tan коммитил в течение для двух лет и любой и, Аноним (-), 10:08 , 30-Мрт-24, (128) +3

В расте и обфусцировать бэкдор не надо будет - в коде просто никто и так не разб, Аноним (166), 10:09 , 30-Мрт-24, (130) +1

Код уже написан и уже внедрен в какой-то мутный драйвер из 100 строк , Аноним (106), 10:11 , 30-Мрт-24, (132)
В расте нет такого древнего легаси как m4 скрипты Там нормальная человекочитаема, Аноним (-), 10:17 , 30-Мрт-24, (139) +2

Ты хотел сказать что на рсте вообще нет никакого продакшн кода , Аноним (106), 11:27 , 30-Мрт-24, (183)

Гугл с андроидом и не в курсе И ещё с десяток крупных компаний , НяшМяш (ok), 13:14 , 30-Мрт-24, (247)

Это все происходит только в твоём воображении и каких то маловнятных новостях К, Аноним (106), 16:44 , 30-Мрт-24, (308)

Тянущая всё с гитхабчика, ага Ночью по CET PST дядя Ляо сделал git push, дядя Л, Аноним (292), 15:52 , 30-Мрт-24, (297) +1
1 сама тянущая все зависимости, какие укажут разработчики пакетов укажут и , Аноним (321), 18:55 , 30-Мрт-24, (321) +1
Кто захочет писать безопасно на Си - тот будет писать безопасно на Си Неосилято, Аноним (364), 16:50 , 31-Мрт-24, (368) +1
Не переживай, раст и прочая скриптуха также подвержена подобным проблемам И дел, jsforever (ok), 17:26 , 31-Мрт-24, (373)

В расте не смогут разобраться только неосиляторы Там гугл переучивает разработчи, Аноним (-), 10:54 , 30-Мрт-24, (157) –1

Умник, ты хоть посмотри для чего использовался bash Или ты из очередных не чит, Аноним (195), 11:38 , 30-Мрт-24, (194)
Использование Хруста как-то мешает использовать в проекте m4 и bash Выдыхай, бо, Аноним (364), 16:52 , 31-Мрт-24, (369)
Там уже есть весь этот отстой - это макросы Проблемы всё те же, что и у баш м4 , jsforever (ok), 17:28 , 31-Мрт-24, (374)

На Питоне замучаешься обфуцировать Вот это язык так язык Хех-хех , microcoder (ok), 23:26 , 30-Мрт-24, (341)

m4-макрос, дата редиза - 1977 годКонечно использовать инструменты полувековой да, Анонм (?), 10:14 , 30-Мрт-24, (136) +5

если ты не можешь прочитать простенький код на m4 - каковы твои шансы что-то зам, нах. (?), 12:50 , 30-Мрт-24, (231)
Так ты не порождай Ты часом не питонист , Аноним (292), 15:55 , 30-Мрт-24, (299)

И питонист, и сторонник Дяди Боба А вы можете продолжать знать только JavaScrip, Аноним (319), 18:49 , 30-Мрт-24, (319)

Тысячи глаз , Аноним (166), 10:16 , 30-Мрт-24, (138)

Бывают и злые Васяны,ничего тут не сделаешь Вон в Кеды тоже свину подложили и н, сщта (?), 10:20 , 30-Мрт-24, (143)
Как раз эти пресловутые тысячи глаз и сработали Поймал не человек, занимающий, sqrt (?), 10:32 , 30-Мрт-24, (150) +8

Сработали Ни один из копавшихся в исходниках этого не нашёл за два года Эстон, Аноним (159), 11:09 , 30-Мрт-24, (164) –3

5 6 0 Mon, 26 Feb 2024 07 47 01 0100 - из чейнджлога Debian Sid Где тут 2 года, Аноним (123), 11:24 , 30-Мрт-24, (178) +1

Почти год назад он отключил это ifunc is not compatible with -fsanitize address,, Аноним (205), 12:07 , 30-Мрт-24, (212) –1

Там была проведена многолетняя подготовка к внедрению бэкдора Легендирование и , Аноним (246), 14:12 , 30-Мрт-24, (278)

Так они только играются Возьми несколько летней давности историю с университето, Аноним (285), 14:45 , 30-Мрт-24, (285) +1

Ненадёжно Бэкдор в программе можно выпилить А вот бэкдор в спецификации или эк, Аноним (293), 15:44 , 30-Мрт-24, (293)

А в проприетарных типа всё всегда находится Ты это, переставай употреблять , Аноним (106), 11:25 , 30-Мрт-24, (180) +1

А какая нам разница что там у проприетарных И почему тебя это вообще беспокоит Т, Аноним (-), 11:30 , 30-Мрт-24, (188)

В том что метод тысячи глаз работает и сработал То что у него есть время реакци, Аноним (106), 16:47 , 30-Мрт-24, (309)

Двойные стандарты что бы защитить свой мирок Понимаю Там нашли бэкдор и опублик, Аноним (340), 23:20 , 30-Мрт-24, (340) +1

Не, тут к сожалению не только это Чел сначала предложил коммит с отключением фаз, Аноним (-), 10:39 , 30-Мрт-24, (151) +1

GitHub полностью заблокировал репозитории xz, xz-java и xz-embedded, которые те, zeecape (ok), 10:27 , 30-Мрт-24, (145) +3

не только эксплойт но и доступ к версиям, вредительских правок еще не содержавши, нах. (?), 12:52 , 30-Мрт-24, (232) +2

Хахаха, а теперь расскажите мне, как в типа серьезных проектах используют авто, Анонм (-), 10:32 , 30-Мрт-24, (149)

Скрыто модератором, Аноним (-), 11:14 , 30-Мрт-24, (167)
Сказать то чего хотел Если тот же самый китаец захотел бы внедрит бекдор в коде, Аноним (106), 11:23 , 30-Мрт-24, (177)
Так по просьбе какого-то васяна и unsafe-обертки заапрувят и вся хваленая безопа, Аноним (364), 16:58 , 31-Мрт-24, (370)

О, история становится еще интереснее Чел поучаствовал во многих проектах Наприме, Аноним (-), 10:51 , 30-Мрт-24, (155) +3

Ну, libarchive кривое, не страшно Её никто в своём уме не будет использовать А, Аноним (48), 11:10 , 30-Мрт-24, (165)

Я использую Потому что иначе мне придётся свою такую же, но хуже, написать , Аноним (123), 11:18 , 30-Мрт-24, (171)

самое слабое звено в системе безопасности 8212 это человек с Кевин Митник, Аноним (166), 11:17 , 30-Мрт-24, (170) +2
Это же какую логику нужно иметь, чтобы связать прием патча с изменения в коде с , Аноним (195), 11:34 , 30-Мрт-24, (190)

Типа если люди пишут на Си, им как правило, глубоко плевать на безопаснось , Аноним (248), 11:44 , 30-Мрт-24, (198)

Звучит как теория заговора , Аноним (364), 17:02 , 31-Мрт-24, (371)

Не знаю как в GO, но в раст все принты по умолчанию safe А чтобы сделать ансейф , Аноним (-), 11:49 , 30-Мрт-24, (201) –1

Думаешь китаец испугался бы слова unsafe и не сделал бы коммит БезопасТность ур, Аноним (106), 12:01 , 30-Мрт-24, (209) +1

А это зависит от разных вариантов Например есть либы в расте которые помечены , Аноним (-), 12:19 , 30-Мрт-24, (216) –1

Но тебе захотелось попиариться, вот же ж незадача , Аноним (292), 15:57 , 30-Мрт-24, (300)
На этом обсуждение можно было и закончить , Аноним (364), 17:04 , 31-Мрт-24, (372)
Например есль скрипты в баше которые просто пускают команды, без каких-либо по, jsforever (ok), 18:42 , 31-Мрт-24, (379)

- Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF TCP из состава ядра Lin, Аноним (-), 12:08 , 30-Мрт-24, (213) –1

Всё просто - в ПР МР делают придирки к неймингу, стилю кодирования, не сопадающи, Аноним (292), 16:00 , 30-Мрт-24, (301) +1

Любая сторонняя либа это потенциальный источник трояна, соответственно код либы , Oe (?), 12:53 , 30-Мрт-24, (234) –1
Эту историю читаешь и плакать хочется Один из коммитов етого псевдокитайца в oss, Аноним (339), 23:18 , 30-Мрт-24, (339)

Заметьте изменения были введены после обязательного введения 2FA на GitHub не , Аноним (123), 11:17 , 30-Мрт-24, (169)

Вполне вероятно, что и петрушка, и вероятно даже не один действовал, но при чём , Аноним (48), 11:25 , 30-Мрт-24, (179) –1

А это не мы должны предоставлять железобетонные доказательства, что автор сопров, Аноним (123), 11:42 , 30-Мрт-24, (197) +4

Насчёт закрытия 8212 я всегда думал, что liblzma - это часть 7zip Особенно у, Аноним (202), 11:50 , 30-Мрт-24, (202) +1

Похоже ты не понимаешь сути проблемы в сабже Проблема что в трояне был баг, кот, Аноним (106), 11:59 , 30-Мрт-24, (206) +1

Именно, поэтому авторам xz, libarchive и прочим скомпрометированным 8212 ника, Аноним (215), 12:17 , 30-Мрт-24, (215)

Как вообще в либе для архивации может быть троян Она принимает входные данные, , Oe (?), 12:35 , 30-Мрт-24, (222) –3

Ты не понимаешь, как программы работают То, что ты хочешь, недостижимо практиче, Аноним (48), 12:56 , 30-Мрт-24, (237)

Это - для бекдорщиков проблема, что обнаружили Проблемы индейцев шерифа не волн, Аноним (218), 12:22 , 30-Мрт-24, (218)

То есть тебя не смущает что были созданы все условия чтобы бэкдор работал Не уд, Oe (?), 12:39 , 30-Мрт-24, (224)

Нет, не смущает, так как права выдаются не либе, а процессу, а в одном контексте, Аноним (246), 12:54 , 30-Мрт-24, (236)

Подавляющее количество людей использует TOTP для 2FA Где ты тут учуял продвижен, Аноним (248), 13:05 , 30-Мрт-24, (240) +2

Использование TOTP сделано максимально неудобным, а в случае с FIDO2 вообще разр, Аноним (246), 13:21 , 30-Мрт-24, (251) –1

Скопипастить код - это, по твоему, максимально неудобно Лол Устройство-аутентиф, Анонми (?), 20:22 , 30-Мрт-24, (326)

1 Да, неудобно Можно на JS написать аутентификатор, но лучше свалить из этого , Аноним (343), 01:05 , 31-Мрт-24, (343)

Libselinux также поддерживает liblzma и связывается с гораздо большим количество, Аноним (186), 11:29 , 30-Мрт-24, (186)
Накалякал в Федору https pagure io fesco issue 3185Посмотрим что из этого вый, Аноним (288), 12:48 , 30-Мрт-24, (229)

Смешно если честно, это предложение больше на вброс или троллинг похоже Сейчас ж, Аноним (-), 12:53 , 30-Мрт-24, (235) +1

Более того, А давайте вы там кто-нибудь сделаете, чтобы было хорошо, а мне н, Аноним (277), 14:09 , 30-Мрт-24, (277)

Вот он - Linux way , Аноним (238), 13:00 , 30-Мрт-24, (238) +3

А во FreeBSD automake не используется , Аноним (255), 13:24 , 30-Мрт-24, (255) –1

Там юниксовый make , Аноним (344), 01:22 , 31-Мрт-24, (344)

Оглянись, вдруг у тебя что-то торчит , Аноним (345), 02:43 , 31-Мрт-24, (345)

Люди, которые считают,что в PID 1 непременно нужно вкрячить библиотеку компресси, й (?), 13:23 , 30-Мрт-24, (253) +3
атака классная респект китайцу жаль, быстро спалили сижу, жую попкорн xz --, crypt (ok), 13:24 , 30-Мрт-24, (254) +1
Microsoft has signaled it will add native support for tar, 7-zip, rar, gz and m, Аноним (84), 13:27 , 30-Мрт-24, (257) +1

А почему китайской Скорее всего околополяки какие-нибудь, как обычно , Аноним (48), 13:33 , 30-Мрт-24, (261)

Китайский-китайский, не сомневайтесь , товарищ майор (?), 13:44 , 30-Мрт-24, (267)
Судя по виртуозной схеме внедрения бекдора в sshd, работали серьезные профи , Аноним (84), 13:47 , 30-Мрт-24, (269)

До того, как Github заблокировал репозиторий xz, мне почему-то мимолетно показал, mikhailnov (ok), 14:17 , 30-Мрт-24, (280)

Вы наводите поклёп на страну, в которой в куче детсадов по прикомандированному к, Аноним (292), 16:05 , 30-Мрт-24, (303)

Может это американец китайского происхождения Азиато-американец , Пользователь чебурнета (?), 12:26 , 08-Апр-24, (415)

Единственно, что свой человек время от времени лажался и коммитил с таймзоной E, Аноним (339), 23:04 , 30-Мрт-24, (338) +2

То, что никто не проверяет соответствие релизных архивов реальным данным в дерев, Аноним (48), 13:30 , 30-Мрт-24, (259) +1

Несоотвествие в порядке вещей для autocrap Там при подготовке релизного архива , Аноним (271), 13:48 , 30-Мрт-24, (271) +1
А зачем проверять, если можно просто git юзать Но ведь не юзают Чую, когда так, Аноним (246), 14:05 , 30-Мрт-24, (276)

Проблема зашита в libsystemd ldd lib x86_64-linux-gnu libsystemd so 0 linux-v, Аноним (84), 15:39 , 30-Мрт-24, (291) +1

Нужно решение на базе линкера, запрещающее динамически линковать 2 либы с конфли, Аноним (293), 15:47 , 30-Мрт-24, (295)

Нужно использовать простое и доверенное ПО Но это в идеальном мире, а в реально, Ананоним (?), 15:53 , 30-Мрт-24, (298)
А как я буду malloc заменять , Аноним (292), 16:06 , 30-Мрт-24, (304)

если хочешь менять на уровне линкинга либы - то управление памятью надо вынести , Аноним (310), 17:03 , 30-Мрт-24, (310)

Ты думаешь, что когда при сборке sshd с ним линковался libsystemd so, ликер буде, Аноним (84), 18:33 , 30-Мрт-24, (315)

динамический линкер, линкующий при загрузке бинарей в память , Аноним (319), 18:47 , 30-Мрт-24, (318)

Всегда знал, что баш-портянки, регулярные выражения и всякие прочие нечитаемые н, Аноним (316), 18:34 , 30-Мрт-24, (316)

Всегда знал, и не исправил Может ты специально ничего не зделал , Аноним (345), 02:45 , 31-Мрт-24, (346)

пособник, Аноним (409), 15:33 , 02-Апр-24, (409)

Что не так с Makefile , Легивон (?), 10:59 , 31-Мрт-24, (361)

Ископаемый язык, который никто сейчас даже трогать не хочет ввиду его ужасного и, Аноним (316), 03:02 , 01-Апр-24, (389)

Ваш CMake также поимели, даже не используя никакие регулярные выраженияhttps w, Аноним (-), 12:36 , 01-Апр-24, (403)

В Tumbleweed сегодня из-за этого весь репозиторий пересобрали Прилетело обновле, Berkut (??), 03:22 , 31-Мрт-24, (348)
Интересно, как оно в ЧПУКС работает , IdeaFix (ok), 10:07 , 31-Мрт-24, (355)

чпукс кому-то ещё нужен , Аноним (394), 07:30 , 01-Апр-24, (394)

Как сказать я прикупил очень дешево ибо первый раз в жизни увидел b2600, а , IdeaFix (ok), 10:04 , 01-Апр-24, (402)

Видимо xz настолько заброшен, что никто однострочник с eval не увидел , Пряник (?), 09:59 , 01-Апр-24, (400)
Так вот зачем китайцы стучатся по SSH , Пряник (?), 10:01 , 01-Апр-24, (401)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от semester (ok), 29-Мрт-24, 22:43 +2 +/–

И как понять что тот бекдор успел натворить? Если он больше месяца существует.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #9, #98

4. Сообщение от Bonbon (?), 29-Мрт-24, 22:50 +1 +/–

For our openSUSE Tumbleweed users where SSH is exposed to the internet we recommend installing fresh, as it’s unknown if the backdoor has been exploited. Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended.
https://news.opensuse.org/2024/03/29/xz-backdoor/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от FSA (??), 29-Мрт-24, 22:51 –14 +/–

Короче. Инцидент был и он в дистрибутивах был, которые никто в здравом уме не будет ставить на прод. А ломать домашние машины... которые по какой-то причине выставлены в сеть... ну это цель нужна и ждать подходящего момента... сомнительное удовольствие.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #119, #141

6. Сообщение от Перастерос (ok), 29-Мрт-24, 22:52 +2 +/–

найти и наказать гада — это одно, не допускать такого в принципе — другое..

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #79

7. Сообщение от Аноним (7), 29-Мрт-24, 22:56 +4 +/–

Создать ботнет и наехать на "конкретных" , не ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #161

8. Сообщение от kusb (?), 29-Мрт-24, 22:58 +3 +/–

хз-utils, ну что, уважаемо, эпично. Эта библиотека есть прям везде. И самое дурное, ведь архиватору не нужен доступ почти ни к чему. Но такой изоляции нет.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #312

9. Сообщение от Alexander_R (ok), 29-Мрт-24, 22:59 +11 +/–

Не просто больше месяца существует - автор бэкдора 2 года в проекте (!!) и отправлял к нему многочисленные патчи с исправлениями (в том числе для повышения скрытности).
При этом явно предпринималась попытка замаскировать полную компроментацию проекта xz под "всего лишь" компроментацию тарболов, а сам бэкдор не активировался если запускать исполняемые файлы с поражённой liblzma в терминале. Не известно, единственный ли это бэкдор или были другие (а ещё аккаунт автора вовлечён в разработку кучи других проектов, таких как java-версия xz...)
Не исключено, что к моменту публикации новости аффтар уже почистил за собой все следы и перезагрузил за вас ваши сервера 0_o

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10

10. Сообщение от Ано ним (?), 29-Мрт-24, 23:14 –4 +/–

откуда дровишки?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14

11. Сообщение от birdie (ok), 29-Мрт-24, 23:15 –24 +/–

Я уже много лет говорю об этой проблеме и о том, как плохо обстоят дела с безопасностью в Linux. Я знал, что что-то подобное случится, и это случилось.
Почти все дистрибутивы, за исключением, может быть, RHEL, торопятся выложить пакеты из upstream, никогда не проверяя, что исходный код не был затроянен.
Хуже того, независимые мейнтейнеры, назначенные для работы с пакетами, часто даже не являются разработчиками, так что у них нет ни возможностей, ни квалификации, чтобы прочитать код и убедиться, что он по-прежнему заслуживает доверия. Часто сопровождающие отвечают за несколько пакетов, и в то же время это не является их основной работой или тем, за что они получают зарплату, поэтому они практически не заинтересованы в том, чтобы все было правильно.
В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует. И дело не только в Linux, FreeBSD тоже страдает от этого. Я не уверен насчет OpenBSD/NetBSD, поскольку никогда их не использовал.
Можно ли решить эту проблему? Понятия не имею.
Дистрибутивы Linux должны предпринять согласованные усилия по проверке пакетов и отмечать их как "доверенные". Я никогда не слышал ни о чем подобном, за исключением RHEL, который не является настольным дистрибутивом и, кроме того, сильно ограничил свои связи с сообществом.
Это не проблема XZ. Это проблема всей экосистемы Linux. Вопрос безопасности, надежности, доверия и проверяемости.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #18, #23, #100, #117, #211, #241, #248, #252

12. Сообщение от Ано ним (?), 29-Мрт-24, 23:17 +1 +/–

> сервер OpenSSH, в котором используется liblzma
Это не правда. В sshd не используется liblzma. SSHd _можно_ собрать, слинковав с libsystemd, который в свою очередь, зависит от liblzma. Читайте оригинал сообщения https://www.openwall.com/lists/oss-security/2024/03/29/4

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #53

13. Сообщение от sesto (?), 29-Мрт-24, 23:23 –7 +/–

Да что ты говоришь? Это же чушь несусветная. RHEL или MS напрямую у тебя берут данные и отдают кому надо.
А здесь ты можешь смотреть, что и происходит. Так Базар и развивается, а за Собором в MS.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #144, #354

14. Сообщение от Alexander_R (ok), 29-Мрт-24, 23:24 +3 +/–

В обсуждении на openwall много чего есть из не упомянутого в новости.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

15. Сообщение от Аноним (15), 29-Мрт-24, 23:27 +10 +/–

Все ок, но про одобрение каждой строчки кода уже слишком жирно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24

16. Сообщение от Аноним (15), 29-Мрт-24, 23:29 +4 +/–

Вообще xz это зло: https://www.nongnu.org/lzip/xz_inadequate.html

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41, #42

17. Сообщение от birdie (ok), 29-Мрт-24, 23:29 –5 +/–

sshd дёргает метод из systemd, который дёргает liblzma.
То, что вы в своём Gentoo/LFS/Devuan извращаетесь, не имеет отношения к новости.
Она про Fedora 40/Rawhide/Debian SID, и they are all f*cked.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30, #43, #58, #108

18. Сообщение от Аноним (18), 29-Мрт-24, 23:29 +10 +/–

Каким боком здесь безопасность линукса? Это не дыра в ядре, не эскалация привилегий, а банальный троян в пользовательском приложении.
В винде же троянов не бывает, а майкрософт лично проверяет код каждого экзешника в интернете. Не забудь принять таблетки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19, #20, #68

19. Сообщение от semester (ok), 29-Мрт-24, 23:33 +1 +/–

ну объективно говоря от этого приложения зависит пол системы. Может я не прав, но получается ты ставишь "winrar" и половина винды от него зависит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #27, #146, #313

20. Сообщение от birdie (ok), 29-Мрт-24, 23:46 –13 +/–

> В винде же троянов не бывает, а майкрософт лично проверяет код каждого экзешника в интернете. Не забудь принять таблетки.
Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет, что они существуют.
> а майкрософт лично проверяет код каждого экзешника в интернете
Я говорил про software, который создаёт и распространяет сама MS официально. Мне плевать на то, кто и что "распространяет в Интернет". Начните с умения читать и понимать написанное - у вас с этим проблемы.
> Не забудь принять таблетки.
Попробуй мне это в лицо сказать, анонимный тролль.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #25, #28, #36, #38, #172, #217, #412

22. Сообщение от Аноним (28), 29-Мрт-24, 23:47 +6 +/–

Gentoo проблема с sshd не аффектит, так как там не используют патчи для systemd-notify: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094#c3

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #407

23. Сообщение от твёрдый ветер (?), 29-Мрт-24, 23:48 +1 +/–

>В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту
можно поподробнее о том как крупные корпорации одобряют каждую строчку кода ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #118

24. Сообщение от birdie (ok), 29-Мрт-24, 23:49 –1 +/–

Да, примерно так.
Причём код проверяет не один человек, а несколько.
Жирно - это к open source. На первой странице Opennet это уже вторая (!) новость про то, что ни черта никто не проверяет, а эту уязвимость просто случайно (!) обнаружили, потому что код трояна был кривой и вызывал задержки в работе SSHD.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #125

25. Сообщение от Аноним (18), 29-Мрт-24, 23:56 +4 +/–

> Примеры backdoors в продуктах Microsoft в студию.
Сначала ты примеры backdoors в продуктах Linux Foundation в студию.
> Я говорил про software, который создаёт и распространяет сама MS официально. Мне плевать на то, кто и что "распространяет в Интернет".
То есть все люди на винде пользуются исключительно приложениями от MS и никакими другими? Ну-ну.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #40, #45

27. Сообщение от Аноним (18), 30-Мрт-24, 00:02 +2 +/–

Да, но если так же скомпрометировать популярную библиотеку на винде, разница будет лишь в том, что копия вирусной dll-ки будет лежать в комплекте у каждого отдельного приложения.
Что кстати ЗНАЧИТЕЛЬНО усложняет процесс обезвреживания, ведь нельзя просто обновить 1 пакет, а придется обновлять КАЖДОЕ приложение у которого эта dll в комплекте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #148

28. Сообщение от Аноним (28), 30-Мрт-24, 00:07 +1 +/–

> Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет, что они существуют.
Вы серьёзно? Тут даже сложно комментировать ибо вы похоже очень многое пропустили... Вы хоть знаете фамилию президанта РФ? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #286

29. Сообщение от Аноним (33), 30-Мрт-24, 00:07 +/–

> Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.
xz --version
xz (XZ Utils) 5.4.1
liblzma 5.4.1
Хакеры 0 : 1 Debian stable

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #46, #86

30. Сообщение от Аноним (30), 30-Мрт-24, 00:10 +8 +/–

Учитывая, что разрабатывают openssh разработчики openbsd, то вопрос кто тут извращается с libsystemd, остаётся открытым

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

32. Сообщение от Аноним (30), 30-Мрт-24, 00:15 +/–

В pkgsrc уже откатились - https://pkgsrc.se/archivers/xz
Но в самом образе NetBSD вообще 5.2.4 версия

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #385

33. Сообщение от Аноним (33), 30-Мрт-24, 00:18 +4 +/–

Во! Если уж бэкдор, то только хардварный, только хардкор! Не допускать васянство!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #392

34. Сообщение от Аноним (34), 30-Мрт-24, 00:20 +21 +/–

Чувак не виноват, ему просто copilot сделал автоподстановку и он случайно нажал на Tab

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #95

35. Сообщение от Skullnet (ok), 30-Мрт-24, 00:25 +1 +/–

xz --version
xz (XZ Utils) 5.2.5
liblzma 5.2.5
У меня ещё древнее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #48

36. Сообщение от Аноним (36), 30-Мрт-24, 00:28 +/–

Держи. Не захлебнись только.
https://www.cvedetails.com/vulnerability-list/vendor_id-26/p...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #50, #71

38. Сообщение от Аноним (38), 30-Мрт-24, 00:28 +1 +/–

"Предполагаемый автор бэкдора" и у MS отметился
https://learn.microsoft.com/en-US/cpp/overview/whats-new-cpp...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #77

39. Сообщение от Аноним (-), 30-Мрт-24, 00:32 Скрыто ботом-модератором +/–

> В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd
Бекдору больше месяца. Вышло две версии, которые даже успели порастаскивать в дисты.
А куда смотрели тысячи глаз?
Ведь код же открыт, каждый мог его посмотреть и убедиться в его надежности.
Неужели свидетели надежности опенсорса не читают сорцы при обновлении?

Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Аноним (40), 30-Мрт-24, 00:32 +/–

Ну вот буквально несколько дней назад нашли в Fedora (продукте redhat, платинового спонсора lf). Прув: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=p...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

41. Сообщение от Аноним (40), 30-Мрт-24, 00:34 +1 +/–

А что насчёт zstd? Бяка типа xz или что-то приятное типа gz/lz? Есть информация?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #82, #233

42. Сообщение от Аноним (42), 30-Мрт-24, 00:34 +/–

Слишком много букв. А что они там предлагают для long-term archiving?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #55, #62, #258

43. Сообщение от Аноним (43), 30-Мрт-24, 00:34 +14 +/–

Нету в проекте openssh никаких обращений к libsystemd и тем более "методов".
Умники-разумники из популярных дистро вместо того, чтобы самим реализовать достаточную часть протокола — вызвать getenv("NOTIFY_SOCKET"), открыть указанный там сокет, написать туда в нужный момент 8 байт ("READY=1\n"), закрыть сокет и вызвать unsetenv() — решили слинковаться с libsystemd ради одной функции, совершающей вышеперечисленные шаги, и притащили в адресное пространство вагон зависимостей этой libsystemd вроде libcurl, liblzma, libmount и ещё десятка чего-то там. Этим бекдор и пользуется, вмешиваясь в работу dynamic linker, о чём довольно подробно написано в рассылке oss-security.
Умник №1: https://salsa.debian.org/ssh-team/openssh/-/commit/59d17e908...
Умник №2: https://src.fedoraproject.org/rpms/openssh/blob/176421c4e42b...
Функция sd_notify() не дёргает liblzma, для бекдора этого не надо. Т. н. "systemd notifications" можно реализовать без libsystemd, и этот протокол применяется не только в systemd (ещё в QEMU).
Извращение добавили те дистро, что впатчили сборку с libsystemd. Прежде чем писать, сначала лучше проверяйте сведения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #106

44. Сообщение от birdie (ok), 30-Мрт-24, 00:36 +3 +/–

Всё ещё веселей: https://github.com/google/oss-fuzz/issues/11760#issuecomment...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #250

45. Сообщение от Fyjy (-), 30-Мрт-24, 00:37 –2 +/–

Да легко!
Как насчет Bvp47 ?
По слухам связан с NSA, но проверить естественно невозможно.
"287 organizations in 45 countries and went largely undetected for over 10 years"
Вот оно качество поделок от линукс фаундейшн, не зря же Линус получай лям в месяц, ну.. от уважаемых партнеров.
А еще можно вспомнить уязвимости в драйверах.
Да практически каждую вторую RCE в ядре с получением рута можно считать бекдором, замаскированным под "сишник опять обделался и вышез за границы буфера"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #51

46. Сообщение от Аноним (48), 30-Мрт-24, 00:38 +/–

Все версии за 2 года содержат код этого автора, у тебя слишком сырая версия.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

47. Сообщение от Аноним (47), 30-Мрт-24, 00:39 +/–

fedora
$ xz --version
xz (XZ Utils) 5.4.4
liblzma 5.4.4
ubuntu
$ xz --version
xz (XZ Utils) 5.2.5
liblzma 5.2.5
debian
$ xz --version
xz (XZ Utils) 5.4.1
liblzma 5.4.1
Фух. Пронесло =)

Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Аноним (48), 30-Мрт-24, 00:40 –1 +/–

А вот у тебя 4 летняя, но сидеть на старостабильной ветке и не ставить на неё обновления старостабильной ветки тоже аутизм

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #65

49. Сообщение от Аноним (42), 30-Мрт-24, 00:41 +/–

> Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.
Ну, ладно.
> https://security.archlinux.org/ASA-202403-1
А эти пишут, что "The problem has been fixed upstream in version 5.6.1."

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

50. Сообщение от birdie (ok), 30-Мрт-24, 00:45 +1 +/–

Разницу между malware/backdoor и vulnerability чувствуете? Видимо, вообще нисколько.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

51. Сообщение от Аноним (18), 30-Мрт-24, 00:45 +6 +/–

Так падажи, но если считать дыры за умышленные бэкдоры, то винда тогда по этому критерию чемпион вне конкуренции получается. А если еще учесть, что довольно много кода в ядро вносят работники MS...
Тут как говорится, если слишком тщательно расследовать дело, то можно случайно выйти на себя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #57

53. Сообщение от Ivan_83 (ok), 30-Мрт-24, 00:50 +2 +/–

Тоже не понимал причём тут xz, пришлось читать оригинал:
> openssh does not directly use liblzma. However debian and several other
> distributions patch openssh to support systemd notification, and libsystemd
> does depend on lzma.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #239

54. Сообщение от Аноним (40), 30-Мрт-24, 00:55 +3 +/–

"Эти" рекомендуют ставить не просто 5.6.1, а 5.6.1-2 , в которой бинарник собирается из архива, взятого непосредственно с гитхаба, а не из официального источника. Судя по новости, этот бинарник без проблем. См. https://gitlab.archlinux.org/archlinux/packaging/packages/xz...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #60

55. Сообщение от Аноним (18), 30-Мрт-24, 01:04 +1 +/–

Ничего конкретного.
Но вообще любой шарящий в теме человек знает, что для действительно длительного и надежного хранения данных нужна избыточность. То есть желательно использовать что-то типа Parchive.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

56. Сообщение от Аноним (56), 30-Мрт-24, 01:04 +1 +/–

Хорошо, что использую Debian stable, где, как говорят "эксперты", все протухло и он не нужен.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59, #73, #85

57. Сообщение от Fyjy (-), 30-Мрт-24, 01:06 –3 +/–

А про Bvp47 есть что сказать?
> то винда тогда по этому критерию чемпион вне конкуренции получается.
Эм... как-то не получается...
Linux Kernel - 3876 vulnerabilities found
cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/Linux-Linux-Kernel.html
Windows 10 - 3080 vulnerabilities found
cvedetails.com/vulnerability-list/vendor_id-26/product_id-32238/Microsoft-Windows-10.html
Windows 11 - 600 vulnerabilities found
сvedetails.com/vulnerability-list/vendor_id-26/product_id-102217/Microsoft-Windows-11.html
Правда если брать CVSS 8+, то ситуация чуть другая - 222 vs 634 vs 125 и ядро занимает уже второе место, а не первое.
Но, это только кернел в сравнении со всей виндой.
Ведь кроме кернела есть еще куча штук, которые есть в любом линуксе. Вроде исков. Или либс.
А вель есть еще куча DE разной степени популярности и качества кода.
Так что твое утверждение совсем неоднозначное.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #61, #67, #121

58. Сообщение от Аноним (40), 30-Мрт-24, 01:06 +4 +/–

> То, что вы в своём Gentoo/LFS/Devuan извращаетесь, не имеет отношения к новости.
Красиво подгорает! Перечитываю снова и снова, не могу налюбоваться!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

59. Сообщение от Аноним (40), 30-Мрт-24, 01:16 +15 +/–

Хорошо или нет, но именно дебиан (среди прочих) пропатчил исходники openssh таким образом, что sshd стал уязвим. У тех, кто не считает себя умнее разработчиков openssh и не оверпатчит изначальный софт вдоль и поперёк, проблемы нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

60. Сообщение от Fyjy (-), 30-Мрт-24, 01:16 +2 +/–

Я буду громко смеяться, если в "пофикшенном" бинарнике будет второй бекдор, но более качественный.
Напоминает плохо спрятанный мелкий косяк, который естественно находится, а потом начинаются торги, извинения и заглаживания вины.
Хотя сейчас вообще непонятно откуда код более проверенный.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #63

61. Сообщение от Аноним (18), 30-Мрт-24, 01:18 +3 +/–

Здесь стоит опять же учитывать, что например злополучный ядерный модуль ksmbd, в котором уязвимости находят пачками, написан для протокола от MS и сопровождается людьми из того же MS.
Хотя опять же, выдавать уязвимости за умышленные бэкдоры это удел конспиролухов. В такое лучше не скатываться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #64, #80

62. Сообщение от Аноним (40), 30-Мрт-24, 01:21 +/–

Они говорят, что gzip, bzip2 и lzip "в разы" лучше в плане детекта различного рода проблем, появляющихся в архивах со временем, чем xz (детект ошибок в битых архивах и прочее подобное).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

63. Сообщение от Аноним (40), 30-Мрт-24, 01:27 +/–

В принципе вы правы. Но тогда уж откатываться на версию двухлетней давности. Интересно, за эти два года там были изменения, которые реально полезны, а не просто "рефакторинг в свободное время"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

64. Сообщение от Fyjy (-), 30-Мрт-24, 01:27 –2 +/–

> например злополучный ядерный модуль ksmbd, в котором уязвимости находят пачками, написан для протокола от MS и сопровождается людьми из того же MS.
Ну так не принимайте от них модули.
А то уже был прецедент с деревянным конем в подарок..
> Хотя опять же, выдавать уязвимости за умышленные бэкдоры это удел конспиролухов. В такое лучше не скатываться.
Я и не собирался) Просто почти в каждой теме про RCE в ядре, начинаются споры "а это просто факап или намеренный бекдор".
Понятно что не стоит считать злым умыслом обычную глупость или невнимательность, но даже кол-во обычных ошибок просто удручает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #69

65. Сообщение от Skullnet (ok), 30-Мрт-24, 01:30 +1 +/–

> А вот у тебя 4 летняя, но сидеть на старостабильной ветке и
> не ставить на неё обновления старостабильной ветки тоже аутизм
У меня самый свежий Linux Mint вообще-то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #221

66. Сообщение от Аноним (66), 30-Мрт-24, 01:36 –2 +/–

Ну так себе, для любителей всяких current/testing/unstable версий.
Хорошо что выявили довольно быстро, если бэкдор имел более скрытые особенности могло бы годами так лежать незаметно.
После такого проекту вообще нельзя больше доверять и надо его исключить из состава топ дистров.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

67. Сообщение от твёрдый ветер (?), 30-Мрт-24, 01:38 +1 +/–

так уязвимости ведь разные бывают
- DoS (Denial of Service / отказ в обслуживании) ( эксплойт уязвимости приводит к DoS устройства);
- Обход чего-либо (например, пароля для входа в систему);
- Исполнение кода (возможность злоумышленником выполнить какую-то команду на устройстве жертвы);
- Повреждение памяти;
- Доступ к информации (имеется в виду секретная информация, полученная за счет уязвимости);
- Увеличение привилегий (в частности для вредоносного ПО);
- Переполнение (буфера);
у линукса их больше но это по большей части отказ в обслуживании что неприятно но терпимо, в то время как у винды доминирует увеличение привилегий и доступ к информации.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #75

68. Сообщение от Аноним (68), 30-Мрт-24, 01:39 +/–

Ну да, ядро же оно само по себе существует, ему же вообще ничего не нужно. Прикладное ПО? Зачем оно пользователям линукса?

А пока остаётся только ставить линукс и приговаривать: "This is fine"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #413

69. Сообщение от Аноним (18), 30-Мрт-24, 01:43 +2 +/–

> Ну так не принимайте от них модули.
Не, это не выход, так можно вообще перестать любой код принимать.
Есть жирный плюс в том, что пока модуль не загружен, наличие в нем дыр не имеет значения. То есть всем кто не пользуется SMB от его существования ни холодно ни жарко. Зато если модуль выкинуть, то прямо пострадают те, кому SMB таки нужен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

70. Сообщение от Аноним (68), 30-Мрт-24, 01:44 +9 +/–

Надо было xz на расте писать, с его наркохипанским синтаксисом никто ничего никогда бы не нашёл.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #187, #265

71. Сообщение от Аноним (-), 30-Мрт-24, 01:44 +/–

> Держи. Не захлебнись только.
Linux Kernel обгоняет винду десятку на 796 CVE
cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/Linux-Linux-Kernel.html
Так что пример явно так себе))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #83, #84

72. Сообщение от Аноним (68), 30-Мрт-24, 01:45 +2 +/–

Тут цельное селинукс кровавой црушнёй писано, да не смутит вас ник злыдня "под китайца"...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #78

73. Сообщение от Аноним (18), 30-Мрт-24, 01:49 +/–

Да заметили бы, только уже при расследовании реальных взломов. Но автор конечно действительно прокололся на мелочи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

74. Сообщение от Лутту (?), 30-Мрт-24, 01:51 +2 +/–

m4???
Невероятно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #154

75. Сообщение от Аноним (-), 30-Мрт-24, 01:54 –1 +/–

> у линукса их больше но это по большей части отказ в обслуживании что неприятно но терпимо, в то время как у винды доминирует увеличение привилегий и доступ к информации.
Если честно, мне лень искать и считать сколько у кого RCE, сколько privilege escalation.
Как это сделать быстро я не нашел. Поэтому поверю вам на слово.
Но в ядре хватает и того и другого. А это только чистое ядро.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

76. Сообщение от Oe (?), 30-Мрт-24, 01:54 –2 +/–

Какого черта какой то ноунейм liblzma либе доступно чтение и запись в любую область памяти sshd? Это безопасность линукс такая? Ей богу лучше бы javascript использовали пользы было бы больше чем на сях писать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #137, #158

77. Сообщение от birdie (ok), 30-Мрт-24, 01:57 +/–

Ужасы.
С этого момента все его коммиты за последние пару лет раз 10 будут проверять :-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #116

78. Сообщение от Аноним (66), 30-Мрт-24, 02:17 –1 +/–

Матчасть бы изучил, умник.
Селинукс изобрели в АНБ, и по словам Сноудена они как раз конкурируют с црушниками в плане ИБ.
У первых цель - безопасность, а у вторых внедрение зондов и шпионаж.
Но для среднего васяна - все западные агенства это одна большая конспирология.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #96, #140, #152, #153

79. Сообщение от Аноним (79), 30-Мрт-24, 02:57 +1 +/–

Нужно заставить гада извиниться на камеру

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #105, #381, #410

80. Сообщение от iPony129412 (?), 30-Мрт-24, 03:25 +1 +/–

> злополучный ядерный модуль ksmbd, в котором уязвимости находят пачками сопровождается людьми из того же HMS
Нет. Это не Microsoft пишет его.
И не более злополучен чем остальное ядро.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

81. Сообщение от soarin (ok), 30-Мрт-24, 03:34 +/–

brew upgrade
xz 5.6.1 -> 5.4.6
https://github.com/Homebrew/homebrew-core/pull/167512

Ответить | Правка | Наверх | Cообщить модератору

82. Сообщение от Bklrexte (ok), 30-Мрт-24, 03:38 +1 +/–

У lz4 и zstd один и тот же автор, так что скорее приятное.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

83. Сообщение от Skullnet (ok), 30-Мрт-24, 03:44 +/–

Мы не знаем сколько на самом деле CVE в винде, потому что винда не open-source. Скорее всего в 10 раз больше. К тому же доверия closed-source софту, а особенно софту от биг-корпораций нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #110

84. Сообщение от Аноним (84), 30-Мрт-24, 04:05 +5 +/–

>Linux Kernel обгоняет винду десятку на 796 CVE
Абсолютно "кривая" логика.
Если сравнивать *конкретную* версию винды (Win10), то надо брать *конкретную* версию ядра, например 4.19.х, выпущенную примерно одновременно с 10-кой. А если хочешь сравнить колличество CVE для всех Linux Kernel, то и для винды надо считать CVE для всех, начиная с Win95.
ИМХО так будет корректно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #120

85. Сообщение от Аноним (86), 30-Мрт-24, 04:07 +1 +/–

> He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise.
> Debian is currently looking into downgrading it even further, before the first contribution from the known bad actor, which may be an older 5.2 release (later ones were also cut by them), then reapplying only the security fixes that came later on top manually, for now.
OpenNet: "Я в безопасности, меня не касается, проблемы нет!!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

86. Сообщение от Аноним (86), 30-Мрт-24, 04:08 +1 +/–

Угу.
> He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise.
> Debian is currently looking into downgrading it even further, before the first contribution from the known bad actor, which may be an older 5.2 release (later ones were also cut by them), then reapplying only the security fixes that came later on top manually, for now.
OpenNet: "Я в безопасности, меня не касается, проблемы нет!!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

87. Сообщение от Аноним (87), 30-Мрт-24, 04:14 –1 +/–

> This repository has been disabled.
Посжимали и хватит. F

Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от Аноним (88), 30-Мрт-24, 05:08 +1 +/–

>патч для поддержки systemd-notify, приводящий к связыванию sshd к liblzma
Я так понимаю, что если был любой другой инит, а не системда + патч, то этот бекдор не проблема? Сами дураки, поставили инит в котором пропатчив один из модулей подвергают атаке все сразу.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #90, #91

89. Сообщение от Аноним (89), 30-Мрт-24, 05:20 +3 +/–

А сколько таких, которые не попались?!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93

90. Сообщение от glad_valakas (?), 30-Мрт-24, 05:23 +/–

вот devuan, какой-то рудимент от systemd имеется:
S ldd /usr/sbin/sshd
        linux-vdso.so.1 (0x00007fffc09b0000)
        libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f5395d58000)
        libwrap.so.0 => /usr/lib/x86_64-linux-gnu/libwrap.so.0 (0x00007f5395d4c000)
        libaudit.so.1 => /lib/x86_64-linux-gnu/libaudit.so.1 (0x00007f5395d1b000)
        libpam.so.0 => /lib/x86_64-linux-gnu/libpam.so.0 (0x00007f5395d09000)
        libsystemd.so.0 => /lib/x86_64-linux-gnu/libsystemd.so.0 (0x00007f5395c62000)
        libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007f5395c32000)
        libgssapi_krb5.so.2 => /usr/lib/x86_64-linux-gnu/libgssapi_krb5.so.2 (0x00007f5395be0000)
        libkrb5.so.3 => /usr/lib/x86_64-linux-gnu/libkrb5.so.3 (0x00007f5395b06000)
        libcom_err.so.2 => /lib/x86_64-linux-gnu/libcom_err.so.2 (0x00007f5395b00000)
        libcrypto.so.3 => /usr/lib/x86_64-linux-gnu/libcrypto.so.3 (0x00007f539567e000)
        libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x00007f539565f000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f539547c000)
        libnsl.so.2 => /usr/lib/x86_64-linux-gnu/libnsl.so.2 (0x00007f5395461000)
        libcap-ng.so.0 => /lib/x86_64-linux-gnu/libcap-ng.so.0 (0x00007f5395459000)
        libcap.so.2 => /lib/x86_64-linux-gnu/libcap.so.2 (0x00007f539544d000)
        libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f5395448000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f5395ee6000)
        libpcre2-8.so.0 => /usr/lib/x86_64-linux-gnu/libpcre2-8.so.0 (0x00007f53953ac000)
        libk5crypto.so.3 => /usr/lib/x86_64-linux-gnu/libk5crypto.so.3 (0x00007f539537f000)
        libkrb5support.so.0 => /usr/lib/x86_64-linux-gnu/libkrb5support.so.0 (0x00007f5395371000)
        libkeyutils.so.1 => /lib/x86_64-linux-gnu/libkeyutils.so.1 (0x00007f539536a000)
        libresolv.so.2 => /lib/x86_64-linux-gnu/libresolv.so.2 (0x00007f5395359000)
        libtirpc.so.3 => /lib/x86_64-linux-gnu/libtirpc.so.3 (0x00007f5395329000)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #113, #225

91. Сообщение от Аноним (91), 30-Мрт-24, 05:24 +/–

Да

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

92. Сообщение от Аноним (92), 30-Мрт-24, 05:38 +3 +/–

a/xz-5.6.1-x86_64-2.txz: Rebuilt.
       Seems like a good idea to build this from a git pull rather than the signed
       release tarballs. :-)
       The liblzma in the previous packages were not found to be vulnerable by the
       detection script, but I'd rather not carry the bad m4 files in our sources.
       Here's a test script for anyone wanting to try it:
       if hexdump -ve '1/1 "%.2x"' /lib*/liblzma.so.5 | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 ; then
       echo probably vulnerable
       else
       echo probably not vulnerable
       fi
Вот вам код для проверки от Патрика.

Ответить | Правка | Наверх | Cообщить модератору

93. Сообщение от BrainFucker (ok), 30-Мрт-24, 06:33 +1 +/–

А я-то думаю чего с годами потребление памяти и другая требовательность к ресурсам растёт даже у консольных утилит...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #166

95. Сообщение от Аноним (95), 30-Мрт-24, 07:40 +1 +/–

Да да, приходиш в жкх, а почему вы мне так много начислили? А это не мы, это программа так сделала ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #208

96. Сообщение от Аноним (68), 30-Мрт-24, 07:44 +2 +/–

Вот и сам изучи матчасть, "безопасность" -- морковка для ослика, а вот поди разгадай как меняется логика функций в зависимости от последовательности данных и условий во времени. Это тебе не васян-троян, это ещё могшие на логическую обфускацию индусы. И слово "безопасности" в названии конторы это не про вашу безопасность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #133, #142

97. Сообщение от Аноним (98), 30-Мрт-24, 07:51 +5 +/–

> в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.
Вот! В этом месте и надо отлавливать вредителей.
Ещё одно место это JIT код который не собирается с -fPIE надо искоренить.

Ответить | Правка | Наверх | Cообщить модератору

98. Сообщение от Аноним (98), 30-Мрт-24, 07:55 +1 +/–

> И как понять что тот бекдор успел натворить? Если он больше месяца существует.
Audit + Accounting + MAC и логи на другой сервер, который без бекдора с xz. Тогда есть шанс что-то увидеть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #101, #333

99. Сообщение от iCat (ok), 30-Мрт-24, 07:57 –1 +/–

libsystemd
Для меня это уже повод насторожиться

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #103

100. Сообщение от Bonbon (?), 30-Мрт-24, 08:04 +1 +/–

> Почти все дистрибутивы, за исключением, может быть, RHEL, торопятся выложить пакеты из upstream, никогда не проверяя, что исходный код не был затроянен.
К вопросу о RHEL:
(1) We built 5.6.0 for Fedora 40 & 41.  Jia Tan was very insistent in
emails that we should update.
(2) We got reports later of a valgrind test failure.  I also saw it
myself in my own projects that use liblzma.  We notified Jia Tan of
this.
(3) Since the valgrind failure pointed to something with ifuncs, using
'./configure --disable-ifuncs' was used to fix this in F40 & F41.
(4) xz 5.6.1 was released with a fix for the valgrind failure.
(5) Fedora 40 was now in beta so we kept 5.6.0 + --disable-ifuncs.
Fedora 41 was updated to 5.6.1 (enabling ifuncs again).
And now with the benefit of hindsight ...
In step (1) we worked in good faith with upstream.  Given how
obfuscated the injection is, it's very unlikely we would have found
the problem even if we'd spent days inspecting the tarball.  (And the
initial step of injection is *not* in git, so forget about reviewing
git commits.)
The valgrind failure (2) was caused by a bug in the back door.
Disabling ifuncs in (3) disabled the back door, because I think it
relies on ifuncs to do its malware, but in any case the obfuscated
injection script explicitly skips injection if ifuncs are disabled.
Step (4) fixed the back door valgrind failure.
The Fedora 40 beta freeze in (5) meant we got lucky for F40, not so
much for F41.
https://lists.fedoraproject.org/archives/list/devel@lis.../

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #168

101. Сообщение от Аноним (98), 30-Мрт-24, 08:04 +/–

https://www.opennet.me/openforum/vsluhforumID10/5622.html
Написал скриптик и подправил /etc/inittab для исследования CAP. В результате теперь pscap не имеет процессов с full привилегиями. Все процессы пользователя root в системе имеют только необходимые и достаточные привилегии для своей работы. В логах:
zgrep -h 'Operation not permmited' /var/log/* |sort |uniq
появляются сообщения о привышении процессом необходимых ему привилегий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

102. Сообщение от вася (??), 30-Мрт-24, 08:04 +/–

Интересно, на сколько лет посадят писателя этого бэкдора?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #104, #210, #227

103. Сообщение от Аноним (98), 30-Мрт-24, 08:07 +/–

А для меня расслабится. Использую дистр без сысды, дбас, полкитды, вяленого.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #284

104. Сообщение от Вова (?), 30-Мрт-24, 08:12 +/–

Закон дышло, чужого - посадим, своего - наградим: https://tass.ru/obschestvo/17021313
"действующие в интересах РФ на ее территории и за рубежом, должны быть освобождены от ответственности, этот вопрос планируется проработать"
У них тоже, наверно так. Распространявшего бекдор в интересах спецслужбы непосадят. Он же не шпион, а разведчик.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #107

105. Сообщение от Sw00p aka Jerom (?), 30-Мрт-24, 08:24 +2 +/–

ну попробуй, заставь сотрудника правительственной связи ее величества это сделать :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #281, #290

106. Сообщение от Аноним (106), 30-Мрт-24, 08:27 +2 +/–

Ты всё юлишь, но не хочешь сказать правду, что systemd и есть бекдор. Всё об этом знали уже очень давно, но нмкто не хочет признавать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #332

107. Сообщение от Sw00p aka Jerom (?), 30-Мрт-24, 08:35 +/–

>Он же не
ну да, прям как, чтобы ликвидировать кучку ТТ, надо было потравить тучу хостейдж, ага медальку дайте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

108. Сообщение от Аноним (98), 30-Мрт-24, 08:38 +1 +/–

Gentoo: "Newer releases were signed by a potentially compromised upstream maintainer"!
Забанили все релизы подписанные этим автором:
https://packages.gentoo.org/packages/app-arch/xz-utils

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #114

109. Сообщение от Аноним (106), 30-Мрт-24, 08:40 +1 +/–

Хомы начинают прозревать, а вдруг не все выходы за границы буфера это просто ошибка? И никакой р-ст не спасёт от злонамеренного использования.

Ответить | Правка | Наверх | Cообщить модератору

110. Сообщение от Аноним (-), 30-Мрт-24, 09:01 +2 +/–

> К тому же доверия closed-source софту, а особенно софту от биг-корпораций нет.
Ну да, а доверие к опенсорс софту  - есть?))
У нас тут новость про бекдор, вообще-то!
Который не заметило ни 'сообщество', ни мейнтейнеры, которые по идее должны быть более компетентные)
Это раз.
Исходники винды закрыты весьма условно.
Во-первых, кому надо их отдают на аудит.
Во-вторых, исходники винды утекали и не раз. Но даже после этого никто не нашел там бекдоров и заявил об этом.
Это два.
Ну а три - твоя оценка в 10 раз с потолка.
Никто не знает сколько багов ядра были потенциальными CVE которые просто исправили.
Это как раз пример, что (и) в опенсорсе никто ни за что не отвечает и доверять им нельзя, не смотря что код дают на блюдечке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #127, #214

111. Сообщение от Аноним (-), 30-Мрт-24, 09:09 –7 +/–

Какой позор для опенсорса...
Внезапно оказалось, что открытый код и контролируемые репозитории не спасают от бекдоров...
У фанатиков срочный перерыв на переписывание методичек))

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #134, #192

113. Сообщение от Аноним (48), 30-Мрт-24, 09:15 +3 +/–

Сколько же там дерьма напихано, фу. Правильное у меня мнение было об этом дистре. Вот в генту без лишнего
ldd /usr/sbin/sshd
        linux-vdso.so.1 (0x00007ffe63093000)
        libcrypt.so.2 => /usr/lib64/libcrypt.so.2 (0x00007f787309d000)
        libcrypto.so.3 => /usr/lib64/libcrypto.so.3 (0x00007f7872a00000)
        libz.so.1 => /usr/lib64/libz.so.1 (0x00007f7873083000)
        libc.so.6 => /lib64/libc.so.6 (0x00007f7872824000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f78731e9000)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #196, #242

114. Сообщение от сщта (?), 30-Мрт-24, 09:23 +/–

Системд нет,екзедутилс 5.4.6-r1. Все норм.Бггг.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #122

116. Сообщение от ss (??), 30-Мрт-24, 09:27 +/–

"история про неусыпное око миллионов наблюдающее за исходным кодом 2.0"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

117. Сообщение от Аноним (117), 30-Мрт-24, 09:27 +/–

> В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует.
Ага, наивный. Работал я в крупных компаниях. Строчки там одобряют неглядя(за редким исключением), потому что вчера надо было. И всегда есть с десяток бекдоров как обойти это ревью или прислать изменение от другого сотрудника. Например как-то отклонил ревью у коллеги потому что он делал ерунду, велел все переделать, он нашёл другого коллегу из смежного отдела, который не стал париться и просто заапрувил. Не говоря уже о бекдорах которые сами эти крупные компании вставляют. Что у эппла, что у мелкософта было гораздо больше казусов пожестче xz. Гугл и сам на линуксе сидит.
Очевидно, проблема принципиально не решаема. Как писать простой код который будет легко проверить, собрать и верифицировать - никто не знает. Читать простыни и выискивать трояны никто не согласен, да и с таким объёмом кода невозможно. А от минимализма уже давно отказались.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #199

118. Сообщение от ss (??), 30-Мрт-24, 09:28 +/–

Джобс считал что так надо делать. Как там сейчас - хз

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

119. Сообщение от NameName (?), 30-Мрт-24, 09:31 +/–

На домашних машинах может быть столько криптовалюты что целой группе авторов хватит до конца жизни

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #162

120. Сообщение от Анонин (-), 30-Мрт-24, 09:38 +1 +/–

Абсолютно "кривая" логика.
Сравнивать только ядро с полноценной операционной системой.
Нужно брать конкретную десктоп версию дистрибутива, например Дебиан или Федора.
И суммировать все CVE в софте, который идет из коробки и без которого он неюзабелен.
Потому что в список винды попадает всякая фигня вроде Windows Contacts и Windows Fax Compose Form.
А в список ядра даже уязвимости в иксах/вейланде не попадают.
ИМХО так будет корректно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

121. Сообщение от Аноним (121), 30-Мрт-24, 09:44 +/–

Стоп, а почему по Винде ты взял только две последние версии? Опять подгоняешь условия задачи под нужный ответ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #147

122. Сообщение от сщта (?), 30-Мрт-24, 09:45 +/–

Кажется откатывается на 5.4.2

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

123. Сообщение от Аноним (123), 30-Мрт-24, 09:51 +4 +/–

>Код активации бэкдора был спрятан в m4-макросах из файла build-to-host.m4
Не удивлюсь, если во всех проектах на automake, включая rpm и firejail, такое происходит. Потому что automake - это специальное говно, к которому никто прикасаться и даже смотреть не будет. А те, кто упорствует в своей ереси по использованию automake - пособники бэкдорщиков.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #296

124. Сообщение от Аноним (123), 30-Мрт-24, 09:53 –1 +/–

>Активирующие бэкдор m4-макросы входили в состав tar-архивов релизов, но отсутствовали в Git-репозитории.
Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #193, #195

125. Сообщение от Аноним (125), 30-Мрт-24, 10:00 –2 +/–

Ты лично видел, как проверяли всей оргией каждую строчку кода? Готов имена назвать конкретных тимлидов, которые всё-всё проверили и последствия их кодинга никогда не обсуждались на каком-нибудь Black Hat?
Проблема очевидная - недостаток ментейнеров (или их квалификации) в дистрибутивах, раз уж это дошло до апстрима. Хочешь побыть Линусом, одобряя каждую версию пакета, подставляя свою репутацию и убивая в это время? Вперёд, никто не держит. Мы потом всем опеннетом вместе посмеёмся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

126. Сообщение от сщта (?), 30-Мрт-24, 10:06 +1 +/–

Так это в Сид каком-нибудь только прилетело,навряд ли в обычный Дебиан попало.

Ответить | Правка | Наверх | Cообщить модератору

127. Сообщение от Аноним (125), 30-Мрт-24, 10:06 +/–

Фишка опенсорса в том, что за тебя сделали работу по реализации функционала и отдали тебе КОД. Берёшь и переписываешь его так, как тебе надо, и никто тебе ничего не сделает, пока как отдельный продукт выставлять не будешь в случае с GPL. Под MIT, BSD и публичным доменом всё ещё проще.
А теперь покажи, как ты поправишь майкрософтский драйвер или сетевой стек под виндовое ядро, без кода то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #135, #329

128. Сообщение от Аноним (-), 30-Мрт-24, 10:08 +3 +/–

Эта либа себя дискредитировала.
Jia Tan коммитил в течение для двух лет и любой из этих коммитов не вызывает доверия.
Нужна замена. Более надежная. Например написанная на расте.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130, #341

130. Сообщение от Аноним (166), 30-Мрт-24, 10:09 +1 +/–

В расте и обфусцировать бэкдор не надо будет - в коде просто никто и так не разберётся...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #132, #139, #157

132. Сообщение от Аноним (106), 30-Мрт-24, 10:11 +/–

Код уже написан и уже внедрен в какой-то мутный драйвер из 100 строк.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

133. Сообщение от Аноним (125), 30-Мрт-24, 10:12 +2 +/–

Тогда почему ты пишешь от Анонима, а не зарегистрировался на форуме по телефону и паспорту, как порядочный гражданин?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

134. Сообщение от Аноним (121), 30-Мрт-24, 10:13 +1 +/–

Так бекдор, внезапно, в бинарнике! Вот тебе и закрытый код.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #175

135. Сообщение от Аноним (-), 30-Мрт-24, 10:13 –1 +/–

> Берёшь и переписываешь его так, как тебе надо
> А теперь покажи, как ты поправишь майкрософтский драйвер
Стоп-стоп. Мы сейчас не про достоинства опенсорса.
А про то что аргумент "опенсорс безопаснее закрытого софта" мягко говоря спорный, хотя его используют практически все визионеры.
Потому что опенсорс - такое же {#}, если не большее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

136. Сообщение от Анонм (?), 30-Мрт-24, 10:14 +5 +/–

m4-макрос, дата редиза - 1977 год
Конечно использовать инструменты полувековой давно так безопасно!
Которые в последствии порождают (хотя честнее сказать высрыают) баш портянку такого вида

export i="((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +724)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|tr "\5-\51\204-\377\52-\115\132-\203\0-\4\116-\131" "\0-\377")|xz -F raw --lzma1 -dc|/bin/sh-dc|/bin/sh
Да за такой код, без комментариев "чего оно делает", нужно просто закрывать ПР без разговоров.
Хотя я вообще сомневаюсь, что этот кал кто-то читал.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #231, #299

137. Сообщение от Аноним (125), 30-Мрт-24, 10:15 +2 +/–

Иди сурсы читай. sshd напрямую эту библиотеку и не использует, просто какие-то гении присобачили к sshd systemd, а эта хрень уже тащит с собой чуть ли не весь интернет в зависимости. Просто sshd тут оказался апетитной добычей, а так по-факту под контроль можно взять всю твою систему, если подменить при линковке нужные функции уже в самом systemd.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #219

138. Сообщение от Аноним (166), 30-Мрт-24, 10:16 +/–

Тысячи глаз!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143, #150, #151

139. Сообщение от Аноним (-), 30-Мрт-24, 10:17 +2 +/–

В расте нет такого древнего легаси как m4 скрипты.
Там нормальная человекочитаемая система сборки.
> в коде просто никто и так не разберётся
Не судите, пожалуйста, по себе. Если вы неосилятор, это не значит всё тоже неосиляторы.
Кто захочет - тот в разберется в коде.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #183, #297, #321, #368, #373

140. Сообщение от Анонм (?), 30-Мрт-24, 10:17 +/–

Сноудену безоговорочно верить, себя не уважать.
Учитывая где он сейчас.
А то как-то получается, что почти все борцуны за большую свободу, в итоге оказываются с крепкой рукой в заднице от какого-то диктаторского или тоталитарного режима.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

141. Сообщение от n00by (ok), 30-Мрт-24, 10:19 +4 +/–

> Короче. Инцидент был и он в дистрибутивах был, которые никто в здравом
> уме не будет ставить на прод. А ломать домашние машины... которые
> по какой-то причине выставлены в сеть... ну это цель нужна и
> ждать подходящего момента... сомнительное удовольствие.
Протроянить Васяна, который собирает пакетики для "прода" - тянет на цель?
rosa2023.1-5.6.1-2 2024.03.30
rosa2023.1-5.6.1-1 2024.03.09
rosa2023.1-5.6.0-1 2024.02.25
rosa2023.1-5.2.9-1 2022.12.07

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #220, #404

142. Сообщение от Аноним (-), 30-Мрт-24, 10:20 –1 +/–

> И слово "безопасности" в названии конторы это не про вашу безопасность.
Разумеется! Но свою безопасность им тоже нужно как-то организовывать.
Например от коллег из дружественного Китая и РФ.
А раз им приходится пользоваться линуксом, который дыряв как носки срочника, то с этим пришлось что-то делать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

143. Сообщение от сщта (?), 30-Мрт-24, 10:20 +/–

Бывают и злые Васяны,ничего тут не сделаешь. Вон в Кеды тоже свину подложили и нчё всем нравится. Зато не Винда.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

144. Сообщение от n00by (ok), 30-Мрт-24, 10:22 +/–

Эпично, что "гуманитарий" уловил суть, а "технарь", слегка подвинутый на идеологии, пытается спорить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #365

145. Сообщение от zeecape (ok), 30-Мрт-24, 10:27 +3 +/–

"GitHub полностью заблокировал репозитории xz, xz-java и xz-embedded, которые теперь недоступны для анализа и загрузки прошлых версий"
Microsoft: Какой эксплойт? Вам просто показалось! ("Незаметно" убрали эксплойт)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #232

146. Сообщение от n00by (ok), 30-Мрт-24, 10:27 +/–

> ну объективно говоря от этого приложения зависит пол системы. Может я не
> прав
В формулировке ошибка: это компонент системы, а не приложение, как его пытался выставить анонимный тролль. По существу всё верно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

147. Сообщение от Аноним (147), 30-Мрт-24, 10:30 +/–

Потому что более ранние версии - EOL. Мы же не считаем дырки в ненужном начиная с первоядра 1991 года?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

148. Сообщение от n00by (ok), 30-Мрт-24, 10:31 +/–

> Да, но если так же скомпрометировать популярную библиотеку на винде, разница будет
> лишь в том
Разница в том, что для верности аналогии тебе придётся скомпрометировать библиотеку advapi32.dll. Так что вперёд.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

149. Сообщение от Анонм (-), 30-Мрт-24, 10:32 +/–

> Кроме того, в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.
Хахаха, а теперь расскажите мне, как в (типа) серьезных проектах используют автотесты, санитайзеры и фаззинг.
А никак! Если есть какая-то возможность их отключить, то их отключают, по просьбе какого-то васяна и это апрувит создатель проекта.
ps уверен потом такие же клооуны будут бухтеть
"зачем пихать проверки в компилятор? есть же куча санитайзеров и прочих инструментов, надо просто их использовать и будет вам счастье"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #167, #177, #370

150. Сообщение от sqrt (?), 30-Мрт-24, 10:32 +8 +/–

Как раз эти пресловутые "тысячи глаз" и сработали. Поймал не человек, занимающийся безопасностью специально, а опытный и любознательный пользователь, который заметил подтормаживания. Бэкдор был в сборочных скриптах, которые, в случае проприетарщины, были бы ни в каком виде не доступны.
Если и искать пример для опровержения принципа "тысячи глаз" — надо брать какой-нибудь heartbleed или log4j, хотя там бекдорственность не так очевидно, скорее просто некачественный код.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138 Ответы: #164

151. Сообщение от Аноним (-), 30-Мрт-24, 10:39 +1 +/–

Не, тут к сожалению не только это.
Чел сначала предложил коммит с отключением фаззинг тестирования.
И его конечно  ̶з̶а̶р̶е̶д̶ж̶е̶к̶т̶и̶л̶и̶ ̶и̶ ̶п̶о̶п̶р̶о̶с̶и̶л̶и̶ ̶и̶с̶п̶р̶а̶в̶и̶т̶ь̶ ̶е̶г̶о̶ ̶к̶о̶д̶ приняли.
Ну а фигли? Зачем нам тестирование!? Мы ж профи, а профи ошибок не делают.
Потом он добавлял коммит с таким комментарием:
The original files were generated with random local to my machine.
To better reproduce these files in the future, a constant seed was used to recreate these files.
И это тоже никого не смутило.
Я уже молчу про использование инструментов, которые старше половины опеннета (m4) и создание с их помощью просто вырвиглазных баш-портянок.
А вот тысяча глаз тут уже на последнем месте. Они смогли всего за 2 месяца обнаружить)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

152. Сообщение от n00by (ok), 30-Мрт-24, 10:48 –2 +/–

> Матчасть бы изучил, умник.
> Селинукс изобрели в АНБ, и по словам Сноудена
Начинаем учить матчасть:
1. Сноуден, прежде всего, предатель. Кто не понимает, что это значит, утрирую: люди ему поверили, но он их обманул.
2. Где факты, подтверждающие его компетентность, кроме как "у Эйнштейна тоже был тройбан по физике"?
3. Могли ли его действия просчитать и подсунуть "куклу" - это вопрос для тех, кто хоть что-то понимает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #159, #160

153. Сообщение от Аноним (159), 30-Мрт-24, 10:49 +1 +/–

То самое анб что протолкнуло свою поделку вместо рсбак и пах-грсек? Хотя они были уже готовы. А потом в анб признали ошибку и переписали кусок с лсм? https://www.rsbac.org/documentation/why_rsbac_does_not_use_lsm

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

154. Сообщение от Аннон (?), 30-Мрт-24, 10:49 +4 +/–

Ещё одно доказательство, что Automake место на свалке. Не читаемый набор скриптов, который невозможно отревьювить

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #292

155. Сообщение от Аноним (-), 30-Мрт-24, 10:51 +3 +/–

О, история становится еще интереснее!
Чел поучаствовал во многих проектах.
Например в libarchive.
Где он создал ПР в котором заменил safe_fprintf на fprintf.
https://github.com/libarchive/libarchive/pull/1609/files
ИЧСХ этот ПР приняли! Вообще без какого-то обсуждения.
А не спросили "какого?!".
Но для проекта C 89.6%.. впрочем, я совершенно не удивлен))
И оно жило спокойно с ноября 2021 года, до сегодняю.
Код ревертнули девять часов назад.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #165, #170, #190, #234, #339

157. Сообщение от Аноним (-), 30-Мрт-24, 10:54 –1 +/–

В расте не смогут разобраться только неосиляторы.
Там гугл переучивает разработчиков которые писали на Го (на ГО, Карл!) и они осваивают раст за 2-3 месяца.
И пишут нормальный код.
Зато в расте не будет отстоя тим м4 и пробашпортянок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #194, #369, #374

158. Сообщение от n00by (ok), 30-Мрт-24, 10:54 +/–

Ловите его скорее, а то он и NIH-синдром поставит под сомнение! ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

159. Сообщение от Аноним (159), 30-Мрт-24, 10:56 +/–

> Начинаем учить матчасть:
> 1. Сноуден, прежде всего, предатель
Кому-то самому не мешало бы поучить матчасть. Сноуден исходит из мнения что службы воюют против собственного народа. А согласно их законам имеют право на восстание. Он помогает чем может. Свой народ по его личному мнению он не продавал.
> 2. Где факты, подтверждающие его компетентность, кроме как "у Эйнштейна тоже был тройбан по физике"?
Издание рейтерс пойдет? Комментарий главы АНБ.
WASHINGTON (Reuters) - Former U.S. National Security Agency contractor Edward Snowden leaked as many as 200,000 classified U.S. documents to the media, according to little-noticed public remarks by the eavesdropping agency's chief late last month.
Факты компетентности главы АНБ надо приводить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #189

160. Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 30-Мрт-24, 10:57 +/–

Не хочешь быть соучастником преступлений, о "необходимости" совершения которых тебя поставили перед фактом = предатель. Вау. Хочу ещё больше таких размышлений.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #191, #246

161. Сообщение от Аноним324 (ok), 30-Мрт-24, 11:03 +1 +/–

Все современные ботнеты, они исключительно иот. А там как всегда протухшая на 5-7 лет версия ядра.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #174, #411

162. Сообщение от Аноним324 (ok), 30-Мрт-24, 11:03 –3 +/–

Какой идиот хранит крипту на компе?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #311

164. Сообщение от Аноним (159), 30-Мрт-24, 11:09 –3 +/–

Сработали???
Ни один из копавшихся в исходниках этого не нашёл за два года. Эстонские глаза что ли?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #178, #180

165. Сообщение от Аноним (48), 30-Мрт-24, 11:10 +/–

Ну, libarchive кривое, не страшно. Её никто в своём уме не будет использовать. А вот от сабжа зависят примерно все, круче только zlib.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #171

166. Сообщение от Аноним (166), 30-Мрт-24, 11:14 +/–

Так их переписывают просто. То на Питончик, то на Раст...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

167. Сообщение от Аноним (-), 30-Мрт-24, 11:14 Скрыто ботом-модератором +/–

Ты нам только что рассказал о плачевном состоянии программирования в России, спасибо тебе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

168. Сообщение от Аноним (40), 30-Мрт-24, 11:14 +/–

Что интересно, в светлой голове мейнтейнера даже мысли не возникло, почему ПРИКЛАДНОЙ код написан так, что верификаторы ругаются на всякие низкоуровневые ifuncs. Даже если бы они там были реально нужны - этот говнокодинг ушёл бы в продакшн без возражений, я так понимаю?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

169. Сообщение от Аноним (123), 30-Мрт-24, 11:17 +/–

Заметьте: изменения были введены после обязательного введения 2FA на GitHub (не подумайте, что с целью усиления "безопасности", до очень недавнего времени без активации 2FA можно было пушить в репозитории, к которым есть доступ, да и сейчас наверное при пуше используется только 1 фактор, а с целью продвижения FIDO2 - бэкдорнутого стандарта, придуманного с целью навязывания продуктов членов Альянса, завязывания аутентификации на них и сбора биометрии). Как я и предупреждал, от сопровождающего-вредителя, а равно — коммерсанта, продавшего проект за круглую сумму, а равно "патриота" государства, в котором живёт и получает зарплату ничего не поможет, а равно просто фраера-лоха, которому сделали предложение, от которого невозможно отказаться: в общем случае от supply chain-атаки, где "легитимный" сопровождающий делает вредоносные изменения, не спасёт ничего. А "Jia Tan" — это просто кукла из носка, которая на руку одевается, как в "Улице Сезам", чтобы смягчить последствия для сопровождающих, что типа Шоколад ни в чём не уиноуат!
Все авторы забекдоренных проектов должны рассматриваться как соучастники.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #179, #240

170. Сообщение от Аноним (166), 30-Мрт-24, 11:17 +2 +/–

>ИЧСХ этот ПР приняли! Вообще без какого-то обсуждения.
"самое слабое звено в системе безопасности — это человек" (с) Кевин Митник

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

171. Сообщение от Аноним (123), 30-Мрт-24, 11:18 +/–

Я использую. Потому что иначе мне придётся свою такую же, но хуже, написать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165

172. Сообщение от Jh (?), 30-Мрт-24, 11:18 –1 +/–

Да вся винда бэкдор для МС. Хотят качают телеметрию от пользователя, хотят ставят рекламу в меню пуск пользователю. Сделать на твоей системе они могут что угодно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

174. Сообщение от Аноним (174), 30-Мрт-24, 11:21 +3 +/–

Не надо себя убаюкивать . Ботнеты на всём , что удасться взломать . И чем круче железка - тем больше вероятность что тебя же и заподозрят .

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

175. Сообщение от n00by (ok), 30-Мрт-24, 11:21 +/–

Бэкдор в библиотеке с открытым кодом. Ты думал, что его ещё и прокомментируют в исходнике? Что бы можно было делать
grep -R B4CKD0R *
?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #306

177. Сообщение от Аноним (106), 30-Мрт-24, 11:23 +/–

Сказать то чего хотел. Если тот же самый китаец захотел бы внедрит бекдор в коде на рсте он бы его внедрил. Точно так же некто бы и слова не сказал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

178. Сообщение от Аноним (123), 30-Мрт-24, 11:24 +1 +/–

5.6.0 Mon, 26 Feb 2024 07:47:01 +0100 - из чейнджлога Debian Sid. Где тут 2 года?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #212

179. Сообщение от Аноним (48), 30-Мрт-24, 11:25 –1 +/–

Вполне вероятно, что и петрушка, и вероятно даже не один действовал, но при чём тут авторы? Будто, это впервые происходит. Хоть решение отключить проверки и защиты выглядит подозрительно, но этого недостаточно, чтобы что-либо утверждать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #197

180. Сообщение от Аноним (106), 30-Мрт-24, 11:25 +1 +/–

А в проприетарных типа всё всегда находится? Ты это, переставай употреблять!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #188

183. Сообщение от Аноним (106), 30-Мрт-24, 11:27 +/–

Ты хотел сказать что на рсте вообще нет никакого продакшн кода.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139 Ответы: #247

186. Сообщение от Аноним (186), 30-Мрт-24, 11:29 +/–

Libselinux также поддерживает liblzma и связывается с гораздо большим количеством программ, чем libsystemd.

Ответить | Правка | Наверх | Cообщить модератору

187. Сообщение от Аноним (248), 30-Мрт-24, 11:29 +6 +/–

> на расте писать, с его наркохипанским синтаксисом никто ничего никогда бы не нашёл.
То есть синтаксис m4 портянки из новости тебя не смутил, да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #366

188. Сообщение от Аноним (-), 30-Мрт-24, 11:30 +/–

> А в проприетарных типа всё всегда находится?
А какая нам разница что там у проприетарных?
И почему тебя это вообще беспокоит?
Ты что виндузятник? Или вообще маковод??

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180 Ответы: #309

189. Сообщение от n00by (ok), 30-Мрт-24, 11:32 +/–

>> Начинаем учить матчасть:
>> 1. Сноуден, прежде всего, предатель
> Кому-то самому не мешало бы поучить матчасть. Сноуден исходит из мнения что
> службы воюют против собственного народа. А согласно их законам имеют право
> на восстание. Он помогает чем может. Свой народ по его личному
> мнению он не продавал.
Действительно, учить, так учить. Однокоренные слова к "мнение": мнить, мнимый. Маня-мирок, если выражаться на принятом здесь языке.
>> 2. Где факты, подтверждающие его компетентность, кроме как "у Эйнштейна тоже был тройбан по физике"?
> Издание рейтерс пойдет? Комментарий главы АНБ.
> WASHINGTON (Reuters) - Former U.S. National Security Agency contractor Edward Snowden leaked
> as many as 200,000 classified U.S. documents to the media, according
> to little-noticed public remarks by the eavesdropping agency's chief late last
> month.
Вижу факт: contractor. Работник по контракту. А в контракте что написано? Полы подметал?
> Факты компетентности главы АНБ надо приводить?
Нет, ты ведь не осилил вопрос номер 3.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #200

190. Сообщение от Аноним (195), 30-Мрт-24, 11:34 +/–

>Но для проекта C 89.6%.. впрочем, я совершенно не удивлен))
Это же какую логику нужно иметь, чтобы связать прием патча с изменения в коде с языком программирования?
Типа в проектах на Си патчи не проверяют, а в проектах на Go, Rust каждый патч с лупой проверяет 100500 человек?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #198, #201, #213

191. Сообщение от n00by (ok), 30-Мрт-24, 11:35 +/–

> Не хочешь быть соучастником преступлений, о "необходимости" совершения которых тебя поставили
> перед фактом = предатель. Вау. Хочу ещё больше таких размышлений.
Каких преступлений? Он отказался облучать народ марсианскими технологиями, потому что средний американец не носит шапочку из фольги?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160 Ответы: #205

192. Сообщение от Аноним (248), 30-Мрт-24, 11:36 +3 +/–

> Внезапно оказалось, что открытый код и контролируемые репозитории не спасают от бекдоров...
Ты с логикой дружишь? Бэкдор найден через месяц после внедрения, в репе по комитам нашли автора.
А теперь представь, что было бы при подобной ситауции в проприетари.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #307

193. Сообщение от Аноним (248), 30-Мрт-24, 11:38 +/–

> Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.
Ага, а надо из апстрим репы исходного кода, да прямо из master ветки...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #230, #275

194. Сообщение от Аноним (195), 30-Мрт-24, 11:38 +/–

Умник, ты хоть посмотри для чего использовался bash. Или ты из очередных "не читал, но осуждаю"?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

195. Сообщение от Аноним (195), 30-Мрт-24, 11:40 –1 +/–

Fedora, OpenSUSE тоже идиотские дистрибутивы?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #228

196. Сообщение от Аноним (196), 30-Мрт-24, 11:42 +/–

В Debian:
ldd /usr/bin/ssh
    linux-vdso.so.1 (0x00007ffd6d9fb000)
    libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007fd28feae000)
    libgssapi_krb5.so.2 => /lib/x86_64-linux-gnu/libgssapi_krb5.so.2 (0x00007fd28fe5c000)
    libcrypto.so.3 => /lib/x86_64-linux-gnu/libcrypto.so.3 (0x00007fd28f800000)
    libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x00007fd28fe3d000)
    libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fd28f61f000)
    libpcre2-8.so.0 => /lib/x86_64-linux-gnu/libpcre2-8.so.0 (0x00007fd28fda1000)
    /lib64/ld-linux-x86-64.so.2 (0x00007fd290002000)
    libkrb5.so.3 => /lib/x86_64-linux-gnu/libkrb5.so.3 (0x00007fd28fcc7000)
    libk5crypto.so.3 => /lib/x86_64-linux-gnu/libk5crypto.so.3 (0x00007fd28fc9a000)
    libcom_err.so.2 => /lib/x86_64-linux-gnu/libcom_err.so.2 (0x00007fd28fc94000)
    libkrb5support.so.0 => /lib/x86_64-linux-gnu/libkrb5support.so.0 (0x00007fd28fc86000)
    libkeyutils.so.1 => /lib/x86_64-linux-gnu/libkeyutils.so.1 (0x00007fd28f618000)
    libresolv.so.2 => /lib/x86_64-linux-gnu/libresolv.so.2 (0x00007fd28f607000)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #244

197. Сообщение от Аноним (123), 30-Мрт-24, 11:42 +4 +/–

>этого недостаточно, чтобы что-либо утверждать.
А это не мы должны предоставлять железобетонные доказательства, что автор/сопровождающий сохранил свою репутацию. Это его репутация — ему её и беречь. А он — не сберёг. С нашей же стороны мы вольны руководствоваться его репутацией для принятия решений. И совершенно не важно, виноват ли сопровождающий в действительности, или его подставили. Нам ведь плевать на сопровождающего, "кого иппёт чужое горе", нам важна наша безопасность. При таком подходе имеет смысл исключать компонент, несущий риски, вне зависимости от того, виновен ли он в действительности, или просто халатен — было бы выгодно полное закрытие скомпрометированных проектов, либо переход их под более ответственных сопровождающих. К сожалению рынок внесёт коррективы: по демпинговым ценам ($0, бесплатно, даром, бойтесь данайцев, дары приносящих) большинство устроит и заведомо забекдоренный проект, а конторы для себя и форк сделают, и с сообществом не поделятся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #179 Ответы: #202

198. Сообщение от Аноним (248), 30-Мрт-24, 11:44 +/–

> Типа в проектах на Си патчи не проверяют, а в проектах на Go, Rust каждый патч с лупой проверяет 100500 человек?
Типа если люди пишут на Си, им как правило, глубоко плевать на безопаснось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190 Ответы: #371

199. Сообщение от ProfessorNavigator (ok), 30-Мрт-24, 11:46 +/–

> Очевидно, проблема принципиально не решаема.
Решаемая, просто для начала её стоит правильно сформулировать. Правильная же, на мой взгляд, формулировка в следующем: невозможно людей контролировать, единственный способ заставить всё работать более-менее нормально - сделать так, чтобы люди сами захотели делать как следует. Почему имеем случаи, подобные обсуждаемому? Ответ прост - стремление к личной выгоде. Почему есть стремление к личной выгоде? Опять же ответ прост - конкурентная борьба за ресурсы между людьми. Чем больше ты контролируешь ресурсов, тем меньше шанс оказаться на улице без средств к существованию и сдохнуть от голода. Как это прекратить? Дать каждому уверенность, что чтобы не случилось, его обеспечат работой и гарантированным минимумом необходимых для жизни ресурсов (не только водой и едой, но также жильём, медициной, образованием и т.д.). Как создать подобное общество? Вопрос достаточно сложный, но опять же решаемый - одна попытка уже была. В чём-то успешная, в чём-то - нет, однако правильность подхода можно считать доказанной. Осталось лишь сделать работу над ошибками - разобраться, почему не получилось, и попробовать создать правильную версию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #386

200. Сообщение от Аноним (200), 30-Мрт-24, 11:47 +/–

> Действительно, учить, так учить. Однокоренные слова к "мнение": мнить, мнимый. Маня-мирок, если выражаться на принятом здесь языке.
Что же ты юлишь то? Очередного задорнова-фоменко косплеишь неубедительно. А слово  линух происходит от слов Ли Нух? Наверное смысл что абсолютное большинство населения ит должно избавиться от идолопоклонничества мс?
Так как там с правом народа на восстание? А что ООН пишет по поводу борьбы народа с властью что преступает закон? А по поводу исполнения преступных приказов ты тоже не слышал?
Ну раз ты такой за.тый технарь жду технического определения когда народ имеет право на восстание и неподчинение законам. Что там надо? Проценты недовольства икрой, использование продукции мс на пк больше 94% людей, личное авторитетное мнение нуби?
> Вижу факт: contractor. Работник по контракту. А в контракте что написано? Полы подметал?
Расскажи как относится компетентность лично Сноудена, которую ты сам ни шиша не знаешь, к факту утечки 200К документов безопасности?
Специально упростил задачу - вывел компетентность человека из неё. А ты мне грибные трипы с полами подсовываешь.
> Нет, ты ведь не осилил вопрос номер 3.
Зачем его осиливать? Судя по твоим совершенно детским комментариям по пункту 1 и 2 ты его у одноклассника на страничке в контакте взял.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #189 Ответы: #262, #336

201. Сообщение от Аноним (-), 30-Мрт-24, 11:49 –1 +/–

Не знаю как в GO, но в раст все принты по умолчанию safe.
А чтобы сделать ансейф принт, нужно внезапно писать unsafe и потом еще хорошо постараться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190 Ответы: #209

202. Сообщение от Аноним (202), 30-Мрт-24, 11:50 +1 +/–

Насчёт закрытия — я всегда думал, что liblzma - это часть 7zip. Особенно учитывая то, что автор алгоритма LZMA - это Игорь Павлов. Почему эта либа до сих пор ставится не из первоисточника, не из форка-порта первоисточника p7zip, а из мутного порта не пойми кого — вопрос открытый.
Что не отменяет необходимость упразднения autotools в 7zip.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #197 Ответы: #206

205. Сообщение от Аноним (205), 30-Мрт-24, 11:58 +/–

Ты с мат частью всё-таки ознакомишься может?
Слежка за любым гражданином без санкций.
I will be satisfied if the federation of secret law, unequal pardon and irresistible executive powers that rule the world that I love are revealed even for an instant.
Now increasingly we see that it's happening domestically. And to do that, they, the NSA specifically, targets the communications of everyone.
Not all analysts have the ability to target everything, but I, sitting at my desk, certainly had the authorities to wiretap anyone, from you or your accountant, to a federal judge, to even the President, if I had a personal email.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #191 Ответы: #266

206. Сообщение от Аноним (106), 30-Мрт-24, 11:59 +1 +/–

Похоже ты не понимаешь сути проблемы в сабже. Проблема что в трояне был баг, который аффектил в валгриде, а не то что троян впринципе был. Если троян был это кого надо троян. И они его ещё раз вставят куда надо и ты его никогда не найдешь за обозримое время. По сути проблема исполнителя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #202 Ответы: #215, #218

208. Сообщение от Аноним (248), 30-Мрт-24, 12:00 +2 +/–

Шутки шутками, но такое реально бывало:
https://en.m.wikipedia.org/wiki/British_Post_Office_scandal

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

209. Сообщение от Аноним (106), 30-Мрт-24, 12:01 +1 +/–

Думаешь китаец испугался бы слова unsafe и не сделал бы коммит? БезопасТность уровень желтая ленточка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #201 Ответы: #216

210. Сообщение от Аноним (248), 30-Мрт-24, 12:04 +/–

> Интересно, на сколько лет посадят писателя этого бэкдора?
Ни на сколько, потому что в лицензии либы есть отказ от каких либо обязательств.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

211. Сообщение от Аноним (211), 30-Мрт-24, 12:04 +/–

Cisco достаточно крупная корпорация? Все же помним доступ по curl? А исправление бекдора в виде запрета доступа по... юзерагенту curl?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

212. Сообщение от Аноним (205), 30-Мрт-24, 12:07 –1 +/–

Почти год назад он отключил это.
ifunc is not compatible with -fsanitize=address, so this should be disabled for fuzzing builds.
Два года как он коммитит в этот проект.
Зачем ты мне ченджлоги дебиан сид подбрасываешь? Мы про сам проект и тыщи глаз разговариваем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178 Ответы: #278

213. Сообщение от Аноним (-), 30-Мрт-24, 12:08 –1 +/–

- Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF/TCP из состава ядра Linux
opennet.ru/opennews/art.shtml?num=59940
- Уязвимости в модуле ksmbd ядра Linux, позволяющие удалённо выполнить свой код
opennet.ru/opennews/art.shtml?num=59189
- Уязвимость в NTFS-драйвере из состава GRUB2, позволяющая выполнить код
https://www.opennet.me/opennews/art.shtml?num=59868
- Обход шифрования диска в Linux через непрерывное нажатие клавиши Enter
https://www.opennet.me/opennews/art.shtml?num=59702
Как вообще такой код проходил ПР?
Возможно разработчики на определенных языках действительно забивают на безопасность?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190 Ответы: #301

214. Сообщение от Skullnet (ok), 30-Мрт-24, 12:13 +1 +/–

>> К тому же доверия closed-source софту, а особенно софту от биг-корпораций нет.
> Исходники винды закрыты весьма условно.
Исходники Шрёдингера.
> Во-первых, кому надо их отдают на аудит.
И бекдоры тоже добавляет тот кому надо.
> Во-вторых, исходники винды утекали и не раз.
Ага, утекали исходники, чтобы дураки потеряли бдительность, что в винде всё окей, никаких троянов нет, а на самом деле мы даже и не знаем, потому что бекдоры могут быть только в специальных релизных версиях, которые не комитятся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #223

215. Сообщение от Аноним (215), 30-Мрт-24, 12:17 +/–

>И они его ещё раз вставят куда надо и ты его никогда не найдешь за обозримое время. По сути проблема исполнителя.
Именно, поэтому авторам xz, libarchive и прочим скомпрометированным — никакого доверия.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #206 Ответы: #222

216. Сообщение от Аноним (-), 30-Мрт-24, 12:19 –1 +/–

А это зависит от разных вариантов.
Например есть либы (в расте) которые помечены #![forbid(unsafe_code)]
что запрещает использование unsafe.
Понятно это не защитит от "автор либы сам внес бекдор", но тут чел был не главным мейнтенером.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #209 Ответы: #300, #372, #379

217. Сообщение от Аноним (84), 30-Мрт-24, 12:20 –1 +/–

>Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет
Как-то утек в открытый доступ сервис пак для NT с неудаленными отладочными символами. Там некоторые ключи назывались NSA_key. Не бекдор, конечно..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

218. Сообщение от Аноним (218), 30-Мрт-24, 12:22 +/–

>Похоже ты не понимаешь сути проблемы в сабже. Проблема что в трояне был баг, который аффектил в валгриде, а не то что троян впринципе был
Это - для бекдорщиков проблема, что обнаружили. Проблемы индейцев шерифа не волнуют. А для нас же проблема, что
1) были созданы условия для скрытия бэкдора - сопровождающим
2) бэкдор был внедрён
3) при участии сопровождающего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #206 Ответы: #224

219. Сообщение от Oe (?), 30-Мрт-24, 12:24 –5 +/–

Вопрос по прежнему открыт: почему ноунейм прилинкованная либа имеет доступ к памяти sshd? Почему в 2024 году память sshd не зашифрована аппаратно? По логике любой либе скармливаются входные данные и она отдает выходные, ни в какие иные области памяти она читать и тем более писать не имеет право. До вас еще не дошло, что вся эта десктопная архитектура и код под неё мертв и не обеспечивает должной безопасности? Это детские баги уровня виндоус 95

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137 Ответы: #243, #322, #358, #405

220. Сообщение от Всем Анонимам Аноним (?), 30-Мрт-24, 12:28 +/–

Ну так цель то ясна, Васяна наняли для конктретного дележа денег, пока государство целенаправленно это собирание спонсирует и навязывает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

221. Сообщение от Аноним (221), 30-Мрт-24, 12:33 +1 +/–

Основанный на покрывшейся плесенью Ubuntu 22.04 LTS. Ничего, в этом году должен выйти новый LTS выпуск.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #283

222. Сообщение от Oe (?), 30-Мрт-24, 12:35 –3 +/–

Как вообще в либе для архивации может быть троян? Она принимает входные данные, выдает выходные, больше у нее прав быть не должно, максимум попытаться использовать уязвимость процессора. Чтобы предотвратить встраивание трояна в выходные данные эти самые данные должны подаваться на вход зашифрованными, это же логично, да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #215 Ответы: #237

223. Сообщение от Аноним (-), 30-Мрт-24, 12:35 –1 +/–

> бекдоры могут быть только в специальных релизных версиях, которые не комитятся
Ты это про винду?
Или про те бинарники, которые тебе в пакетный менеджер прилетают?
Или про те исходники, которые тебе отдаются в виде tar.gz для компиляции локально и которые ты не сверяешь построчно с оригиналом?
Хватит уже неси параноидальную чушь.
Эта новость - прекрасный пример как открытые исходники спасают от бекдоров))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #214 Ответы: #347

224. Сообщение от Oe (?), 30-Мрт-24, 12:39 +/–

То есть тебя не смущает что были созданы все условия чтобы бэкдор работал? Не удивлюсь если либа архивации еще и в интернет выходить может, давайте еще ей права записи во флешку биоса предоставим, что уж мелочиться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #218 Ответы: #236

225. Сообщение от нах. (?), 30-Мрт-24, 12:42 +/–

> вот devuan, какой-то рудимент от systemd имеется:
Это не рудимент, это весь systemd и есть. С чем и поздравляю борцунов с системдрянью не умеющих кодить.
Но ты можешь не переживать - твой локалхост не подвержен уязвимости, поскольку является клоном де6иллиана, супергероя, успешно защищающего мир от слишком нового софта. Два года назад? Птьфу, это не слишком новый, это вообще гость из будущего.... для де6иллиана - довольно далекого.
А пользуемые федорой пусть страдают, страдание очищает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #279

227. Сообщение от нах. (?), 30-Мрт-24, 12:44 +1 +/–

Кто ж посадит действующего члена КПК?
Судя по имячку - он прям оттуда и кодил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

228. Сообщение от Аноним (230), 30-Мрт-24, 12:47 +2 +/–

Эти - особенно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #195

229. Сообщение от Аноним (288), 30-Мрт-24, 12:48 +/–

Накалякал в Федору: https://pagure.io/fesco/issue/3185
Посмотрим что из этого выйдет. Думаю, что закроют и скажут, "нет ресурсов/не наше дело/да по фигу".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #235

230. Сообщение от Аноним (230), 30-Мрт-24, 12:48 +2 +/–

man git-checkout

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #193

231. Сообщение от нах. (?), 30-Мрт-24, 12:50 +/–

> Конечно использовать инструменты полувековой давно так безопасно!
если ты не можешь прочитать простенький код на m4 - каковы твои шансы что-то заметить в кодомусорке для модных систем сборки на десяти нескучных языках?
А если просто не хочешь - то хоть на чем пиши.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

232. Сообщение от нах. (?), 30-Мрт-24, 12:52 +2 +/–

не только эксплойт но и доступ к версиям, вредительских правок еще не содержавших.
(впрочем, да, один forced push и наша супер система по подделке истории комитов отлично себя оправдает. Может, кстати, потому и заблокировали.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

233. Сообщение от майнеймис (?), 30-Мрт-24, 12:53 +/–

стоящая вещь, только софт некоторый отсталый, а всякие mc вообще не могут без тарбола распаковать. тарболы зло, т.к. при открытии приходится все прогружать ради одного файлика из архива или просмотра списка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

234. Сообщение от Oe (?), 30-Мрт-24, 12:53 –1 +/–

Любая сторонняя либа это потенциальный источник трояна, соответственно код либы должен исполняться в изолированном контейнере, а входные данные подаваться зашифроваными. И только потом модерация кода либы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

235. Сообщение от Аноним (-), 30-Мрт-24, 12:53 +1 +/–

Смешно если честно, это предложение больше на вброс или троллинг похоже.
> There must be a website or a central authority
Сейчас же набегут со словами "а почему мы вообще должны доверять шапке?"
И начнут делить кому можно доверять, а кому нет.
> which includes known to be good/safe/verified/vetted open source packages
Кто их будет верифицировать? Даже у RHEL нет таких ресурсов.
> along with e.g. SHA256/384/512/whatever hashes of the source tarballs.
Как это поможет, если из затрояненых сорцов будет собран такой же бинарь?
Суммы все сойдутся, а толку будет ноль.
Я бы закрыл такое предложение "А давайте чтобы было хорошо и не было плохо" как notabug

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #229 Ответы: #277

236. Сообщение от Аноним (246), 30-Мрт-24, 12:54 +/–

Нет, не смущает, так как права выдаются не либе, а процессу, а в одном контексте разделение привелегий аппаратно не предусмотрено. Выдачу прав либам в принципе можно сделать, если избавиться от native-кода, но вам такое решение не понравится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #224

237. Сообщение от Аноним (48), 30-Мрт-24, 12:56 +/–

Ты не понимаешь, как программы работают. То, что ты хочешь, недостижимо практически с современными технологиями, либо осуществимо, но принесёт неоправданно большие накладные расходы. Да и, к примеру, в микроядерных системах в памяти может быть независимый изолированный декодер сжатых данных, но доверяться ему софту всё равно придётся: ты не можешь проконтролировать, что данные не были изменены в процессе. Аппаратное шифрование тут особенно помогает заметать следы и нет возможности проконтролировать происходящее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #222

238. Сообщение от Аноним (238), 30-Мрт-24, 13:00 +3 +/–

> бэкдор был спрятан в m4-макросах .. инструментарием automake
Вот он - Linux way!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #255, #345

239. Сообщение от НяшМяш (ok), 30-Мрт-24, 13:01 +/–

Тот самый момент, когда арч лучше дебиана.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #380

240. Сообщение от Аноним (248), 30-Мрт-24, 13:05 +2 +/–

> после обязательного введения 2FA на GitHub [...] с целью продвижения FIDO2 - бэкдорнутого стандарта, придуманного с целью навязывания продуктов членов Альянса, завязывания аутентификации на них и сбора биометрии
Подавляющее количество людей использует TOTP для 2FA. Где ты тут учуял продвижение FIDO2?
> Как я и предупреждал, от сопровождающего-вредителя [...] ничего не поможет
Ну так 2FA и не для этого нужен. К чему ты его упомянул?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #251

241. Сообщение от Аноним (121), 30-Мрт-24, 13:07 +/–

> В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует. И дело не только в Linux, FreeBSD тоже страдает от этого. Я не уверен насчет OpenBSD/NetBSD, поскольку никогда их не использовал.
Тем временем https://overclockers.ru/blog/Docent2006/show/20835/v_routera...
В 2013 году разоблачения немецкой газеты Der Spiegel показали, что АНБ использует некоторые бэкдоры в маршрутизаторах Cisco. Cisco опровергла обвинения в том, что она работает с АНБ для внедрения этих бэкдоров.
В 2014 году в маршрутизаторах Cisco для малого бизнеса был обнаружен новый недокументированный бэкдор, который может позволить злоумышленникам получить доступ к учётным данным пользователя и выполнять произвольные команды с повышенными привилегиями.
В 2015 году группа злоумышленников, поддерживаемых государством, начала установку вредоносного бэкдора в маршрутизаторах Cisco, воспользовавшись многими маршрутизаторами, которые сохраняли учётные данные администратора по умолчанию, вместо того, чтобы изменять их на что-то ещё.
В 2017 году Cisco с помощью утечки данных Wikileaks обнаружила уязвимость в своих собственных маршрутизаторах, которая позволила ЦРУ удаленно управлять более чем 300 коммутационными моделями Cisco.
Ждем твой комментарий с этодругином.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #288

242. Сообщение от НяшМяш (ok), 30-Мрт-24, 13:09 +/–

Даже в арче не додумались до такого
ldd /usr/sbin/sshd
        linux-vdso.so.1 (0x00007fff03d35000)
        libcrypt.so.2 => /usr/lib/libcrypt.so.2 (0x000077e4d841b000)
        libpam.so.0 => /usr/lib/libpam.so.0 (0x000077e4d840a000)
        libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x000077e4d83b6000)
        libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x000077e4d82de000)
        libcrypto.so.3 => /usr/lib/libcrypto.so.3 (0x000077e4d7c00000)
        libz.so.1 => /usr/lib/libz.so.1 (0x000077e4d82c4000)
        libc.so.6 => /usr/lib/libc.so.6 (0x000077e4d7a1e000)
        libaudit.so.1 => /usr/lib/libaudit.so.1 (0x000077e4d8295000)
        libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x000077e4d8267000)
        libcom_err.so.2 => /usr/lib/libcom_err.so.2 (0x000077e4d8261000)
        libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x000077e4d8253000)
        libkeyutils.so.1 => /usr/lib/libkeyutils.so.1 (0x000077e4d824c000)
        libresolv.so.2 => /usr/lib/libresolv.so.2 (0x000077e4d8239000)
        /lib64/ld-linux-x86-64.so.2 => /usr/lib64/ld-linux-x86-64.so.2 (0x000077e4d856a000)
        libcap-ng.so.0 => /usr/lib/libcap-ng.so.0 (0x000077e4d8231000)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #362

243. Сообщение от Аноним (243), 30-Мрт-24, 13:11 +/–

> По логике любой либе скармливаются входные данные
в виде указателя на область памяти... Ты представляешь производительность того же хрома, который на каждый библиотечный вызов будет сериализовать нагрузку и передавать ее через какой-то спец интерфейс?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #219 Ответы: #273

244. Сообщение от Аноним (243), 30-Мрт-24, 13:13 +/–

так разговор про sshd,а не про ssh

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #196

246. Сообщение от Аноним (246), 30-Мрт-24, 13:13 +1 +/–

Извините за занудство, но
1. Сноуден сам пошёл в контору. Взрослый мужчина, не мог не знать, какого рода делами занимается контора. То есть сам изъявил желание поучаствовать.
2. Сам принял гражданство РФ.
Поэтому все эти морализаторские аргументы - лицемерие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160 Ответы: #264, #274

247. Сообщение от НяшМяш (ok), 30-Мрт-24, 13:14 +/–

Гугл с андроидом и не в курсе. И ещё с десяток крупных компаний.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183 Ответы: #308

248. Сообщение от Аноним (248), 30-Мрт-24, 13:15 +1 +/–

> Я уже много лет говорю [...] Я знал
> В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту
Ох, лол. Чел, ты же, очевидно, в коммерческой разработке никогда не участвовал. Откуда у тебя при этом столько спеси?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #289

250. Сообщение от Аноним (248), 30-Мрт-24, 13:15 +/–

Погоди-ка, но ты же выше писал, что Google проверят каждую строчку кода? Как же так вышло-то?
https://github.com/google/oss-fuzz/pull/10667#pullrequestrev...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

251. Сообщение от Аноним (246), 30-Мрт-24, 13:21 –1 +/–

>Где ты тут учуял продвижение FIDO2?
Использование TOTP сделано максимально неудобным, а в случае с FIDO2 вообще разрешено обходиттся одним фактором — "аутентификатором" (устройство, либо программная реализация с поддержкой passkeys) по стандарту. То есть оказывают давление, чтобы использовали именно FIDO2. А Micro$oft - сама стейкхолдер на рынке FIDO2-аутентификаторов и их компонентов.
>Ну так 2FA и не для этого нужен. К чему ты его упомянул?
2FA никак не поможет защититься от атаки на цепочку поставки. Но именно под предлогом "обезопашивания цепочек поставки" его навязывают на GitHub, вместо того, чтобы явно сказать, что у M$ есть свои бизнес-интересы в трансформации экосистемы и сообщества нужным для M$ образом, и что M$ не гнушаются потратить ценность GitHubа как хостинга исходников на этот проект.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #240 Ответы: #326

252. Сообщение от Anonimous (?), 30-Мрт-24, 13:22 Скрыто ботом-модератором +2 +/–

https://www.phoronix.com/forums/forum/phoronix/latest-phoron...
слово в слово...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #287

253. Сообщение от й (?), 30-Мрт-24, 13:23 +3 +/–

Люди, которые считают,что в PID 1 непременно нужно вкрячить библиотеку компрессии (а также картину корзину картонку и маленькую собачонку) - должны быть готовы к таким сюрпризам и не жаловаться.
Птушо за время пути собака будет расти.

Ответить | Правка | Наверх | Cообщить модератору

254. Сообщение от crypt (ok), 30-Мрт-24, 13:24 +1 +/–

атака классная. респект китайцу. жаль, быстро спалили. сижу, жую попкорн:
$ xz --version
xz (XZ Utils) 5.4.5
liblzma 5.4.5
$ freebsd-version
13.3-RELEASE

Ответить | Правка | Наверх | Cообщить модератору

255. Сообщение от Аноним (255), 30-Мрт-24, 13:24 –1 +/–

А во FreeBSD automake не используется? ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #238 Ответы: #344

257. Сообщение от Аноним (84), 30-Мрт-24, 13:27 +1 +/–

>В 2021 году Jia Tan передал изменение в проект libarchive
Microsoft has signaled it will add native support for tar, 7-zip, rar, gz and "many other" archive file formats to Windows - it's used the libarchive open source project
https://www.theregister.com/2023/05/24/microsoft_rar_support.../
>Jia Tan несколько дней назад был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux
Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #261, #280, #338

258. Сообщение от й (?), 30-Мрт-24, 13:29 +/–

Ленту.
В трех экземплярах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

259. Сообщение от Аноним (48), 30-Мрт-24, 13:30 +1 +/–

То, что никто не проверяет соответствие релизных архивов реальным данным в дереве, достаточно удивительно на самом деле. Хотя и не это проблема тут, но изменение моментально бы обнаружилось. А то до воспроизводимых сборок и подписанных блобов додумались, а до воспроизводимых блобов с исходниками нет.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #271, #276

261. Сообщение от Аноним (48), 30-Мрт-24, 13:33 +/–

А почему китайской? Скорее всего околополяки какие-нибудь, как обычно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #257 Ответы: #267, #269

262. Сообщение от n00by (ok), 30-Мрт-24, 13:33 +/–

>> Действительно, учить, так учить. Однокоренные слова к "мнение": мнить, мнимый. Маня-мирок, если выражаться на принятом здесь языке.
> Что же ты юлишь то?
Я объясняю тебе смысл слов, поскольку ты сам далёк от понимания своей писанины.
> Так как там с правом народа на восстание?
Не вижу смысла дальше читать унылую демагогию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200 Ответы: #270

264. Сообщение от n00by (ok), 30-Мрт-24, 13:35 +/–

Тут кстати некоторые не очень рады, что он принял наше гражданство. Потому что в истории был похожий персонаж, звали его Ли Харви Освальд. Теперь есть опасения, что его обратно выкрадут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #246 Ответы: #337

265. Сообщение от Аноним (-), 30-Мрт-24, 13:38 +1 +/–

Это хорошо что вы открыто говорите о своих проблемах.
Ну не удалось вам понять как работают лайфтаймы в Расте, ну что поделаешь, бывает.
Многие даже Си осилить не могут, так до сих пор и ходят [под себя] за пределы буфера.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

266. Сообщение от n00by (ok), 30-Мрт-24, 13:39 +/–

Что это за текст, кто его автор и зачем ты мне его отправляешь в ответ? Я лучше почитаю, как Александр Христофорович Бенкендорф, будучи начальником Тайной канцелярии, совершенно случайно оказался главой масонской ложи Amis Reunis.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #205 Ответы: #268

267. Сообщение от товарищ майор (?), 30-Мрт-24, 13:44 +/–

Китайский-китайский, не сомневайтесь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #261

268. Сообщение от Аноним (270), 30-Мрт-24, 13:46 +/–

Ты с матчастью ознакомься.
Это цитата Сноудена в интервью гуардиану.
Сбор данных без санкции суда на обычных граждан считается в сша очень крупным нарушением.
Сливайся уже, малой

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #266 Ответы: #352

269. Сообщение от Аноним (84), 30-Мрт-24, 13:47 +/–

>А почему китайской?
Судя по виртуозной схеме внедрения бекдора в sshd, работали серьезные профи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #261

270. Сообщение от Аноним (270), 30-Мрт-24, 13:47 +1 +/–

Ливнул, как ожидаемо. Ни одного своего лживого утверждения не смог обосновать.
Под анонимом лучше такое пиши, а то все благодаря интернету теперь знают что ты недалекий, а не только сосед.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #262 Ответы: #351

271. Сообщение от Аноним (271), 30-Мрт-24, 13:48 +1 +/–

Несоотвествие в порядке вещей для autocrap. Там при подготовке релизного архива всегда куча мусора напихивается. Реально десятки тысяч строк скриптов могут добавиться. Идеальное место, чтобы вот такое спрятать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #259

273. Сообщение от n00by (ok), 30-Мрт-24, 13:51 +1 +/–

> будет сериализовать нагрузку
А я предлагаю наконец научиться кодить, почитать про mmap, например.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #243

274. Сообщение от Аноним (270), 30-Мрт-24, 13:54 +/–

> Сноуден сам пошёл в контору. Взрослый мужчина, не мог не знать, какого рода делами занимается контора. То есть сам изъявил желание поучаствовать.
Контора занимался незаконной деятельностью за пределами сша. Это его устраивало. Потом она начала заниматься незаконной деятельностью на территории сша. Против своих граждан. Он решил помещать как может.
Так сложно это понять?
Если бы они не начали по своим работать шиш бы он куда сбежал. Так бы радостно и работал на страну.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #246 Ответы: #378

275. Сообщение от n00by (ok), 30-Мрт-24, 13:58 +1 +/–

>> Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.
> Ага, а надо из апстрим репы исходного кода, да прямо из master
> ветки...
Расскажи, в каком дистрибутиве ты собираешь пакетики. Страна должна знать своих героев.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #193

276. Сообщение от Аноним (246), 30-Мрт-24, 14:05 +/–

А зачем проверять, если можно просто git юзать? Но ведь не юзают. Чую, когда так начнут делать, может вылезти уязвимость с коллизиями в SHA-1: все форки в GitHub на самом деле живут в одном репозитории, соответственно интересно, что произойдёт, если форкнуть репозиторий и force push коллизию в свою ветку, по идее подменится в апстриме. Нужно срочно на 256 переходить, а в git так и не реализовали передачу таких репозиториев по сети.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #259

277. Сообщение от Аноним (277), 30-Мрт-24, 14:09 +/–

> Я бы закрыл такое предложение "А давайте чтобы было хорошо и не было плохо" как notabug
Более того, "А давайте *вы там кто-нибудь* сделаете, чтобы было хорошо, *а мне неохота даже разбираться* кому и как это предложение направить."
Да и само предложение нерабочее, т.к. разные дистрибутивы могут иметь разные критерии по включению тех или иных пакетов. А на роль "козлов отпущения" с верифицированным адресом желающих, ясное дело, не найдется.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #235

278. Сообщение от Аноним (246), 30-Мрт-24, 14:12 +/–

Там была проведена многолетняя подготовка к внедрению бэкдора. Легендирование и всё такое, чем спецслужбы играются. Как видим не особо помогло - спустя ~месяц годы трудов псу под хвост пустили. Хотя я уверен, что всех, ради кого бекдор внедряли, уже поломали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #212 Ответы: #285

279. Сообщение от glad_valakas (-), 30-Мрт-24, 14:15 +/–

>> вот devuan, какой-то рудимент от systemd имеется:
> Это не рудимент, это весь systemd и есть.
чушь.
1) процесса systemd нет.
2) сравни с нормальным дебианом:
ldd /lib/x86_64-linux-gnu/libsystemd.so.0
        linux-vdso.so.1 (0x00007ffcf25f3000)
        libcap.so.2 => /lib/x86_64-linux-gnu/libcap.so.2 (0x00007f59e532f000)
        libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f59e532a000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f59e5149000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f59e53fb000)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #225

280. Сообщение от mikhailnov (ok), 30-Мрт-24, 14:17 +/–

> Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.
До того, как Github заблокировал репозиторий xz, мне почему-то мимолетно показалось, что тексты в коммитах этого "китайца" написаны скорее носителем языка, чем китайцем, но это с большой вероятностью может быть ошибочным впечатлением.
Зачем заблокировали репозитории? Из ЦРУ поступило указание, чтоб подумать, как замести следы..?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #257 Ответы: #303

281. Сообщение от Аноним (281), 30-Мрт-24, 14:21 +/–

Что так слабо? Заставь её величество извиниться!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

283. Сообщение от Аноним (281), 30-Мрт-24, 14:28 +2 +/–

Псс, Ubuntu 22.04.4 LTS вышел достаточно недавно и софты в нём достаточно свежие. А главное всё работает. Новый LTS до первых фиксиков вообще лучше палкой не трогать будет. Надо сказать санитарам, что ты опять обделался

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #221

284. Сообщение от Аноним (281), 30-Мрт-24, 14:32 +/–

Расслабился - смой за собой

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #294

285. Сообщение от Аноним (285), 30-Мрт-24, 14:45 +1 +/–

Так они только играются. Возьми несколько летней давности историю с университетом миннесоты. Сравни насколько схема была примитивней чем здесь. Здесь они даже пытались устранить последствия косяка из-за которого их могли заметить выпустив новую версию. Случайно человек заинтересовался почему сбои и случайно вышел на бэкдор. Этого могло и не быть.
Возможно это просто очередной тестовый проект как внедрять бэкдоры. Работают начиная от технической части и заканчивая социальной.
Дальше они наберут статистику и получат какими действиями, какими технологиями, за какое время посадить бэкдор с определённой вероятностью на срок ХХ лет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #278 Ответы: #293

286. Сообщение от Вася (??), 30-Мрт-24, 14:51 +/–

это константа

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

287. Сообщение от birdie (ok), 30-Мрт-24, 15:24 +/–

Ну не совсем, я как ни старался, не смог перевести на русский полноценно :-)
Но автор, да, один - если вы про это.
Тут английский не в почёте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #252

288. Сообщение от Аноним (288), 30-Мрт-24, 15:26 –1 +/–

Вы прекрасно нарыли дыры у networking equipment vendor. Прекрасно.
Но какое Cisco имеет отношение к компаниям, которые перечислил птичка?
Даже если переставить буквы, Cisco не получится. Увы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #241 Ответы: #305

289. Сообщение от Аноним (288), 30-Мрт-24, 15:28 +/–

>> Я уже много лет говорю [...] Я знал
>> В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту
> Ох, лол. Чел, ты же, очевидно, в коммерческой разработке никогда не участвовал.
> Откуда у тебя при этом столько спеси?
Давно/много работаете в указанных выше компаниях или ваша "коммерческая разработка" ограничена шаражкой на 200 человек от силы?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #248

290. Сообщение от Прохожий (??), 30-Мрт-24, 15:31 +/–

Почему её? Его же, ну

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #317

291. Сообщение от Аноним (84), 30-Мрт-24, 15:39 +1 +/–

Проблема "зашита" в libsystemd:
ldd /lib/x86_64-linux-gnu/libsystemd.so.0
    linux-vdso.so.1 (0x00007ffea1bfd000)
    librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007fe963f05000)
    liblzma.so.5 => /lib/x86_64-linux-gnu/liblzma.so.5 (0x00007fe963edc000)
    liblz4.so.1 => /lib/x86_64-linux-gnu/liblz4.so.1 (0x00007fe963ebb000)
    libgcrypt.so.20 => /lib/x86_64-linux-gnu/libgcrypt.so.20 (0x00007fe963d9d000)
    libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fe963d7a000)
    libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fe963b88000)
    /lib64/ld-linux-x86-64.so.2 (0x00007fe963fd6000)
    libgpg-error.so.0 => /lib/x86_64-linux-gnu/libgpg-error.so.0 (0x00007fe963b63000)
Т.е. аналогичный бакдор можно было внедрить в liblz4.so, или libgpg-error.so.
Этой схеме подвержены любые сервисы, слинкованные с libsystemd.so и выполняющие авторизацию pubkey. При загрузке libsystemd.so загружаются зависимые либы и, в случае трояненой liblzma.so, происходила подмена для sshd функции "RSA_public_decrypt" (низкий поклон systemd). Просто автор бакдора ограничил работу только sshd (проверка argv[0] = /usr/sbin/sshd)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #295

292. Сообщение от Аноним (292), 30-Мрт-24, 15:44 +/–

Если скрипты намеренно не читать, их и нельзя будет отревьюить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

293. Сообщение от Аноним (293), 30-Мрт-24, 15:44 +/–

Ненадёжно. Бэкдор в программе можно выпилить. А вот бэкдор в спецификации или экосистеме выпилить невозможно — вся экосистема сломается и её всю придётся переписать, а переписывать - лет 10, и всё это время придётся пользоваться забекдоренной. При этом обязательно найдутся те, кто скажут, что их бекдор ни капли не беспокоит, и будут делать свои дела дальше, получая преимущество и развивая забекдоренную экосистему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #285

294. Сообщение от Аноним (292), 30-Мрт-24, 15:47 +/–

Так он же сказал:
>Использую дистр без сысды, дбас, полкитды, вяленого.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #284

295. Сообщение от Аноним (293), 30-Мрт-24, 15:47 +/–

Нужно решение на базе линкера, запрещающее динамически линковать 2 либы с конфликтующими именами символов кроме как через LD_PRELOAD. Разумеется, не поможет, ибо сплайсинг никто не отменял, но всё же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #291 Ответы: #298, #304, #315

296. Сообщение от Аноним (292), 30-Мрт-24, 15:49 –1 +/–

В ninja тем более смотреть не будет никто. А в automake очень даже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #325

297. Сообщение от Аноним (292), 30-Мрт-24, 15:52 +1 +/–

>Там нормальная человекочитаемая система сборки.
Тянущая всё с гитхабчика, ага. Ночью по CET/PST дядя Ляо сделал git push, дядя Ли запустил сборку растопакетика, маякнул Ляо сделать git push --force с отменой коммита и всё шито-крыто.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

298. Сообщение от Ананоним (?), 30-Мрт-24, 15:53 +/–

Нужно использовать простое и доверенное ПО. Но это в идеальном мире, а в реальном делайте 1000 заборов, а потом постоянно с ними "работайте".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #295

299. Сообщение от Аноним (292), 30-Мрт-24, 15:55 +/–

>Которые в последствии порождают (хотя честнее сказать высрыают) баш портянку такого вида
Так ты не порождай.
>Да за такой код, без комментариев "чего оно делает", нужно просто закрывать ПР без разговоров.
Ты часом не питонист?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #319

300. Сообщение от Аноним (292), 30-Мрт-24, 15:57 +/–

>Понятно это не защитит от "автор либы сам внес бекдор", но
Но тебе захотелось попиариться, вот же ж незадача.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #216

301. Сообщение от Аноним (292), 30-Мрт-24, 16:00 +1 +/–

>Как вообще такой код проходил ПР?
Всё просто - в ПР/МР делают придирки к неймингу, стилю кодирования, не сопадающим с таковым у автора, стикерам на макбуке, а на то, чтобы код работал хоть до, хоть после предложений ревьюера, обычно не смотрят.
На какую-либо безопасность не смотрят тем более.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #213

303. Сообщение от Аноним (292), 30-Мрт-24, 16:05 +/–

>что тексты в коммитах этого "китайца" написаны скорее носителем языка, чем китайцем
Вы наводите поклёп на страну, в которой в куче детсадов по прикомандированному к детям европейцу, который их учит английскому.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #280 Ответы: #415

304. Сообщение от Аноним (292), 30-Мрт-24, 16:06 +/–

>Нужно решение на базе линкера, запрещающее динамически линковать 2 либы с конфликтующими именами символов кроме как через LD_PRELOAD.
А как я буду malloc заменять?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #295 Ответы: #310

305. Сообщение от Аноним (121), 30-Мрт-24, 16:07 +/–

> Но какое Cisco имеет отношение к компаниям, которые перечислил птичка?
А если прочесть его сообщение внимательней?
> В то время как крупные корпорации, такие как
Cisco разве перестала быть корпорацией, с проприетарной продукцией?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #288 Ответы: #363

306. Сообщение от Аноним (121), 30-Мрт-24, 16:15 +/–

Ты точно читал новость? Архивы давно перестали быть бинарными файлами?
При сборке в ходе выполнения запутанных обфусцированных операций на основе архивов bad-3-corrupt_lzma2.xz и good-large_compressed.lzma, добавленных под предлогом использования в тестах корректности работы распаковщика, формировался объектный файл с вредоносным кодом, который включался в состав библиотеки liblzma и изменял логику работы некоторых её функций.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175 Ответы: #342, #353

307. Сообщение от Аноним (121), 30-Мрт-24, 16:18 +3 +/–

> А теперь представь, что было бы при подобной ситауции в проприетари.
А ничего бы не было, в Cisco до сих пор не расказали, кто на наоставлял вагон бекдоров, несмотря на все скандалы (но запретили Huawei, что иронично).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192

308. Сообщение от Аноним (106), 30-Мрт-24, 16:44 +/–

Это все происходит только в твоём воображении и каких то маловнятных новостях. Которые копнуть глубже и ясно что новость пшик.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #247

309. Сообщение от Аноним (106), 30-Мрт-24, 16:47 +/–

В том что метод тысячи глаз работает и сработал. То что у него есть время реакции ненулевое так это у всего в этом мире так. А в проприетари уязвимости бай дизайн и даже такие каких производитель не закладывал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #188 Ответы: #340

310. Сообщение от Аноним (310), 30-Мрт-24, 17:03 +/–

если хочешь менять на уровне линкинга либы - то управление памятью надо вынести в отдельную либу. Но в glibc как всегда помойка. Небольшая проблема.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #304

311. Сообщение от а (?), 30-Мрт-24, 17:50 +2 +/–

я извиняюсь, а где?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162 Ответы: #323, #328

312. Сообщение от pelmaniac (?), 30-Мрт-24, 18:03 –1 +/–

>Эта библиотека есть прям везде
в дебианах (даже 12м) нет пока сам не поставишь. на rhel сильно старое. нашёл среди своего хозяйства только на арче, но кто ж там что важное будет хранить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #320

313. Сообщение от pelmaniac (?), 30-Мрт-24, 18:05 +/–

>объективно говоря от этого приложения зависит пол системы
да откуда вы такие беретесь? не зависит от xz ничего, его даже поставить надо руками.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #327

315. Сообщение от Аноним (84), 30-Мрт-24, 18:33 +/–

>запрещающее динамически линковать 2 либы с конфликтующими именами символов
Ты думаешь, что когда при сборке sshd с ним линковался libsystemd.so, ликер будет смотреть символы во вторично зависимой liblzma.so.5?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #295 Ответы: #318

316. Сообщение от Аноним (316), 30-Мрт-24, 18:34 +/–

Всегда знал, что баш-портянки, регулярные выражения и всякие прочие нечитаемые недоязыки (типа Makefike) - это зло. Если бы выкинули это легаси родом из 70-х и пререшли на нормальную систему сборки (хоть CMake) - проблемы бы не было.
Вообще легаси нужно чистить периодически, а то в мусорной куче заводятся крысы и прочие паразиты.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #346, #361, #403

317. Сообщение от Аноним (317), 30-Мрт-24, 18:35 +1 +/–

Её интереснее. Расскажет, как там климат, на чём жарят - на масле или на голой сковороде

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #290

318. Сообщение от Аноним (319), 30-Мрт-24, 18:47 +/–

динамический линкер, линкующий при загрузке бинарей в память.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #315

319. Сообщение от Аноним (319), 30-Мрт-24, 18:49 +/–

И питонист, и сторонник Дяди Боба. А вы можете продолжать знать только JavaScript.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #299

320. Сообщение от myster (ok), 30-Мрт-24, 18:53 +2 +/–

> только на арче
Arch не был подвержен этому вектору атаки, там openssh не использовал liblzma, в отличие от DEB и RPM дистрибутивов.
Так что даже забекдорить с уязвимой версией xz, Arch бы не удалось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #312

321. Сообщение от Аноним (321), 30-Мрт-24, 18:55 +1 +/–

>Там нормальная человекочитаемая система сборки
...
1. сама тянущая все зависимости, какие укажут разработчики пакетов укажут. и собирающая их -> гигантское дерево зависимостей совершенно произвольных версий, прибытых гвоздями, в нескольких экземпларах, и зачастую совершенно не нужных для программы, просто где-то указанных в зависимостях, а не пакетов из дистра. Не нравится - перепиши всю экосистему.
2. выполняющая произвольный код вов время сборки, какой разработчик любой зависимости укажет -> компрометация сборочной системы с инфицированием всего софта, на ней собираемого
3. статическая линковка —> огроменные жрущие бинари, в которых невозможно разобраться, проще выкинуть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

322. Сообщение от Аноним (322), 30-Мрт-24, 18:59 +1 +/–

>Почему в 2024 году память sshd не зашифрована аппаратно?
Так и запишем - пособник копирастов-тивоизастов и устаревастов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #219

323. Сообщение от сщта (?), 30-Мрт-24, 19:17 –1 +/–

Малинку заведите. И спрятать эту Тамогочу в кладовку с донорскими платами чтобы никто не узнал.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #311

325. Сообщение от Анонми (?), 30-Мрт-24, 20:09 +/–

> В ninja тем более смотреть не будет никто. А в automake очень даже.
Makefile для ninja никто руками не пишет, и, соответственно, не заливает в репы/тарболы. Они генерятся тулзами типа meson и CMake.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #296 Ответы: #334

326. Сообщение от Анонми (?), 30-Мрт-24, 20:22 +/–

> Использование TOTP сделано максимально неудобным
Скопипастить код - это, по твоему, максимально неудобно?
> с FIDO2 вообще разрешено обходиттся одним фактором — "аутентификатором"
Лол. Устройство-аутентификатор и есть второй фактор. Чисто по определению.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #251 Ответы: #343

327. Сообщение от Аноним (327), 30-Мрт-24, 20:25 +3 +/–

apt autopurge xz-utils
Чтение списков пакетов… Готово
Построение дерева зависимостей… Готово
Чтение информации о состоянии… Готово
Следующие пакеты будут УДАЛЕНЫ:
  build-essential* dkms* dpkg-dev* g++* g++-13* g++-13-x86-64-linux-gnu* g++-x86-64-linux-gnu* gcc* gcc-13*
  gcc-13-x86-64-linux-gnu* gcc-x86-64-linux-gnu* libalgorithm-diff-perl* libalgorithm-diff-xs-perl*
  libalgorithm-merge-perl* libasan8* libatomic1* libc-dev-bin* libc-devtools* libc6-dev* libcc1-0*
  libcrypt-dev* libdpkg-perl* libfile-fcntllock-perl* libgcc-13-dev* libhwasan0* libitm1* liblsan0*
  libnsl-dev* libquadmath0* libstdc++-13-dev* libtirpc-dev* libtsan2* libubsan1* linux-libc-dev*
  manpages-dev* rpcsvc-proto* sysstat* xz-utils*
Обновлено 0 пакетов, установлено 0 новых пакетов, для удаления отмечено 38 пакетов, и 0 пакетов не обновлено.
После данной операции объём занятого дискового пространства уменьшится на 217 MB.
Хотите продолжить? [Д/н]

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #313

328. Сообщение от Аноним324 (ok), 30-Мрт-24, 20:30 +/–

> я извиняюсь, а где?
Есть такие устройства, кошельки называются, можешь даже сам такой сделать, штучка которая выглядит как флешка, которая не имеет доступа в интернет и защищена шифрованием, паролями, биометрией чем угодно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #311 Ответы: #330, #364

329. Сообщение от Аноним (327), 30-Мрт-24, 20:47 +1 +/–

Это не фишка, а насадка на зависимость )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

330. Сообщение от namenotfound (?), 30-Мрт-24, 21:35 +3 +/–

да, а потом как с неё деньги выводить обратно? не через интернет ли случаем?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #328

332. Сообщение от namenotfound (?), 30-Мрт-24, 21:38 +3 +/–

да-да, власти скрывают, голуби следят

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

333. Сообщение от semester (ok), 30-Мрт-24, 22:05 +/–

Accounting это какие примеры?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

334. Сообщение от Аноним (334), 30-Мрт-24, 22:27 +/–

Очень даже пишут. Иногда. В очень нишевых кейсах. Они даже читаемыми получаются. Главные их проблемы - гвоздями прибиты к компилятору, флагам и окружению.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #325

336. Сообщение от TSO (?), 30-Мрт-24, 22:59 +/–

>> Действительно, учить, так учить. Однокоренные слова к "мнение": мнить, мнимый. Маня-мирок, если выражаться на принятом здесь языке.
> Что же ты юлишь то? Очередного задорнова-фоменко косплеишь неубедительно. А слово
> линух происходит от слов Ли Нух? Наверное смысл что абсолютное большинство
> населения ит должно избавиться от идолопоклонничества мс?
По его разумению, я так понимаю, аглийское слово opinion ("мение") происходит от слова opium.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200 Ответы: #350

337. Сообщение от TSO (?), 30-Мрт-24, 23:02 +/–

> в истории был похожий персонаж, звали его Ли Харви Освальд.
Вау, о сколько нам открытий чудных!.. А можно поинтересоваться — какого такого американского президента убил г-н Сноуден?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #264 Ответы: #349

338. Сообщение от Аноним (339), 30-Мрт-24, 23:04 +2 +/–

> Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.
Единственно, что свой человек время  от времени лажался и коммитил с таймзоной EET и сопутствующими переводами часов.
А также чтил христианские праздники типа рождества. А китайские, наоборот, не соблюдал.
А так вылитый китаец, чо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #257

339. Сообщение от Аноним (339), 30-Мрт-24, 23:18 +/–

Эту историю читаешь и плакать хочется.
Один из коммитов етого псевдокитайца в oss-fuzz:
ревьювер: LGBT^WLGTM
(прошло два года, гром грянул, мужик^Wревьювер перекрестился)
тот же ревьювер: actually, it's no LGTM.
Ну вот и чо им скажешь, кроме как застрелиться у них на глазах?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

340. Сообщение от Аноним (340), 30-Мрт-24, 23:20 +1 +/–

Двойные стандарты что бы защитить свой мирок? Понимаю.
Там нашли бэкдор и опубликовали у мс - да всем понятно, сколько ещё скрыто никто не найдёт. Случайно наткнулись. Не то что в опенсорс.
Там нашли бэкдор в опенсорсе - видите как тысяча глаз работает, случайно случайный человек полез и нашёл закрытый бинарник. Некоторые скаллнеты пошли дальше. Вообще напрямую обвиняют мс - они же и подсаживают баги в опенсурс.
Твоё байдизайн не выдерживает никакой критики. Точно так же можно сказать про дыры в ПО и вообще дыры в голове тех кто делает опенсурс. А  ещё фарфоровый чайничек летает на орбите.
Это процесс построен как Г. Где глаза тех кто участвовал в разработке совместно с этим Ли? Где глаза тех что отключали проверки? Где глаза тех кто забирал это в дистрибутивы и собирал? Где глаза тех кто патчил ссш для втягивание туда системд? Где наконец-то глаза тех тысяч случайных людей которые всегда могут посмотреть с целью интереса в исходники и понять что там?
А всё открыл человек из мс который пошёл смотреть интересную ситуацию, по совершенно не его задаче. И пошёл он смотреть не в исходники в начале.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #309

341. Сообщение от microcoder (ok), 30-Мрт-24, 23:26 +/–

На Питоне замучаешься обфуцировать. Вот это язык так язык! Хех-хех )))))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

342. Сообщение от Аноним (342), 30-Мрт-24, 23:31 +/–

Бэкдор не в коде программы, а в её сборочных скриптах. Это определенно всё меняет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #306

343. Сообщение от Аноним (343), 31-Мрт-24, 01:05 +/–

1. Да, неудобно. Можно на JS написать аутентификатор, но лучше свалить из этого б.......о цирка, чем быть клоуном у п.......в.
2. При "пасскеях" устройство-аутентификатор есть единственный фактор, пароль не нужен, главное чтобы от нужного вендора был.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #326

344. Сообщение от Аноним (344), 31-Мрт-24, 01:22 +/–

Там юниксовый make.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #255

345. Сообщение от Аноним (345), 31-Мрт-24, 02:43 +/–

Оглянись, вдруг у тебя что-то торчит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #238

346. Сообщение от Аноним (345), 31-Мрт-24, 02:45 +/–

Всегда знал, и не исправил... Может ты специально ничего не зделал?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #316 Ответы: #409

347. Сообщение от Skullnet (ok), 31-Мрт-24, 03:09 +1 +/–

> Эта новость - прекрасный пример как открытые исходники спасают от бекдоров))
Спасают, бекдор исправили, а в винде хз, наверное ещё даже не нашли. А про бекдоры там знают те, кому нужно...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #223 Ответы: #360

348. Сообщение от Berkut (??), 31-Мрт-24, 03:22 +/–

В Tumbleweed сегодня из-за этого весь репозиторий пересобрали. Прилетело обновление на 4500 пакетов. Осталось поменять пароли и жить спокойно.

Ответить | Правка | Наверх | Cообщить модератору

349. Сообщение от n00by (ok), 31-Мрт-24, 08:31 +/–

>> в истории был похожий персонаж, звали его Ли Харви Освальд.
> Вау, о сколько нам открытий чудных!.. А можно поинтересоваться — какого такого
> американского президента убил г-н Сноуден?
Я вижу, ты не в курсе, что Освальд перед тем попросил политическое убежище в СССР и успел тут жениться? Зато решил сострить, поздравляю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #337

350. Сообщение от n00by (ok), 31-Мрт-24, 08:33 +/–

>>> Действительно, учить, так учить. Однокоренные слова к "мнение": мнить, мнимый. Маня-мирок, если выражаться на принятом здесь языке.
>> Что же ты юлишь то? Очередного задорнова-фоменко косплеишь неубедительно. А слово
>> линух происходит от слов Ли Нух? Наверное смысл что абсолютное большинство
>> населения ит должно избавиться от идолопоклонничества мс?
> По его разумению, я так понимаю, аглийское слово opinion ("мение") происходит от
> слова opium.
Некоторым быть в танке недостаточно, в качестве дополнительной защиты прибегают к проекциям. Ты можешь заниматься любой этимологией, но пока не придёшь к латинскому слову fact, она останется демагогией.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #336

351. Сообщение от n00by (ok), 31-Мрт-24, 08:35 +/–

> Ливнул, как ожидаемо. Ни одного своего лживого утверждения не смог обосновать.
Уговорил, объясняю вот это за тебя. Проекция - механическая псих.защита, характерная для недалёких индивидов.
Я тебе это уже неоднократно писал, ведь так?
> Под анонимом лучше такое пиши, а то все благодаря интернету теперь знают
> что ты недалекий, а не только сосед.
И без оправданий понятно, почему ты пишешь под Анонимом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #270 Ответы: #359

352. Сообщение от n00by (ok), 31-Мрт-24, 08:41 +/–

> Ты с матчастью ознакомься.
> Это цитата Сноудена в интервью гуардиану.
С какого перепугу я должен верить персонажу, чья компетенция в вопросе никак не подтверждена? Видишь ли, твоя паранойя по этому поводу недостаточно заразительна.
> Сбор данных без санкции суда на обычных граждан считается в сша очень
> крупным нарушением.
> Сливайся уже, малой
Для теба это нарушения, а для той конторы рутина. Если ты пытаешься меня убедить, что Столлман не понимал задачи и методы конторы, куда трудоустраивался, после того как облажался в пехоте, я тебе поздравляю - ты "подтвердил" его компетентность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #268 Ответы: #357

353. Сообщение от n00by (ok), 31-Мрт-24, 08:53 –1 +/–

Я не только читал новость, но и краем уха слышал, чем полиморфные движки отличаются от метаморфных. А ты не только сейчас полезешь гуглить эти слова, но и моё сообщение для тебя оказалось недостаточно понятным. Попробую упростить: никто не принесёт тебе бэкдор на блюдечке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #306 Ответы: #367, #418

354. Сообщение от Аноним (354), 31-Мрт-24, 09:53 +1 +/–

Ага, уже пошёл смотреть все сорсы всех либ, используемых в моем дистре, начиная с ядра. Сколько там, терабайт наберётся на почитать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

355. Сообщение от IdeaFix (ok), 31-Мрт-24, 10:07 +/–

Интересно, как оно в ЧПУКС работает...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #394

357. Сообщение от Аноним (360), 31-Мрт-24, 10:23 +/–

> С какого перепугу я должен верить персонажу, чья компетенция в вопросе никак не подтверждена?
Seven years after former National Security Agency contractor Edward Snowden blew the whistle on the mass surveillance of Americans’ telephone records, an appeals court has found the program was unlawful
С этим можно ознакомиться хоть в отечественных сми, хоть в американских. Так же на вики существует куча отсылок на  официальные действия сша. И все идут в сторону что поправка четвертая была нарушена.
Ты письмо их суду уже написал что они некомпетентны.
> Видишь ли, твоя паранойя по этому поводу недостаточно заразительна.
Ты решил все приемы Чамека здесь вывалить? На меня это не действует.
С твоей стороны какое-то высасывание из пальца.
С моей стороны опубликованные документы, решение суда, законы что были приняты после этого и имели обратную силу(что бы под суд не угодило много компаний).
А вот твоя беготня с росой по всем веткам она характерна. Вон они тебе как оо разработали в ОО в нике. До сих пор горит. Вмажь что-нибудь от болей себе уже и успокойся.
> Для теба это нарушения, а для той конторы рутина.
In a ruling handed down on Wednesday, the U.S. Court of Appeals for the Ninth Circuit said the warrantless telephone dragnet that secretly collected millions of Americans’ telephone records violated the Foreign Intelligence Surveillance Act and may well have been unconstitutional.
> Если ты пытаешься меня убедить, что Столлман не понимал задачи и методы конторы, куда трудоустраивался, после того как облажался в пехоте, я тебе поздравляю - ты "подтвердил" его компетентность.
Свою компетентность ты уже здесь всем показал. Никто не прав вплоть до американского суда, а ты лучше них такой знаешь что такое нарушение и как должна работать та контора.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #352 Ответы: #377

358. Сообщение от Легивон (?), 31-Мрт-24, 10:26 +1 +/–

>ноунейм прилинкованная либа имеет доступ к памяти sshd?
Иди книжку почитай: как работает линковка и для чего она нужна.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #219

359. Сообщение от Аноним (360), 31-Мрт-24, 10:37 +/–

> Я тебе это уже неоднократно писал, ведь так?
Про 12 приёмов Чапека тебе наверное уже ленивый не писал. Успокойся, здесь люди не твоего уровня и такие передерги видели уже давным давно.
> Уговорил, объясняю вот это за тебя. Проекция - механическая псих.защита, характерная для недалёких индивидов.
А суд сша тоже с псих.защитой? Или это у тебя мания величия сейчас раздувается?
Ну давай, попроси ещё 5К за консультацию, хехе.
> И без оправданий понятно, почему ты пишешь под Анонимом.
Ну вот видишь как прекрасно. Никаких оправданий. Все видят как ты по этой теме сел в лужу. Это один простой анонимный комментатор устроил.
В остатке всех твоих посещений опеннета будет: склочный, недалекий, мнительный человек. Пытается всё время показать превосходство используя 12 приемов полемики Чапека. Что никогда не выходит - потому что знаний у него почти нигде нет. В результате постоянно садится в лужу. Отказывается принимать реальность когда ему дают ссылки на компетентные источники информации.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #351 Ответы: #376

360. Сообщение от Аноним (360), 31-Мрт-24, 10:44 –1 +/–

И фарфоровый чайник на орбите летает, да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #347

361. Сообщение от Легивон (?), 31-Мрт-24, 10:59 +/–

Что не так с Makefile?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #316 Ответы: #389

362. Сообщение от Аноним (362), 31-Мрт-24, 12:20 +/–

В арче не принято обмазывать исходники пакетов коричневой субстанцией^W^W патчами, как в дебиане

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #242

363. Сообщение от Аноним (363), 31-Мрт-24, 12:43 +/–

Гнутое точно такая же проприетарщина потому что требует передачи авторских прав, но ведь это не считается? Я про www.gnu.org/licenses/why-assign.ru.html говорю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #305

364. Сообщение от Аноним (364), 31-Мрт-24, 15:53 +2 +/–

А потом этот кошелек выходит из строя и привет. Такое уже было.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #328

365. Сообщение от Аноним (364), 31-Мрт-24, 15:56 +1 +/–

Но он прав в том, что один бэкдор в мире Linux был относительно быстро обнаружен вызвал скандал, а закрытая Windows может быть нашпигована по самое нехочу но ничего поделать с этим нельзя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #375

366. Сообщение от Аноним (364), 31-Мрт-24, 16:30 +1 +/–

Так даже у m4 синтаксис лучше чем у Раста.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #187

367. Сообщение от Аноним (364), 31-Мрт-24, 16:45 Скрыто ботом-модератором +/–

Не стыдно гуглить новое, стыдно бросатся умными словами без понимания их значения, строя из себя эксперта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #353 Ответы: #398

368. Сообщение от Аноним (364), 31-Мрт-24, 16:50 +1 +/–

Кто захочет писать безопасно на Си - тот будет писать безопасно на Си.
Неосиляторам же ничто не поможет, даже новый язык.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

369. Сообщение от Аноним (364), 31-Мрт-24, 16:52 +/–

Использование Хруста как-то мешает использовать в проекте m4 и bash? Выдыхай, бобер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

370. Сообщение от Аноним (364), 31-Мрт-24, 16:58 +/–

Так по просьбе какого-то васяна и unsafe-обертки заапрувят и вся хваленая безопасность псу под хвост.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

371. Сообщение от Аноним (364), 31-Мрт-24, 17:02 +/–

Звучит как теория заговора.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #198

372. Сообщение от Аноним (364), 31-Мрт-24, 17:04 +/–

>это не защитит от "автор либы сам внес бекдор"
На этом обсуждение можно было и закончить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #216

373. Сообщение от jsforever (ok), 31-Мрт-24, 17:26 +/–

Не переживай, раст и прочая скриптуха также подвержена подобным проблемам. И дело не в синтаксисе, а в макросне. Любая макросня - это уже обфускация.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

374. Сообщение от jsforever (ok), 31-Мрт-24, 17:28 +/–

Там уже есть весь этот отстой - это макросы. Проблемы всё те же, что и у баш/м4.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

375. Сообщение от n00by (ok), 31-Мрт-24, 17:35 +/–

"Может быть" ключевое слово, а "ничего поделать с этим нельзя" следует читать как "ничего не умею".
Например вот эту штука http://www.online-solutions.ru/products/osss-security-suite.... много чего могла на тех ОС, где работала.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #365 Ответы: #417

376. Сообщение от n00by (ok), 31-Мрт-24, 17:38 +/–

>> Я тебе это уже неоднократно писал, ведь так?
> Про 12 приёмов Чапека тебе наверное уже ленивый не писал.
Первый раз такое тут вижу.
> Успокойся, здесь
> люди не твоего уровня и такие передерги видели уже давным давно.
А это постоянно. Когда оратор плавает в вопросе, он резко принимается выступать от лица "всех". Советую тебе отказаться от подобной риторики, поскольку ты сам тебя обнуляешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #359 Ответы: #382

377. Сообщение от n00by (ok), 31-Мрт-24, 17:41 +/–

> всем показал.
А ты _мне_ вот этим показал, что сам себя лично ни во что не ставишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #357 Ответы: #383

378. Сообщение от n00by (ok), 31-Мрт-24, 17:44 +/–

Так ты Патриотический Акт почитай. Может последуешь примеру своего кумира и перестанешь на них работать. ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #274 Ответы: #384

379. Сообщение от jsforever (ok), 31-Мрт-24, 18:42 +/–

> Например есть либы (в расте) которые помечены #![forbid(unsafe_code)] что запрещает использование unsafe.
> Понятно это не защитит от "автор либы сам внес бекдор", но тут чел был не главным мейнтенером
Например есль скрипты (в баше) которые просто пускают команды, без каких-либо подстановок, либо с минимальной долей что делает невозможной небезопасные действия/обфускацию/т. п.
Понятно, это не защитит от "автор либы сам внес бекдор", но тут чел был не главным мейнтенером.
Не позорься.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #216

380. Сообщение от Аноним (380), 31-Мрт-24, 18:58 +/–

buster - 5.2.4

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #239

381. Сообщение от adolfus (ok), 31-Мрт-24, 20:32 –2 +/–

Какой, извиниться? Его валить нужно. А если есть семья, то и семью.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

382. Сообщение от Аноним (382), 31-Мрт-24, 20:57 +/–

Так кто прав?
Американский суд признавший преступным слежку за своими гражданами или опеннетовский нуби?
Сливайся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #376 Ответы: #395

383. Сообщение от Аноним (382), 31-Мрт-24, 20:58 +/–

Итак кто прав.
Американский суд признавший преступным слежку за своими гражданами или опеннетовский нуби?
Сливайся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #377 Ответы: #396

384. Сообщение от Аноним (382), 31-Мрт-24, 20:58 +/–

Так кто прав?
Американский суд признавший преступным слежку за своими гражданами или опеннетовский нуби?
Сливайся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #378 Ответы: #397

385. Сообщение от Аноним (385), 31-Мрт-24, 22:59 +1 +/–

>[ ! $(uname) = "Linux" ] && exit 0
так BSD и так в безопасносте

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

386. Сообщение от Аноним (386), 31-Мрт-24, 23:04 +/–

>[оверквотинг удален]
> Опять же ответ прост - конкурентная борьба за ресурсы между людьми.
> Чем больше ты контролируешь ресурсов, тем меньше шанс оказаться на улице
> без средств к существованию и сдохнуть от голода. Как это прекратить?
> Дать каждому уверенность, что чтобы не случилось, его обеспечат работой и
> гарантированным минимумом необходимых для жизни ресурсов (не только водой и едой,
> но также жильём, медициной, образованием и т.д.). Как создать подобное общество?
> Вопрос достаточно сложный, но опять же решаемый - одна попытка уже
> была. В чём-то успешная, в чём-то - нет, однако правильность подхода
> можно считать доказанной. Осталось лишь сделать работу над ошибками - разобраться,
> почему не получилось, и попробовать создать правильную версию.
хорошая попытка, но нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #199 Ответы: #388

388. Сообщение от ProfessorNavigator (ok), 01-Апр-24, 00:30 +/–

> хорошая попытка, но нет.
Что именно и почему?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #386

389. Сообщение от Аноним (316), 01-Апр-24, 03:02 +/–

Ископаемый язык, который никто сейчас даже трогать не хочет ввиду его ужасного и запутанного синтаксиса, не то что изучать. Зато крякеры обожают всякое подобное легаси, что и используется в примере.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #361

392. Сообщение от Аноним (-), 01-Апр-24, 06:43 +2 +/–

> Во! Если уж бэкдор, то только хардварный, только хардкор! Не допускать васянство!
Intel ME вместе с PSP передать просили - ALL YOUR BASE ARE BELONGS TO US!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

394. Сообщение от Аноним (394), 01-Апр-24, 07:30 +/–

чпукс кому-то ещё нужен?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #355 Ответы: #402

395. Сообщение от n00by (ok), 01-Апр-24, 07:47 +/–

Зачем ты задаёшь мне все эти глупые вопросы? Ты хочешь меня убедить, что я не прав? Мне плевать на мнение персонажа, боящегося подписаться под своими словами. Ты хочешь себя убедить, что ты прав? Тебе одной веры в слова гуру секты недостаточно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #382 Ответы: #406

396. Сообщение от n00by (ok), 01-Апр-24, 07:49 +/–

Зачем ты задаёшь мне все эти глупые вопросы? Ты хочешь меня убедить, что я не прав? Мне плевать на мнение персонажа, боящегося подписаться под своими словами. Ты хочешь себя убедить, что ты прав? Тебе одной веры в слова гуру секты недостаточно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #383

397. Сообщение от n00by (ok), 01-Апр-24, 07:49 +/–

Зачем ты задаёшь мне все эти глупые вопросы? Ты хочешь меня убедить, что я не прав? Мне плевать на мнение персонажа, боящегося подписаться под своими словами. Ты хочешь себя убедить, что ты прав? Тебе одной веры в слова гуру секты недостаточно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #384

398. Сообщение от n00by (ok), 01-Апр-24, 08:09 +/–

Ну так и не пиши больше "запутанных обфусцированных операций" и прочее "масло маслянное". Пиши понятные простые слова: "что-то намудрил", "намутил", "нафигачил", например.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #367

400. Сообщение от Пряник (?), 01-Апр-24, 09:59 +/–

Видимо xz настолько заброшен, что никто однострочник с eval не увидел.

Ответить | Правка | Наверх | Cообщить модератору

401. Сообщение от Пряник (?), 01-Апр-24, 10:01 +/–

Так вот зачем китайцы стучатся по SSH!

Ответить | Правка | Наверх | Cообщить модератору

402. Сообщение от IdeaFix (ok), 01-Апр-24, 10:04 +/–

> чпукс кому-то ещё нужен?
Как сказать... я прикупил очень дешево (ибо первый раз в жизни увидел) b2600, а там только нетбсд плохо работает и 11-й чпукс хорошо... другое дело что чпукс для воркстейшонов закопали еще раньше чем для серверов... а для hp-pa еще-еще раньше.
Блин, чпукс никому не нужен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #394

403. Сообщение от Аноним (-), 01-Апр-24, 12:36 +/–

> Если бы выкинули это легаси родом из 70-х и пререшли
> на нормальную систему сборки (хоть CMake) - проблемы бы не было.
Ваш CMake также поимели, даже не используя никакие регулярные выражения
https://www.opennet.me/opennews/art.shtml?num=60888

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #316

404. Сообщение от Аноним (-), 01-Апр-24, 14:13 –2 +/–

Про воспроизводимые сборки в НТЦ ИТ Роса никто и не слышал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

405. Сообщение от Аноним (317), 01-Апр-24, 14:43 +/–

> Вопрос по прежнему открыт: почему ноунейм прилинкованная либа имеет доступ к памяти sshd?
Это претензии к операционным системам, я надеюсь, а не к разработчикам прикладной программы? Потому что все широкораспространенные операционки загружают разделяемые библиотеки в область памяти процесса и все они (и программа и прилинкованные библиотеки) на аппаратном уровне имеют равные права обращаться куда угодно в пределах этой области, хоть это и категорически нежелательно, в частности в свете того, что в программе и библиотеках всунуты разные менеджеры памяти?
>  Почему в 2024 году память sshd не зашифрована аппаратно? По логике любой либе скармливаются входные данные и она отдает выходные, ни в какие иные области памяти она читать и тем более писать не имеет право
Да пожалуйста, они бы и без доступа к памяти sshd обошлись, хватило бы и своей собственной выделенной, главное, чтобы sshd подтянул либу и запустил ее код, особенно со своими sshd-ными правами. А дальше они уже сами разберутся. Мало что ли там находят локальных уязвимостей с поднятием привилегий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #219

406. Сообщение от Аноним (360), 01-Апр-24, 18:43 +/–

Прямо эталон по впрыгиванию в жир ногами показал. И дальше крутишься как на сковородке, против решения суда сша. Самому то не стремно так опозориться и ещё упорствовать? Это риторический вопрос, тебе то уже ничего не поможет. Чао, альтернативный.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #395 Ответы: #408

407. Сообщение от burjui (ok), 01-Апр-24, 22:34 +/–

> Gentoo трабл с sshd не аффектит, так как там не юзаются патчи для systemd-notify
Пофиксил, ё велком

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

408. Сообщение от n00by (ok), 02-Апр-24, 11:03 +/–

> против решения суда сша.
Итак, Анонимный эксперт настойчиво утверждает, что некий окружной суд Жмеринки признал деятельность АНБ незаконной.
Почему же все эти агенты Смиты всё ещё на свободе?
Почему имущество конторы не опечатано судебными приставами?
Что же хочет сказать всем этим эксперт?
Что решения окружного суда Жмеринки не имеют юридической силы?
Или что эксперт совершенно разучился думать?
> Самому то не стремно так
> опозориться и ещё упорствовать?
Тебе, очевидно, нет. Ведь всякое отрицание ученья гуру является доказательством его правоты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #406

409. Сообщение от Аноним (409), 02-Апр-24, 15:33 +/–

пособник

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #346

410. Сообщение от vantoo (ok), 02-Апр-24, 15:43 +/–

И отрезать ему ухо!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

411. Сообщение от Аноним (-), 04-Апр-24, 01:05 +/–

> Все современные ботнеты, они исключительно иот. А там как всегда протухшая на 5-7
> лет версия ядра.
Именно поэтому у меня воооон там в логах немеряно левака с каких-то маздаев таких как ты васянов и прочих дырохостингов с суперблохами - где водятся баги.
Отовсюду лезут на самом деле. Все что можно использовать нашару - используют. Нахаляву и уксус сладкий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

412. Сообщение от Аноним (-), 04-Апр-24, 01:08 +/–

> Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет,
> что они существуют.
Всякие ремотные активации с "customer experience improvement" с отсылкой нажатий кнопок на клаве интеречно что по вашему? Фича чтоли? Ну тогда кардер разувающий вашу кредитку - благодетель, вероятно. А грабитель - так и вообще клевый чувак.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

413. Сообщение от Аноним (-), 04-Апр-24, 01:10 +/–

> А пока остаётся только ставить линукс и приговаривать: "This is fine"
Ну так в стабильных дистро - "all systems online". Ну в васяны с роллингами как раз и побегали по минному полю - а они разве не на это подписывались? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

415. Сообщение от Пользователь чебурнета (?), 08-Апр-24, 12:26 +/–

Может это американец китайского происхождения? Азиато-американец.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #303

417. Сообщение от Аноним (417), 26-Апр-24, 11:02 +/–

Да, читать нужно уметь, но не так альтернативно одаренно, по итгу буквально все - мимо. Ключевое слово - "есть", а именно не может не быть, но ты же споришь с очевидным. Можешь обнаруживать там что угодно, но что сделаешь с этим? Пофиксишь в hex-editor? Особенно когда срок поддержки завершен - отложите все дела, устанавливаются новые уязвимости, и все по новому.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #375 Ответы: #420

418. Сообщение от Аноним (417), 26-Апр-24, 11:09 Скрыто ботом-модератором +/–

Ты уже совсем съехал и собеседников между собой путаешь, враждебный мир он такой, все есть заговор против тебя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #353 Ответы: #419

419. Сообщение от n00by (ok), 28-Апр-24, 08:53 +/–

> Ты уже совсем съехал и собеседников между собой путаешь,
Сообщение от Аноним (121), 30-Мрт-24
Сообщение от n00by (ok), 30-Мрт-24
Сообщение от Аноним (121), 30-Мрт-24
Сообщение от n00by (ok), 31-Мрт-24,
Сообщение от Аноним (417), 26-Апр-24
Ты месяц за мной бежал, что бы сообщить мне, что я перепутал Анонима (121) и Анонима (121)?
> враждебный мир он такой, все есть заговор против тебя.
Или тебя месяц подержали во враждебном мире заговорщики, а теперь выпустили?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #418

420. Сообщение от n00by (ok), 28-Апр-24, 09:01 +/–

> Да, читать нужно уметь, но не так альтернативно одаренно, по итгу буквально
> все - мимо.
Ну почему же всё? "итгу" - годный пример, что читать надо уметь. Особенно, что сам пишешь.
> Ключевое слово - "есть", а именно не может
> не быть, но ты же споришь с очевидным.
Очевидно, что в сообщении, на которое я отвечал, слово "есть" тебе померещилось. Ты можешь нажать в браузере Ctrl+F и убедиться.
> Можешь обнаруживать там
> что угодно, но что сделаешь с этим? Пофиксишь в hex-editor? Особенно
> когда срок поддержки завершен - отложите все дела, устанавливаются новые уязвимости,
> и все по новому.
Что бы ты мог суметь представить, что _я_ сделаю, тебе необходим хоть какой-то опыт, помимо поиска патчей и сборки готовых пракетиков. Например, ты можешь прочитать про Miсrosoft Detours -- для затравки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #417

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от semester (ok), 29-Мрт-24, 22:43	+2 +/–
И как понять что тот бекдор успел натворить? Если он больше месяца существует.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #9, #98

4. Сообщение от Bonbon (?), 29-Мрт-24, 22:50	+1 +/–
For our openSUSE Tumbleweed users where SSH is exposed to the internet we recommend installing fresh, as it’s unknown if the backdoor has been exploited. Due to the sophisticated nature of the backdoor an on-system detection of a breach is likely not possible. Also rotation of any credentials that could have been fetched from the system is highly recommended. https://news.opensuse.org/2024/03/29/xz-backdoor/
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

5. Сообщение от FSA (??), 29-Мрт-24, 22:51	–14 +/–
Короче. Инцидент был и он в дистрибутивах был, которые никто в здравом уме не будет ставить на прод. А ломать домашние машины... которые по какой-то причине выставлены в сеть... ну это цель нужна и ждать подходящего момента... сомнительное удовольствие.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7, #119, #141

6. Сообщение от Перастерос (ok), 29-Мрт-24, 22:52	+2 +/–
найти и наказать гада — это одно, не допускать такого в принципе — другое..
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #33, #79

7. Сообщение от Аноним (7), 29-Мрт-24, 22:56	+4 +/–
Создать ботнет и наехать на "конкретных" , не ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #161

8. Сообщение от kusb (?), 29-Мрт-24, 22:58	+3 +/–
хз-utils, ну что, уважаемо, эпично. Эта библиотека есть прям везде. И самое дурное, ведь архиватору не нужен доступ почти ни к чему. Но такой изоляции нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #312

9. Сообщение от Alexander_R (ok), 29-Мрт-24, 22:59	+11 +/–
Не просто больше месяца существует - автор бэкдора 2 года в проекте (!!) и отправлял к нему многочисленные патчи с исправлениями (в том числе для повышения скрытности). При этом явно предпринималась попытка замаскировать полную компроментацию проекта xz под "всего лишь" компроментацию тарболов, а сам бэкдор не активировался если запускать исполняемые файлы с поражённой liblzma в терминале. Не известно, единственный ли это бэкдор или были другие (а ещё аккаунт автора вовлечён в разработку кучи других проектов, таких как java-версия xz...) Не исключено, что к моменту публикации новости аффтар уже почистил за собой все следы и перезагрузил за вас ваши сервера 0_o
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #10

10. Сообщение от Ано ним (?), 29-Мрт-24, 23:14	–4 +/–
откуда дровишки?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #14

11. Сообщение от birdie (ok), 29-Мрт-24, 23:15	–24 +/–
Я уже много лет говорю об этой проблеме и о том, как плохо обстоят дела с безопасностью в Linux. Я знал, что что-то подобное случится, и это случилось. Почти все дистрибутивы, за исключением, может быть, RHEL, торопятся выложить пакеты из upstream, никогда не проверяя, что исходный код не был затроянен. Хуже того, независимые мейнтейнеры, назначенные для работы с пакетами, часто даже не являются разработчиками, так что у них нет ни возможностей, ни квалификации, чтобы прочитать код и убедиться, что он по-прежнему заслуживает доверия. Часто сопровождающие отвечают за несколько пакетов, и в то же время это не является их основной работой или тем, за что они получают зарплату, поэтому они практически не заинтересованы в том, чтобы все было правильно. В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует. И дело не только в Linux, FreeBSD тоже страдает от этого. Я не уверен насчет OpenBSD/NetBSD, поскольку никогда их не использовал. Можно ли решить эту проблему? Понятия не имею. Дистрибутивы Linux должны предпринять согласованные усилия по проверке пакетов и отмечать их как "доверенные". Я никогда не слышал ни о чем подобном, за исключением RHEL, который не является настольным дистрибутивом и, кроме того, сильно ограничил свои связи с сообществом. Это не проблема XZ. Это проблема всей экосистемы Linux. Вопрос безопасности, надежности, доверия и проверяемости.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15, #18, #23, #100, #117, #211, #241, #248, #252

12. Сообщение от Ано ним (?), 29-Мрт-24, 23:17	+1 +/–
> сервер OpenSSH, в котором используется liblzma Это не правда. В sshd не используется liblzma. SSHd _можно_ собрать, слинковав с libsystemd, который в свою очередь, зависит от liblzma. Читайте оригинал сообщения https://www.openwall.com/lists/oss-security/2024/03/29/4
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17, #53

13. Сообщение от sesto (?), 29-Мрт-24, 23:23	–7 +/–
Да что ты говоришь? Это же чушь несусветная. RHEL или MS напрямую у тебя берут данные и отдают кому надо. А здесь ты можешь смотреть, что и происходит. Так Базар и развивается, а за Собором в MS.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #144, #354

14. Сообщение от Alexander_R (ok), 29-Мрт-24, 23:24	+3 +/–
В обсуждении на openwall много чего есть из не упомянутого в новости.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

15. Сообщение от Аноним (15), 29-Мрт-24, 23:27	+10 +/–
Все ок, но про одобрение каждой строчки кода уже слишком жирно
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #24

16. Сообщение от Аноним (15), 29-Мрт-24, 23:29	+4 +/–
Вообще xz это зло: https://www.nongnu.org/lzip/xz_inadequate.html
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #41, #42

17. Сообщение от birdie (ok), 29-Мрт-24, 23:29	–5 +/–
sshd дёргает метод из systemd, который дёргает liblzma. То, что вы в своём Gentoo/LFS/Devuan извращаетесь, не имеет отношения к новости. Она про Fedora 40/Rawhide/Debian SID, и they are all f*cked.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #30, #43, #58, #108

18. Сообщение от Аноним (18), 29-Мрт-24, 23:29	+10 +/–
Каким боком здесь безопасность линукса? Это не дыра в ядре, не эскалация привилегий, а банальный троян в пользовательском приложении. В винде же троянов не бывает, а майкрософт лично проверяет код каждого экзешника в интернете. Не забудь принять таблетки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #19, #20, #68

19. Сообщение от semester (ok), 29-Мрт-24, 23:33	+1 +/–
ну объективно говоря от этого приложения зависит пол системы. Может я не прав, но получается ты ставишь "winrar" и половина винды от него зависит.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #27, #146, #313

20. Сообщение от birdie (ok), 29-Мрт-24, 23:46	–13 +/–
> В винде же троянов не бывает, а майкрософт лично проверяет код каждого экзешника в интернете. Не забудь принять таблетки. Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет, что они существуют. > а майкрософт лично проверяет код каждого экзешника в интернете Я говорил про software, который создаёт и распространяет сама MS официально. Мне плевать на то, кто и что "распространяет в Интернет". Начните с умения читать и понимать написанное - у вас с этим проблемы. > Не забудь принять таблетки. Попробуй мне это в лицо сказать, анонимный тролль.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #25, #28, #36, #38, #172, #217, #412

22. Сообщение от Аноним (28), 29-Мрт-24, 23:47	+6 +/–
Gentoo проблема с sshd не аффектит, так как там не используют патчи для systemd-notify: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094#c3
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #407

23. Сообщение от твёрдый ветер (?), 29-Мрт-24, 23:48	+1 +/–
>В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту можно поподробнее о том как крупные корпорации одобряют каждую строчку кода ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #118

24. Сообщение от birdie (ok), 29-Мрт-24, 23:49	–1 +/–
Да, примерно так. Причём код проверяет не один человек, а несколько. Жирно - это к open source. На первой странице Opennet это уже вторая (!) новость про то, что ни черта никто не проверяет, а эту уязвимость просто случайно (!) обнаружили, потому что код трояна был кривой и вызывал задержки в работе SSHD.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #125

25. Сообщение от Аноним (18), 29-Мрт-24, 23:56	+4 +/–
> Примеры backdoors в продуктах Microsoft в студию. Сначала ты примеры backdoors в продуктах Linux Foundation в студию. > Я говорил про software, который создаёт и распространяет сама MS официально. Мне плевать на то, кто и что "распространяет в Интернет". То есть все люди на винде пользуются исключительно приложениями от MS и никакими другими? Ну-ну.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #40, #45

27. Сообщение от Аноним (18), 30-Мрт-24, 00:02	+2 +/–
Да, но если так же скомпрометировать популярную библиотеку на винде, разница будет лишь в том, что копия вирусной dll-ки будет лежать в комплекте у каждого отдельного приложения. Что кстати ЗНАЧИТЕЛЬНО усложняет процесс обезвреживания, ведь нельзя просто обновить 1 пакет, а придется обновлять КАЖДОЕ приложение у которого эта dll в комплекте.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #148

28. Сообщение от Аноним (28), 30-Мрт-24, 00:07	+1 +/–
> Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет, что они существуют. Вы серьёзно? Тут даже сложно комментировать ибо вы похоже очень многое пропустили... Вы хоть знаете фамилию президанта РФ? :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #286

29. Сообщение от Аноним (33), 30-Мрт-24, 00:07	+/–
> Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6. xz --version xz (XZ Utils) 5.4.1 liblzma 5.4.1 Хакеры 0 : 1 Debian stable
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #35, #46, #86

30. Сообщение от Аноним (30), 30-Мрт-24, 00:10	+8 +/–
Учитывая, что разрабатывают openssh разработчики openbsd, то вопрос кто тут извращается с libsystemd, остаётся открытым
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

32. Сообщение от Аноним (30), 30-Мрт-24, 00:15	+/–
В pkgsrc уже откатились - https://pkgsrc.se/archivers/xz Но в самом образе NetBSD вообще 5.2.4 версия
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #385

33. Сообщение от Аноним (33), 30-Мрт-24, 00:18	+4 +/–
Во! Если уж бэкдор, то только хардварный, только хардкор! Не допускать васянство!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #392

34. Сообщение от Аноним (34), 30-Мрт-24, 00:20	+21 +/–
Чувак не виноват, ему просто copilot сделал автоподстановку и он случайно нажал на Tab
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #95

35. Сообщение от Skullnet (ok), 30-Мрт-24, 00:25	+1 +/–
xz --version xz (XZ Utils) 5.2.5 liblzma 5.2.5 У меня ещё древнее.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29 Ответы: #48