Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе" | +/– | |
| Сообщение от opennews (?), 03-Июл-26, 18:33 | ||
В пакетном менеджере Guix выявлены уязвимости (CVE не назначены) в реализации внутренней команды "guix substitute", автоматически вызываемой фоновым процессом guix-daemon при выполнении операций установки пакетов. Команда применяется для загрузки уже собранных бинарных пакетов с внешних серверов с проверкой их целостности при помощи цифровой подписи. Наиболее опасная уязвимость позволяет удалённо организовать выполнение кода на системе пользователя с правами под которыми выполняется фоновый процесс guix-daemon... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по ответам | RSS] |
| 1. Сообщение от sdk3 (?), 03-Июл-26, 18:33 | +/– | |
А ведь и в NixOS подобное может быть. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #6 | ||
| 3. Сообщение от Аноним (3), 03-Июл-26, 19:01 | +2 +/– | |
> для распаковки по мере загрузки пакета, не дожидаясь его полной загрузки и верификации загруженного архива по цифровой подписи. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #4 | ||
| 4. Сообщение от Аноним (4), 03-Июл-26, 20:07 | –5 +/– | |
Если применение Scheme не помогло, то применение языка, который только от выходов спасает, тоже не поможет. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #3 | ||
| 5. Сообщение от Аноним (5), 03-Июл-26, 20:17 | +1 +/– | |
Есть такая популярная картинка. Самолёт, вид снизу, и много-много пробоин в разных местах. Какие места следует защищать в первую очередь? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #18, #19 | ||
| 6. Сообщение от Аноним (6), 03-Июл-26, 21:14 | +/– | |
Может, но с меньшей вероятностью, NixOS хотя бы используется где-то. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 Ответы: #8 | ||
| 8. Сообщение от Аноним (8), 03-Июл-26, 22:13 | –1 +/– | |
Да примерно одинаково, по ощущениям. Кроме того, они нередко уязвимости между собой делят, так как имеют общий код на плюсах. Но вроде и в одном и в другом в разработкке есть версии на других языках. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #6 Ответы: #9, #12 | ||
| 9. Сообщение от Аноним (9), 03-Июл-26, 22:22 | +1 +/– | |
Там этого общего кода, хрен да маленько. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #8 Ответы: #11 | ||
| 10. Сообщение от Аноним (9), 03-Июл-26, 22:24 | +/– | |
Фикс прилетел, новость пложительная, продолжаем пользоваться самым лучшим дистрибутивом линукс бесплатно. Спасибо всем причастным! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 11. Сообщение от Аноним (8), 03-Июл-26, 23:11 | +/– | |
Маленько, однако самые критичные уязвимости обычно там и всплывают. На уровне демона, который у многих работает с root правами, как я полагаю. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #9 Ответы: #14 | ||
| 12. Сообщение от Аноним (12), 03-Июл-26, 23:13 | +/– | |
Я на NixOS для финтех-стартапа и для околовоенного контрактора прод деплоил. А Guix даже на виртуалку не ставил, так что точно не одинаково. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #8 Ответы: #13 | ||
| 13. Сообщение от Аноним (8), 03-Июл-26, 23:28 | +1 +/– | |
Так тут про критические уязвимости речь ведётся. Они существуют вне зависимости от того что и куда ты ставил и что тебе удобнее использовать. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #12 Ответы: #17 | ||
| 14. Сообщение от Аноним (9), 03-Июл-26, 23:58 | +/– | |
>самые критичные уязвимости обычно там и всплывают. На уровне демона | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #11 | ||
| 15. Сообщение от _ (??), 04-Июл-26, 05:09 | –3 +/– | |
А как эти долбоящеры шаркали ножкой, мол вотЪ у нас то - не то что у вас! А оказалось оно - оно везде оно! :) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 17. Сообщение от Аноним (12), 04-Июл-26, 05:32 | +/– | |
Существуют пока не найдут. Находят быстрее в том, чем пользуются. И это не сабж. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #13 Ответы: #21 | ||
| 18. Сообщение от Аноним (18), 04-Июл-26, 08:49 Скрыто ботом-модератором | +/– | |
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #5 | ||
| 19. Сообщение от Аноним (5), 04-Июл-26, 09:00 | +/– | |
Ок, "долетевший самолёт". Хотя, ненужная точность порой сильно мешает полёту мысли)) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #5 | ||
| 21. Сообщение от Аноним (21), 04-Июл-26, 12:35 | +/– | |
Я бы не был так уверен. Находят быстрее в том, в чём ищут. А большинство пользователей не ищет уязвимостей, а просто пользуются. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 Ответы: #22 | ||
| 22. Сообщение от Аноним (12), 04-Июл-26, 18:58 | +/– | |
Ищут всё равно в том, чем пользуются. Сабжем не пользуется практически никто. 3,5 локалхоста у двух инвалидов, и десяток забытых виртуалок "на посмотреть". Вот и вся аудитория. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #21 | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
|
Закладки на сайте Проследить за страницей |
Created 1996-2026 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |