The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В Rust Coreutils выявлено 113 уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Rust Coreutils выявлено 113 уязвимостей"  +/
Сообщение от opennews (ok), 24-Апр-26, 16:26 
Компания Canonical опубликовала предварительные итоги независимого аудита безопасности инструментария uutils coreutils (Rust Coreutils), написанного на языке Rust и частично применяемого в Ubuntu вместо пакета GNU Coreutils. Аудит был выполнен компанией Zellic, имеющей опыт анализа уязвимостей в проектах на языке Rust. В ходе проверки было выявлено 113 проблем с безопасностью...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=65278

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от BorichL (ok), 24-Апр-26, 16:26   +32 +/
Похоже дело всё-таки не в С...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #7, #11, #69, #70, #83, #98, #110, #123

2. Сообщение от Аноним (6), 24-Апр-26, 16:27   +11 +/
> большая часть уязвимостей была устранена в выпусках uutils 0.5-0.8 без лишней огласки и пометки связи вносимых исправлений с устранением уязвмостей.

Типичные программисты на безопасном языке.

> Отмечается, что по состоянию на 22 апреля в данных утилитах остаётся не исправлено 8 известных состояний гонки.

Сейчас, конечно же, местные будут отрицать, но изначально они утверждали что раст и от состояния гонки спасает благодаря проверке боровов. А теперь вот уже не спасает и вообще они такого не когда не говорили.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8

3. Сообщение от Аноним (3), 24-Апр-26, 16:30   +10 +/
Вот это провал...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

4. Сообщение от Аноним (4), 24-Апр-26, 16:33   –1 +/
Компилятор-то не написали, а туда же.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

5. Сообщение от px (??), 24-Апр-26, 16:34   +1 +/
Это API-рейс, не рейс между потоками. По сути, это логическая ошибка, а не ошибка синхронизации. Rust не защищает от логических ошибок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14, #33

6. Сообщение от Аноним (6), 24-Апр-26, 16:34    Скрыто ботом-модератором+3 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10

7. Сообщение от Аноним (10), 24-Апр-26, 16:35   +1 +/
Можно было бы так сказать, если бы для ГНУтых утилит вообще делался какой-то аудит)
А так - только вилами по воде писять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #73, #75

8. Сообщение от Витюшка (?), 24-Апр-26, 16:37   +/
Я думаю версия 0.5 или 0.05 или 0.00005 как бы намекает на "гарантии". Сейчас Ubuntu кааааак допилит (нет).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (10), 24-Апр-26, 16:37   –5 +/
Судя по описанным ошибкам - большая часть это логические ошибки и/или состояние гонки между API.

> Информация о всех выявленных проблемах уже передана разработчикам uutils и большая часть уязвимостей была устранена

Так чего бухтеть, а?))

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #26, #45

10. Сообщение от Аноним (10), 24-Апр-26, 16:39    Скрыто ботом-модератором–9 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (11), 24-Апр-26, 16:43   +1 +/
А сколько тут уязвимостей иза расчета буфера и прочих этих, сишных?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от Аноним (12), 24-Апр-26, 16:43   –3 +/
для честности процесса не сравнили сколько было таких ошибок за все время в coreutils
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #79

13. Сообщение от Аноним (13), 24-Апр-26, 16:43   +/
Это обс..р!
Вместо .. вставить буковаку [йо]!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #126

14. Сообщение от Аноним (14), 24-Апр-26, 16:44   +1 +/
Да он ни от чего не защищает. Только опеннет (не связанный с растом) завален новостями об ошибках и в каждом комментарии приходит комментатор который заявляет что "раст от этого не защищает". Спасибо, кэп, если бы защищал то и ошибок бы не было, логично?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #125

15. Сообщение от Аноним (13), 24-Апр-26, 16:45   +/
Наверное написали, но только конпиляхтор, что бы это не значило.
Пы.Сы.
Наброс бггггг ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

16. Сообщение от Сладкая булочка (?), 24-Апр-26, 16:46   +/
Выкидывайте этот дырявый uutils. Нужен coreutils на lean4.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #103

17. Сообщение от Аноним (17), 24-Апр-26, 16:47   +1 +/
> для честности процесса не сравнили сколько было таких ошибок за все время в coreutils

Боюсь на этот вопрос ответа нет.
Аудит корутилсов никто не делал, и сомнительно что будут делать.
Максимум натравят какую-то ЫЫшку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 24-Апр-26, 16:47    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Xasd1 (?), 24-Апр-26, 16:47   +/
TOCTOTOU — стоило бы догадаться что Rust не спасёт от ошибок этого типа…

а по сути это то что мы ожидаем что в СИСТЕМНОМ софте должно быть вылезано до блеска…

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #34

20. Сообщение от Аноним (17), 24-Апр-26, 16:47   +/
> Выкидывайте этот дырявый uutils.

А это не ты решаешь))

> Нужен coreutils на lean4.

Ну так возьми и напиши.
А то только языком трепаться можешь.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #27

21. Сообщение от Аноним (14), 24-Апр-26, 16:48   +3 +/
А толку то? Примерно это же и говорили сишники когда раст начали популяризовать. Что язык не безопасный, хотите гарантии используйте предназначенную функциональщину. Что все равно все зависит от разработчика и нет смысла менять шило на устаревшее (уже в момент выхода раст концептуально был сильно устаревшим) мыло. Прошло 10 лет и теперь то что вам говорили десятилетие назад в упрек, вы повторяете как оправдание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

23. Сообщение от Сладкая булочка (?), 24-Апр-26, 16:49   +7 +/
> В Rust Coreutils выявлено 113 уязвимостей

Если растовщики не могут даже переписать код без уязвимостей на языке, который by design безопасный, то куда они постоянно лезут со своими нравоучениями?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77

24. Сообщение от Аноним (18), 24-Апр-26, 16:50   +/
они только переписывать могут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #28, #31, #32, #37

25. Сообщение от Аноним (28), 24-Апр-26, 16:50   +1 +/
Может заменить раст на паскаль?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #94, #104

26. Сообщение от Аноним (6), 24-Апр-26, 16:51   +2 +/
> Состояние гонки между API

Что ты такое? А состояние гонки между ABI у вас там бывает? Или между cdecl и fastcall?

> Так чего бухтеть, а?))

Так и не бухти

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

27. Сообщение от Сладкая булочка (?), 24-Апр-26, 16:51   –1 +/
> А это не ты решаешь))

Чем пользоваться в системе у себя решаю я сам.

> Нужен coreutils на lean4.

Ну так возьми и напиши.
А то только языком трепаться можешь.

Совсем как ты, да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #38

28. Сообщение от Аноним (28), 24-Апр-26, 16:51   +1 +/
Тут даже переписывание готового кода не получилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

29. Сообщение от Сладкая булочка (?), 24-Апр-26, 16:51   +3 +/
На Оберон
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #95

30. Сообщение от Аноним (30), 24-Апр-26, 16:51   +1 +/
113 уязвимостей - это определённо безопастный успех.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

31. Сообщение от Сладкая булочка (?), 24-Апр-26, 16:52   +/
> они только переписывать могут

Давайте не будем нагнетать... Еще обертки вокруг си умеют делать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

32. Сообщение от aname (ok), 24-Апр-26, 16:52   +2 +/
НЕ МОГУТ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

33. Сообщение от Смузихлеб забывший пароль (?), 24-Апр-26, 16:52   +3 +/
Очередное правило борова: отрицай все ошибки в коде, называя их логическими и вообще не счщетаецо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

34. Сообщение от Аноним (38), 24-Апр-26, 16:52   +/
>  TOCTOTOU — стоило бы догадаться что Rust не спасёт от ошибок этого типа…

Ты имеешь в виду "отрыть документацию и прочитать ее"?

> а по сути это то что мы ожидаем что в СИСТЕМНОМ софте должно быть вылезано до блеска…

Ты же это не серьезно?
В ядре за 4 месяца этого года нашли почти 900 (почти девятьсот, Карл!) CVEшек.
lists.openwall.net/linux-cve-announce/

При этом ядру уже сколько десятков лет, и сколько туда вливается бабла.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #39

35. Сообщение от aname (ok), 24-Апр-26, 16:53   +/
113 CVE в безопасности, миллионы на подходе ©
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Сладкая булочка (?), 24-Апр-26, 16:53   +2 +/
Число то какое хорошее, простое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #48

37. Сообщение от Аноним (4), 24-Апр-26, 16:53   +1 +/
И это тоже не могут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

38. Сообщение от Аноним (38), 24-Апр-26, 16:54   +/
> Чем пользоваться в системе у себя решаю я сам.

Да это так.
Можешь сидеть хоть на б0мж-cлake.

А вот что будет в дистрибутиве, решают внезапно разработчики дистрибутива, а не какие-то левые васяны.

> Совсем как ты, да?

Пффф, вот мы и перешли к "нет ты")

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #42

39. Сообщение от Сладкая булочка (?), 24-Апр-26, 16:54   +/
> В ядре за 4 месяца

ЛОЛ. Сравнил переписыаемый хз сколько код утилит с ядром. Ты просто кол-во кода сравни.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #50

40. Сообщение от Жироватт (ok), 24-Апр-26, 16:55   +1 +/
БезопасТно, говорили они.
Ваши сишные утилиты никуда не годятся, говорили они

Но тут пришел свежий аудит от компании, на которую видимо давить не стали...или не смогли?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #97

42. Сообщение от Сладкая булочка (?), 24-Апр-26, 16:57   +/
>> Чем пользоваться в системе у себя решаю я сам.
> А вот что будет в дистрибутиве, решают внезапно разработчики дистрибутива, а не
> какие-то левые васяны.

Ахаха. Да, а что там у любимого растовщиками дистрибутива, который винда? Ну еще арч)))

>> Совсем как ты, да?
> Пффф, вот мы и перешли к "нет ты")

Мне с тобой не по пути.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #55

43. Сообщение от Аноним (43), 24-Апр-26, 16:58   +/
А есть аудит ГНутых утилит?
Или "мы ошибок не нашли - все пучком"?

> Информация о всех выявленных проблемах уже передана разработчикам uutils и большая часть уязвимостей была устранена

Ошибки исправили.
Новые утилиты из убунты не убрали.

От чего у тебя такая тряска?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #46

44. Сообщение от aname (ok), 24-Апр-26, 16:58   +5 +/
Сотни CVE на БЕЗОПАСНОМ языке.

Очередное подтверждение профессионализма растуханов.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #64

45. Сообщение от Смузихлеб забывший пароль (?), 24-Апр-26, 16:58   +1 +/
ещё немного и до анона начнёт смутно доходить, что доходящая до абсурда типизация и прочие "радости" не защищают от логических ошибок, а порой и вовсе их провоцируют посредством перегруженности кода и его громоздкости

ещё чуть-чуть и может оказаться, что даже в случае с жс и тс, последний своей типизацией фактически не решает реальных проблем у программистов уровнем выше начинающих( ибо там скорее лог. ошибки, а не приведение типов ), но ещё и добавляет новых, как и возможностей загадить код

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #67, #78, #82

46. Сообщение от aname (ok), 24-Апр-26, 17:00   +/
> Ошибки исправили.

Когда это делают в нормальных утилитах, тряска растуханов не проходит ещё вечность. А чего ты так порвался? Это небезопасно!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #52

47. Сообщение от Анонимище (?), 24-Апр-26, 17:00   +1 +/
Неплохо. В молодом проекте на Си дыр наверняка было бы больше
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58, #59, #62

48. Сообщение от aname (ok), 24-Апр-26, 17:00   +/
Потому, что написано не на Расте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

50. Сообщение от Аноним (50), 24-Апр-26, 17:02   +/
А ты сравни сколько программеров участвует в проекте)
Кроме сильвестра там от силы десяток человек внесли ощутимый вклад в разное время.

Это просто: отрываешь
github.com/torvalds/linux/blob/master/MAINTAINERS
и считаешь.

> хз сколько

А сколько ядро пишется?
Или "вы не понимаете это другое!".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #54, #57, #68

52. Сообщение от Аноним (50), 24-Апр-26, 17:04    Скрыто ботом-модератором–2 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

54. Сообщение от Сладкая булочка (?), 24-Апр-26, 17:05   +/
> Кроме сильвестра там от силы десяток человек внесли ощутимый вклад в разное время

Сколько "программистов" нужно, чтобы заменить лампочку?

зы Наоборот одному то проще писать. Ты попробуй сопровождаый код от сотни разрабов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

55. Сообщение от Аноним (55), 24-Апр-26, 17:06    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #76

57. Сообщение от Аноним (55), 24-Апр-26, 17:07   +/
Девять женщин не родят ребёнка за месяц.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

58. Сообщение от Сладкая булочка (?), 24-Апр-26, 17:07   +1 +/
> наверняка

Вся суть растощиков. Постоянная надежда на что-то: на "безопасность", на "умный компилятор".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

59. Сообщение от Аноним83 (?), 24-Апр-26, 17:08   +/
В проекте на С:
1. никто не надеется на волшебный компилятор
2. никакие вызовы не скрыты в многоуровневые абстракции. Последнее и крестовиков касается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #72

61. Сообщение от Аноним (61), 24-Апр-26, 17:09    Скрыто ботом-модератором+1 +/
Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от Аноним (55), 24-Апр-26, 17:11   +4 +/
Молодой проект на Си с нуля писался. У растофuлей одни переписывания чужого. Но и тут смогли о-б-делаться. Экспертиза!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

63. Сообщение от Сладкая булочка (?), 24-Апр-26, 17:12   +4 +/
> Очередное подтверждение профессионализма растуханов.

Такого кадра тебе нарисовали... безопасный, революционер (с)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

64. Сообщение от Аноним (64), 24-Апр-26, 17:13   +3 +/
Это безопасные CVE, ничего ты не понимаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #65

65. Сообщение от aname (ok), 24-Апр-26, 17:14   +/
> Это безопасные CVE, ничего ты не понимаешь.

И они в БЕЗОПАСНОСТИ®™©

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

66. Сообщение от worldmind (?), 24-Апр-26, 17:15   +1 +/
Я так понимаю именно поэтому Каноникал и бежит впереди паровоза - пока не начнёшь активно юзать новые тулы и вкладываться в их качество можно десятилетиями ждать пока там всё отполируют, а так побыстрее всё дозреет до нормального уровня.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #71, #92

67. Сообщение от Аноним (-), 24-Апр-26, 17:15   +4 +/
> ещё немного и до анона начнёт смутно доходить, что доходящая до абсурда типизация и прочие "радости" не защищают от логических ошибок,

Странная логика.
На уровне "раз ремни безопасности не защищают от камаза, а еще и в них могут запуться - то давайте их уберем".


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

68. Сообщение от Аноним (6), 24-Апр-26, 17:16    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

69. Сообщение от Anonymouse (?), 24-Апр-26, 17:17   +2 +/
Разруха не в сортирах, разруха - в головах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

70. Сообщение от Гуманоид (?), 24-Апр-26, 17:18   +/
Бывшие сишники писали, поэтому таки да, СИ виноват.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #74

71. Сообщение от Аноним83 (?), 24-Апр-26, 17:18    Скрыто ботом-модератором+1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

72. Сообщение от Аноним (-), 24-Апр-26, 17:19    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

73. Сообщение от Аноним (73), 24-Апр-26, 17:21   –3 +/
Учитывая, что там найдут минимум 10x раз количество ошибок относительно uutils... Страшно за Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

74. Сообщение от Аноним (6), 24-Апр-26, 17:21    Скрыто ботом-модератором+3 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

75. Сообщение от Аноним (75), 24-Апр-26, 17:22   +5 +/
Чел, если ты сегодня впервые услышал это слово - это ещё не значит что до тебя о нём никто не знал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #128

76. Сообщение от Сладкая булочка (?), 24-Апр-26, 17:22    Скрыто ботом-модератором+1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

77. Сообщение от Аноним (73), 24-Апр-26, 17:24    Скрыто ботом-модератором–2 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #85, #88, #91

78. Сообщение от Аноним (4), 24-Апр-26, 17:26    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

79. Сообщение от Аноним (79), 24-Апр-26, 17:26   +/
скорее мы не увидели ещё больше ошибок, т.к. уже рабочий код есть в кортулсах, и можно посмотреть что и как.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

80. Сообщение от Аноним (75), 24-Апр-26, 17:28   +/
А пусть они свои снапы на расте перепишут и, заодно, выкинут?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #86

82. Сообщение от Аноним (82), 24-Апр-26, 17:29   +/
> ещё немного и до анона начнёт смутно доходить

угу, надейся. это необучаемые

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

83. Сообщение от ДядяПетя (?), 24-Апр-26, 17:34    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

84. Сообщение от Аноним (84), 24-Апр-26, 17:36   +/
Сразу сказал ещё с первых новостей, что к релизу 26.04 обнаружится гора дыр в uutils. Где, кстати, люди, которые утверждали, как хорошо, быстро и безопасно у них работают uutils на musl вместе с sudo-rs?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93

85. Сообщение от Аноним (6), 24-Апр-26, 17:37    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

86. Сообщение от aname (ok), 24-Апр-26, 17:37   +/
Увы, мир не идеален
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

87. Сообщение от Аноним (87), 24-Апр-26, 17:41   +/
такой цирк и будет всегда. переводом на rust занимаются менее опытные программисты, так что не удивительно, что их код будет хуже по качеству, чем написанные профи много десятилетий тому назад утилиты на С. которые, помимо прочего, прошли проверку временем
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от Аноним (-), 24-Апр-26, 17:43    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

89. Сообщение от Аноним (89), 24-Апр-26, 17:50   +/
Вся беда в том, что Раст создали бывшие сишники. И всё испортили! Загубили идею!
(сарказм)
Ответить | Правка | Наверх | Cообщить модератору

90. Сообщение от rabbix (?), 24-Апр-26, 17:55    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

91. Сообщение от Сладкая булочка (?), 24-Апр-26, 18:00   +1 +/
> Толи дело свежий Firefox c 359 уязвимостями в Си/Си++ коде, да? А,
> точно, это другое, понимать надо!

Кол-во кода видел? Кол-во разрабов знаешь? Тут буквально растовщик не может переписать готовые утилиты без багов. У него даже тесты есть, а написать conformance тесты не составляет труда.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #96

92. Сообщение от Сладкая булочка (?), 24-Апр-26, 18:03   +/
> поэтому Каноникал и бежит впереди паровоза

Бежит их техлид, который как раз продвигает идею внедреня раста. Как ты понимаешь, это цель, а за цель положена премия. Все просто. За полом стабильного дистра по головне не погладят, поэтому убунта подняла LTS до 15 лет поддрежки, а сие чудо будут засовывать в non-LTS релизы, чтобы хомяки потестили в бою.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

93. Сообщение от Сладкая булочка (?), 24-Апр-26, 18:04   +1 +/
> Сразу сказал ещё с первых новостей, что к релизу 26.04 обнаружится гора
> дыр в uutils. Где, кстати, люди, которые утверждали, как хорошо, быстро
> и безопасно у них работают uutils на musl вместе с sudo-rs?

В чате телеги по расту сидят. У них просто скоро ЕГЭ, не до этого им, как ты поинмаешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

94. Сообщение от Аноним (95), 24-Апр-26, 18:05    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

95. Сообщение от Аноним (95), 24-Апр-26, 18:05    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

96. Сообщение от Аноним (96), 24-Апр-26, 18:05   +/
> Кол-во кода видел?

Сколько лет лисе?
Напомню что ее начали делать во времена нетскейпа)

> Кол-во разрабов знаешь?

В своем блоге blog.mozilla.org/en/firefox/the-new-firefox-by-the-numbers/
заявляет что
More than 700 authors contributed code to Firefox since the August 6th release.
+ еще 80 contributors from all over the world

> Тут буквально растовщик не может переписать готовые утилиты без багов.

А в первоначальных утилитах багов нет?
А, точно, для ГНУтых аудите не далался, так что всей правды мы никогда не узнаем.

> написать  conformance тесты не составляет труда.

Твоя ыкспертность превосходит все ожидания.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

97. Сообщение от Аноним (95), 24-Апр-26, 18:09    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

98. Сообщение от Аноним (98), 24-Апр-26, 18:10   +/
Думаешь? Не вижу в списке штатных переполнений буфера и прочих use after free.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

99. Сообщение от Аноним (99), 24-Апр-26, 18:10   +/
Кодовая база порядка 100000 строк.

113 проблем с безопасностью.

Получается где-то 0.1 на 1000 строк.

Перебор.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #111

100. Сообщение от Да ну нахер (?), 24-Апр-26, 18:14   +/
Очевидно, само ядро еще недостаточно безопассно, несмотря на проделанный прогресс.
Ответить | Правка | Наверх | Cообщить модератору

101. Сообщение от Аноним (101), 24-Апр-26, 18:19   +/
Снимайте парик, смывайте наколки, идите домой... Большое Вам спасибо. Зачем быть бета-тестером каноникал? Ну, перейдут они на ПО с разрешительными лицензиями, разделят дистрибутив на коммерческий и публичный, в широком смысле слова. Закроют уязвимости и скажут всем, большое спасибо.
Ответить | Правка | Наверх | Cообщить модератору

102. Сообщение от Аноним (102), 24-Апр-26, 18:19   +1 +/
Удивительно, а как же проблемы с управлением памятью, почему их не нашли? Неужели раст всё таки работает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108, #112

103. Сообщение от Аноним (103), 24-Апр-26, 18:22   +/
Lean & Mean
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

104. Сообщение от Аноним (103), 24-Апр-26, 18:25   +/
Rust не надо ни на что заменять, его надл игнорировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

106. Сообщение от Аноним (111), 24-Апр-26, 18:29    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

107. Сообщение от Аноним (103), 24-Апр-26, 18:30   +2 +/
Наконец-то все прозрели и поняли для чего был создан и продвигается этот пресловутый Rust - для вытеснения кода GNU и GPL-кода из GNU/Linux, а не для повышения надёжности ОС.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109

108. Сообщение от Аноним (111), 24-Апр-26, 18:30   +/
Эти проблемы с памятью только у тревожников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

109. Сообщение от Аноним (111), 24-Апр-26, 18:31    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

110. Сообщение от Сусанин (?), 24-Апр-26, 18:32   +/
> Похоже дело всё-таки не в С...

... как и предполагалось

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

111. Сообщение от Аноним (111), 24-Апр-26, 18:32   +/
Говорили место такое, а оказалось руки из заднего места.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

112. Сообщение от Аноним (103), 24-Апр-26, 18:32   +1 +/
Нет, не работает. Читайте в новости: "большая часть уязвимостей была устранена в выпусках uutils 0.5-0.8 без лишней огласки ", то есть о них просто не сообщили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

113. Сообщение от Сусанин (?), 24-Апр-26, 18:33    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

114. Сообщение от Анонимemail (114), 24-Апр-26, 18:33   +/
Я, наверное, тупой, но не понимаю, как в утилитах копирования, перемещения и удаления могут быть такие уязвимости, что пипец-пипец... Моему уму не растяжимо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #115

115. Сообщение от 2 (?), 24-Апр-26, 18:43   +/
Я как-то вызвал через make `$(RM) -rf $(DIR)\`, а DIR забыл указать. Ну и стер весь домашний каталог. Вот такого рода уязвимости: хочешь сделать одно, а выходит совем другое)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

116. Сообщение от Аноним (116), 24-Апр-26, 18:43   +1 +/
113 - и это ещё Нейросетями не проверяли!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #119

117. Сообщение от Аноним (117), 24-Апр-26, 18:51   +/
>без лишней огласки и пометки связи вносимых исправлений с устранением уязвимостей.

А, ну тогда и асм будет безопасным языком. Они бы еще реальные шел скрипты провели, уверен там в каждом первом по 10 инъекций. Так что смысла от всей этой возни нет.

Ответить | Правка | Наверх | Cообщить модератору

118. Сообщение от Аноним (118), 24-Апр-26, 19:02   +1 +/
Представляете что будет, когда на какой-нибудь SystemD ИИшку натравят.
И вправду, страшно за Linux.
Ответить | Правка | Наверх | Cообщить модератору

119. Сообщение от Аноним (119), 24-Апр-26, 19:02   +/
> 113 - и это ещё Нейросетями не проверяли!

Откуда такая информация?
Вы работаете в zellic и можете рассказать инсайды?
Или это просто горлопанство)?

ps если посмотреть на их блог, то они прям в нем рекламируют свою LLMку
zellic.io/blog/introducing-v12/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #127

120. Сообщение от Другое имя (?), 24-Апр-26, 19:02   +/
В итоге, пользователи раста продолжают ругать си (язык), а программисты на других языках - пользователей раста (человеков), не понимающих за что.
Аналогично было -лет назад с PHP, когда возмущались не самим языком, а теми, кто стал "web-программистом за 20 занятий".
И да, парсер с обрубанием параметров - не столько ошибка,  сколько отсутствие понимания кода как такового. Круто чё.
Ответить | Правка | Наверх | Cообщить модератору

121. Сообщение от Аноним (121), 24-Апр-26, 19:07   +/
Ох уже эти сишники, даже руст испаганили ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130

122. Сообщение от anonymous (??), 24-Апр-26, 19:10   +1 +/
Заметьте, ни одного переполнения буфера. Rust компилятор не зря.
Ответить | Правка | Наверх | Cообщить модератору

123. Сообщение от Аноним (123), 24-Апр-26, 19:11   +/
Да, в си их было бы 377 ошибок (если бы так же с нуля писАлись по тем же спекам). Причем эти оставшиеся 264 (те, что ошибки с памятью), были бы все критические со скором 8-9-10.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

124. Сообщение от Аноним (124), 24-Апр-26, 19:13   +/
У меня хоть и сомнения в 3.14даrust'ии,
но у уязвимостей будет свой потолок,
который gnu вариант давно достиг, вопрос времени
Ответить | Правка | Наверх | Cообщить модератору

125. Сообщение от Аноним (-), 24-Апр-26, 19:14    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

126. Сообщение от al (??), 24-Апр-26, 19:14   +/
да пиши уже "обсёр", все свои
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

127. Сообщение от Аноним (73), 24-Апр-26, 19:14   +/
Ты правда надеешься, что сишник умеет читать? У них от чтения переполнение случается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

128. Сообщение от Аноним (73), 24-Апр-26, 19:16   +/
Так ссылка нам аудит GNU Coreutils будет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

129. Сообщение от Аноним (130), 24-Апр-26, 19:18   +/
> анализа уязвимостей в проектах на языке Rust.
>  В ходе проверки было выявлено 113 проблем с безопасностью.

Ох ты, вау, безопасТность оказалась походу не совсем безопасной...

Ответить | Правка | Наверх | Cообщить модератору

130. Сообщение от Аноним (130), 24-Апр-26, 19:18   +/
> Ох уже эти сишники, даже руст испаганили ;)

Да вообще негодяи, устроились писать на Rust чтобы дискредитировать его своими CVE!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

131. Сообщение от Аноним (131), 24-Апр-26, 19:20   +/
Ой
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #132

132. Сообщение от Аноним (132), 24-Апр-26, 19:31    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

133. Сообщение от Аноним (133), 24-Апр-26, 19:42   +/
Пу-пу-пууу... Во дела!

Так а кто виноват все-таки? Корутилиты, у которых были сотни потенциальных уязвимостей и которые наконец-то вылезли с растом или не?

Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру