Обновление sudo-rs 0.2.10 с исправлением двух уязвимостей

12.11.2025 10:36

Опубликован выпуск проекта sudo-rs 0.2.10, развивающего написанные на языке Rust варианты утилит sudo и su. Новая версия примечательна исправлением двух уязвимостей, которые проявляются среди прочего в дистрибутиве Ubuntu 25.10, в котором sudo-rs задействован вместо утилиты sudo. Примечательно, что до этого кодовая база sudo-rs успешно прошла два независимых аудита безопасности - в августе 2023 года (NLnet) и в августе 2025 года (NGICore).

Выявленные уязвимости:

CVE-2025-64517 - привилегированный пользователь, имеющий полномочия выполнения через sudo команд под другими пользователями или с правами root, мог запустить через sudo команды под пользователем, пароль которого он не знает, несмотря на включение дополнительных настроек, требующих ввода пароля целевого пользователя. Атака возможна если этот привилегированный пользователь знает пароль хотя бы одного пользователя, для которого ему разрешено выполнение команд в настройках sudo.
Уязвимость имеет смысл только при включении в настройках sudoers флагов rootpw и targetpw, которые по умолчанию отключены и поддерживаются начиная с версии sudo-rs 0.2.5, опубликованной в апреле. Подразумевается, что изменение данных настроек должно менять поведение утилиты sudo, которая с этими настройками должна требовать пароль целевого пользователя, а не пароль текущего пользователя. Уязвимость в том, что поведение не меняется и привилегированный пользователь по-прежнему может использовать свой пароль для выполнения команд под root, хотя при активных флагах targetpw и rootpw должен ввести пароль root.
```
 
   /etc/sudoers:
      Defaults targetpw
      user ALL=(ALL:ALL) ALL

   $ sudo -g root whoami
   [sudo: authenticate] Password: <password for user>
   user

   $ sudo -u root whoami
   root
```
Проблема вызвана тем, что после аутентификации через sudo пользователь должным образом не отражался в timestamp-файлах, используемых для кэширования учётных данных (UID-идентификатор пользователя, идентификатор сеанса и время начала сеанса). Кэширование применяется для возможности повторного выполнения операций без пароля в течении 15 минут после успешной аутентификации. При выставлении флага targetpw или rootpw в timestamp-файл записывался UID запускающего sudo пользователя вместо UID аутентифицированного пользователя. Уязвимости присвоен средний уровень опасности (4.4 из 10).
CVE-2025-64170 - ошибка, из-за которой не до конца введённый пароль выводился в стандартный входной поток и показывался в консоли, если набор не был завершён клавишей Enter до наступления таймаута (по умолчанию 5 минут). Уязвимость проявляется только в конфигурациях без включённой настройки pwfeedback (по умолчанию не включена). Поддержка таймаута на ввод пароля добавлена в июльском выпуске sudo-rs 0.2.7. Проблеме присвоен низкий уровень опасности (3.8 из 10).
```
 $ sudo -s
 [sudo: authenticate] Password: sudo-rs: timed out
 $ testpassword
```

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64226-sudo-rs

Ключевые слова: sudo-rs, sudo, rust

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (101)

1.7, Аноним (7), 10:52, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+12 +/–
Опять дыры в безопасности в коде на языке, который должен был избавить программиста от лишних размышлений. Почему так? И почему ИИ (обязательный инструмент при программировании на Rust на минуточку) не может помочь?

2.17, freecoder (ok), 11:03, 12/11/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Чтобы генерить подобные комментарии даже ИИ не нужен, лишь один простой шаблон, который вы везде повторяете.

3.22, Аноним (7), 11:06, 12/11/2025 [^] [^^] [^^^] [ответить]	+13 +/–
Забавно слышать про шаблон, когда каждая новость про Rust начинается с одного и того же шаблона.

4.28, freecoder (ok), 11:14, 12/11/2025 [^] [^^] [^^^] [ответить]	+4 +/–
Какого шаблона? Он в этой новости есть?

5.34, Аноним (34), 11:28, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Я отредактировал новость, добавив портянку про безопасную работу с памятью, боровов и тд. Скоро появится.

6.45, freecoder (ok), 11:56, 12/11/2025 [^] [^^] [^^^] [ответить]	+5 +/–
То есть, вы заявляете о шаблонности каждой новости про Rust, а когда вам указали, что это не так, вы решаете пойти и отредактировать новость, чтобы она стала шаблонной? Ну да, это же для растохейтеров стандарт: придумать себе чучело, а потом героически подгонять под него реальность.

5.62, Аноним (62), 12:30, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
В каждой новости про выход компилятора.

6.128, Вася Пупкин (?), 15:37, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Вам завидно что ваш конпелятор редко обновляется?

3.143, Аноним (143), 17:49, 12/11/2025 Скрыто ботом-модератором [к модератору]	+1 +/–

2.67, Аноним (67), 12:39, 12/11/2025 [^] [^^] [^^^] [ответить]

–3 +/–

> Опять дыры в безопасности в коде на языке, который должен был избавить программиста от лишних размышлений.

Раст избавляет лишь от лишних размышлений при работе с памятью. Ни от чего другого спасение не заявлялось.

Опять воины против Раста ыыдумывают себе ветряные мельницы, и сами же с ними воюют. 🤦 Не надоело еще?

3.91, Аноним (7), 13:06, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Где противоречие? Всякий раз говорили, что именно отсутствие необходимости заботиться об ошибках с памятью высвободит силы на продумывание более качественной логики. Но да, отсутствие ошибок с памятью принесло ряд совершенно новых неожиданных ошибок.

4.93, Аноним (67), 13:19, 12/11/2025 [^] [^^] [^^^] [ответить]	–2 +/–
> Всякий раз говорили, что именно отсутствие необходимости заботиться об ошибках с памятью высвободит силы на продумывание более качественной логики Нет, не говорили. Где вы видели такой бред?

5.98, Аноним (7), 13:41, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Согласен, что это бред, но именно это говорили фанаты Rust.

6.105, Аноним (67), 13:55, 12/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> Согласен, что это бред, но именно это говорили фанаты Rust. Пока что я это слышу от воина против Раста, воюющего против ветряных мельниц, которые он сам себе придумал.

7.118, Аноним (7), 14:43, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Ну как же, вот Аноним ниже пишет, что Rust позволяет сократить количество логических ошибок.

4.94, Аноним (94), 13:21, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
> отсутствие ошибок с памятью принесло ряд совершенно новых неожиданных ошибок. Понятно. Очевидно, нужно возвращать ошибки с памятью.

4.155, кек (?), 20:02, 12/11/2025 Скрыто ботом-модератором [к модератору]	+/–

3.147, Медведь (ok), 18:15, 12/11/2025 Скрыто ботом-модератором [к модератору]	+2 +/–

2.101, Аноним (101), 13:47, 12/11/2025 [^] [^^] [^^^] [ответить]	–3 +/–
Сишники выдумали эту глупость и продолжают повторять Зачем - спроси сишников Я... большой текст свёрнут, показать

2.113, kravich (ok), 14:26, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
>ИИ (обязательный инструмент при программировании на Rust на минуточку) 4.2

1.8, Аноним (8), 10:55, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Ладно такие уязвимости могли допускать на заре появления юникса когда только учились кодидь а сейчас да такие бестолковый уязвимости надо бы таких кодеров выгонять из мира программирования а то так и будут косячить без конца то одни уязвимости то другие

2.13, freecoder (ok), 11:01, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Покажи свой код.

3.99, Аноним (-), 13:43, 12/11/2025 Скрыто ботом-модератором [к модератору]	+1 +/–

2.30, АнонимАндрей (?), 11:15, 12/11/2025 [^] [^^] [^^^] [ответить]	–7 +/–
sudo-rs, намного лучше чем просто sudo.

3.71, Аноним (71), 12:41, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> sudo-rs, намного лучше ... намного лучше создаёт поле для уязвимостей.

4.92, Аноним (92), 13:07, 12/11/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Ты правда хочешь увидеть список CVE стандартного sudo? Кто будет унизительно для ненавистников раста.

3.156, кек (?), 20:04, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Skoda Octavia RS, намного лучше чем sudo-rs

4.158, Frestein (ok), 20:25, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Sydney Sweeney намного лучше чем sudo-rs

1.9, Аноним (9), 10:55, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> добавлена в июльском выпуске
> опубликованной в апреле

...
> независимых аудита безопасности .. в августе 2025 года (NGICore)

???

2.15, freecoder (ok), 11:02, 12/11/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Аудиторы безопасности пропустили эти ошибки, или что вам не понятно?

3.26, Смузихлеб забывший пароль (?), 11:14, 12/11/2025 [^] [^^] [^^^] [ответить]	+3 +/–
а чего тут понимать ? Вместо кода такой синтаксический спагетти-мусор, что даже профильные аудиторы толком не могут это разгрести

4.48, freecoder (ok), 12:03, 12/11/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Я правильно понял вашу мысль: вы считаете, что на Rust в принципе нельзя писать нормальный код (синтаксис не позволяет)? В таком случае приведите пожалуйста пример хорошего по-вашему кода на языке с хорошим синтаксисом.

5.69, Смузихлеб забывший пароль (?), 12:41, 12/11/2025 [^] [^^] [^^^] [ответить]	+2 +/–
кудах-кудах ) Я просто читаю текст статьи и вижу почти прямым текстом вывод, что даже независимые аудиторы( именно во множественном числе и из разных структур ) не смогли даже разгрести логику в коде на расте, из-за чего пропустили дыры. да, без двойного освобождения памяти. Но дыры, тем не менее, остались и нехилые. Причём, утилиты весьма простые и небольшие. Что же будет в больших системах ?

6.77, Аноним (71), 12:47, 12/11/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> не смогли даже разгрести логику в коде на расте, из-за чего пропустили дыры.

Это уже не дыры, а тоннели.

> Что же будет в больших системах ?

Для этого раст и создавался. Обфускаторы отдыхают.

6.78, freecoder (ok), 12:49, 12/11/2025 [^] [^^] [^^^] [ответить]	+2 +/–
> кудах-кудах ) Не хочу думать о вас плохого, но почему вы кудахтаете?

6.106, Аноним (67), 14:01, 12/11/2025 [^] [^^] [^^^] [ответить]

–2 +/–

> почти прямым текстом вывод, что даже независимые аудиторы( именно во множественном числе и из разных структур ) не смогли даже разгрести логику в коде на расте, из-за чего пропустили дыры

В тексте новости нет и намека на то, что аудит пропусьил уязвтмость именно из-за синтаксиса Раста.

Какзалось бы, по твоей же логике, языки с простым синтаксисом типа Питона вообще не должны содержать ошибок - но логика, очевидно, отключается, когда речь идет о Расте.

> Я просто читаю текст статьи и вижу

...фигу.

5.73, Аноним (67), 12:42, 12/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> В таком случае приведите пожалуйста пример хорошего по-вашему кода на языке с хорошим синтаксисом. Ты не видел сишечных портянок с goto?

5.76, Аноним (71), 12:43, 12/11/2025 [^] [^^] [^^^] [ответить]	+2 +/–
> на Rust в принципе нельзя писать нормальный код Да, Вы правы в этом высказывании.

6.82, freecoder (ok), 12:51, 12/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Но это не моё высказывание. Это нормальный вопрос, на который вы не способны дать нормальный ответ. Почему? Потому что ваша реакция и аргументы эмоциональные, а не рациональные.

5.130, 12yoexpert (ok), 16:01, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
на расте в принципе нельзя писать, только переписывать а "нормальность" кода зависит от скила ЦА торговой марки rust

2.112, Аноним (112), 14:26, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
If I do grep unsafe why do I find hundreds of occurrences Because they are... большой текст свёрнут, показать

1.25, Rust (??), 11:12, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сложные ошибки переполенения и указателя все освоили, даже все поняли в чём их суть. Это стало скучно и не инстересно. Теперь все изучают бизнес ошибки при кодировании) Очевидно же было что так будет. Или нет?)

2.31, Аноним (9), 11:18, 12/11/2025 [^] [^^] [^^^] [ответить]	+2 +/–
а есть ли эти ошибки в оригинальном sudo?

3.41, Аноним (41), 11:52, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
у тебя спека на оригинальный sudo есть?

3.42, Аноним (42), 11:53, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Ну была недавно одна, но такая себе, не очень критичная. Всего лишь получение прав рута любым юзером в системе https://www.opennet.me/opennews/art.shtml?num=63505

4.81, Аноним (71), 12:50, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Причём заметьте, не имеет отношения к "сишным дыреням" (нет проблем с памятью).

5.85, Аноним (-), 12:59, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
> Причём заметьте, не имеет отношения к "сишным дыреням" (нет проблем с памятью). Да, но вот есть аналогичная, но как раз сишная дырень с переполнением буфера opennet.ru/opennews/art.shtml?num=54474 Причем прожила незамеченная целых десять лет, что уже тянет на закладку.

1.36, Аноним (36), 11:41, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Бесполезная трата времени и сил, все эти переписывания. Хотя… Думаю это неспроста, такое рвение - попытка отжать у сишников всё, что они создали за многие годы.

2.37, Кошкажена (?), 11:42, 12/11/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Еще не нужно забывать про сменую лицензии обычно. Тоже неспроста.

2.40, Вася (??), 11:51, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
В чем попытка отжать? Что значит "отжать у сишников"? Сишникам запрещено писать на расте что ли? Сишникам запрещено продолжать развитие своего судо?

2.53, анондр (?), 12:15, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
и постоянно недоделки и ошметки какие-то на Rust, но зато "безопасно" а то что свалится из-за несовместимости переписываний "не наши проблемы"

3.63, Аноним (62), 12:33, 12/11/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Безопастно!

2.86, Аноним (41), 13:01, 12/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> попытка отжать у сишников всё Отжали ровно 0 у.е. Удачи отжимать и дальше :)

2.124, freehck (ok), 14:55, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> Бесполезная трата времени и сил, все эти переписывания. Хотя… Думаю это неспроста, > такое рвение - попытка отжать у сишников всё, что они создали за многие годы. Не, там другое. Корпорациям не очень удобно жить с GPL в юзерспейсе. Вся суть переписывания -- в смене лицензии на пермиссив. А то, что оно на другом языке, гарантирует отсутствие лицензионных претензий: никто не сможет даже в шутку сказать, что это производный продукт. По той же причине Canonical спешит отестировать Rust-овые утилиты в дефолтной поставке.

2.127, Соль земли2 (?), 15:36, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Соглы. Одно только "но": почти бесполезная.

1.39, Аноним (39), 11:51, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Ну и объясните в чём был смысл. Были одни уязвимости стали другие а учитывая что поделие новое там еще вагон невыявленых уязвимостей.

2.47, Аноним (47), 12:00, 12/11/2025 [^] [^^] [^^^] [ответить]

+1 +/–

Были критические уязвимости, а стали несущественные, которые и за уязвимости трудно принять, так как по сути атакуешь сам себя.

Из недавних дыр в sudo:
https://www.opennet.me/63505 - получение прав root
https://www.opennet.me/58507 - изменение любого файла в системе
https://www.opennet.me/54474 - получение прав root
https://www.opennet.me/54394 - смена владельца произвольного файла
https://www.opennet.me/52284 - получение прав root
https://www.opennet.me/51675 - повышение привилегий
https://www.opennet.me/46633 - перезапись файла в обход SELinux
https://www.opennet.me/32942 - получение прав root

3.49, Аноним (39), 12:05, 12/11/2025 [^] [^^] [^^^] [ответить]	+3 +/–
ну так всё еще впереди. срок эксплуатации этого несравнимо мал по отношению в оригиналу.

4.66, Мемоним (?), 12:36, 12/11/2025 [^] [^^] [^^^] [ответить]	+2 +/–
В оригинале тоже будут находить новые дыры, так что их всегда будет больше.

5.80, Аноним (39), 12:49, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
но тогда зачем эта суета с переписыванием

6.84, Аноним (-), 12:56, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
> но тогда зачем эта суета с переписыванием Чтобы избавиться от дыр с памятью и сконцентрироваться только на логических. И как можешь заметить, score у этих уязвимостей очень маленький.

7.88, Аноним (41), 13:03, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
получение прав рута это маленький score? ну-ну

8.117, Аноним (117), 14:38, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Зачем его получать, если он уже есть Ты читал описание уязвимости то ... текст свёрнут, показать

9.131, Аноним (41), 16:06, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Уязвимость имеет смысл только при включении в настройках sudoers флагов root... большой текст свёрнут, показать

1.43, Аноним (43), 11:54, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Это другое

2.75, freecoder (ok), 12:43, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
По отношению к чему? К ошибкам работы с памятью? Да, другое. По отношению к логическим ошибкам? Нет, оно самое.

1.44, Аноним (44), 11:55, 12/11/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+2 +/–

1.52, Аноним (52), 12:15, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
И зачем надо было переходить на раст? Чтобы получить тоже самое что было?

2.72, freecoder (ok), 12:42, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Получили другое.

1.55, анондр (?), 12:17, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Как же так??? Обещали безопасно будет :D

2.70, freecoder (ok), 12:41, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Безопасную работу с памятью обещали.

1.57, анондр (?), 12:22, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

sudo apt-get remove coreutils-from-uutils --allow-remove-essential
sudo apt-get install coreutils-from-gnu

/etc/apt/preferences.d/uutils:

Package: coreutils-from-uutils
Pin: release a=*
Pin-Priority: -10

как-то так

2.59, Аноним (39), 12:27, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
спасибо

3.74, анондр (?), 12:43, 12/11/2025 [^] [^^] [^^^] [ответить]

+/–

я потестирую еще это решение прежде чем применять к основной системе

apt install coreutils-from-gnu coreutils-from-uutils- --allow-remove-essential

что любопытно

Larger image size: A Docker image currently is 75 MB large. Rust-coreutils come in at 25 MB vs 7 MB for the classic coreutils, increasing the image size by 18MB to 93MB (+24%).

из-за rust coreutils распух Docker образ O_o судя по этой записи Migration to rust-coreutils in 25.10 на сайте обсуждений Ubuntu

4.125, morphe (?), 15:18, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Под ubuntu его непойми как собрали, бинарь uutils собранный вручную занимает 9 мбайт у меня (на 2 мбайта больше чем gnu coreutils) Это же кто-то подтвердил и под оригинальной новостью https://discourse.ubuntu.com/t/migration-to-rust-coreutils-in-25-10/59708/3

5.146, Big Robert TheTables (?), 18:06, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
И не проверить, что именно добавлено, ведь то, как ложится логика кода на ассемблер - только той самой версии компилятора и ведомо, безопасно, не так ли?

6.157, morphe (?), 20:20, 12/11/2025 [^] [^^] [^^^] [ответить]

+/–

> И не проверить, что именно добавлено, ведь то, как ложится логика кода
> на ассемблер - только той самой версии компилятора и ведомо, безопасно,
> не так ли?

Ох уж этот миф про то как код на ассемблер ложится, C/C++ тем же самым оптимизатором обрабатывается, там всё так же запутано.

Скорее всего в системе сборки дебиана не смогли strip/LTO настроить, впервые что ли.

1.58, анондр (?), 12:25, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
взято из Migration to rust-coreutils in 25.10 и Ubuntu 25.10: How to Revert to GNU Coreutils

1.96, Аноним (96), 13:33, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно какой у них процесс был. Так то надо брать все написанные тесты для sudo и прогонять их на sudo-rs. И вот если это было сделано, то это вопрос к авторам sudo на тему отсутствия таких тестов.

2.120, Имя (?), 14:46, 12/11/2025 [^] [^^] [^^^] [ответить]	+2 +/–
> это вопрос к авторам sudo на тему отсутствия таких тестов Точняк, это всё Си-шники виноваты! :D

1.97, Аноним (-), 13:40, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>CVE-2025-64170 - ошибка, из-за которой не до конца введённый пароль выводился в стандартный входной поток и показывался в консоли, Бизапасненько так.

1.102, Аноним (101), 13:50, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
И снова логические ошибки, а не ошибки работы с памятью. В отличие от поделок на Си. Что и требовалось доказать. Раст конечно позволяет уменьшить количество логических ошибок тоже, но для этого программист должен уметь кодировать инварианты в типы, а это увы умеют не все, тут уж компилятор не заставит сделать правильно, в отличие от работы с памятью.

2.104, xsignal (ok), 13:55, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
На этих, как ты выразился, "поделках на Си", весь Земной Шар IT стоит и ничего, крутится и не падает!

3.109, Аноним (109), 14:21, 12/11/2025 Скрыто ботом-модератором [к модератору]	–1 +/–

3.111, Аноним (67), 14:23, 12/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> поделках на Си > не падает Сишные проги не падают? 😂 Вот это новости!

4.114, xsignal (ok), 14:28, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Любые проги при определённых условиях падают... Главный вопрос - приводит это к катастрофам или нет.

2.108, Аноним (41), 14:19, 12/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> И снова логические ошибки, а не ошибки работы с памятью. Так эксплуатировать твою логическую ошибку может каждый васян, а поди проэксплуатируй ошибку с памятью со всякими роп-геджетами и обходами рандомизации адресного пространство.

3.110, Аноним (109), 14:23, 12/11/2025 [^] [^^] [^^^] [ответить]	–4 +/–
То есть ты как бы намекаешь на то, что логические ошибки - это плохо. Отлично, на расте проще писать программы без ошибок логики, чем на сях, так что это ещё один аргумент за раст. Спасибо.

4.138, Аноним (41), 16:32, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Уязвимость в том, что поведение не меняется и привилегированный пользователь... большой текст свёрнут, показать

5.144, Аноним (144), 17:50, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Каким образом у вас проще превратилось в гарантирует Дайте растохейтера кот... большой текст свёрнут, показать

6.149, Медведь (ok), 18:21, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
> Про это ещё часто говорят "еслм собралось - значит работает", хотя конечно это преувеличение в абсолютном смысле. Это не преувеличение, это прямая причина ошибок, подобным сабжевым. Хайповые маркетинговые нахваливания раста вбивают в головы ржавонеофитов эту мантру, ну и итог закономерен.

6.151, Аноним (41), 19:11, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
а что есть проще разве логика программы зависит от используемого ЯП Вы утвер... большой текст свёрнут, показать

1.122, Аноним (122), 14:48, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Да не может такого быть!

1.126, Аноним (126), 15:29, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
"поддерживаются начиная с версии sudo-rs 0.2.5... Подразумевается, что изменение данных настроек должно менять поведение утилиты sudo, которая с этими настройками должна требовать пароль целевого пользователя, а не пароль текущего пользователя." Просто не надо было это делать. Зачем это вообще?

2.142, Медведь (ok), 17:40, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
> "поддерживаются начиная с версии sudo-rs 0.2.5... Подразумевается, что изменение данных настроек должно менять поведение утилиты sudo, которая с этими настройками должна требовать пароль целевого пользователя, а не пароль текущего пользователя." Просто не надо было это делать. Зачем это вообще? И снова ржавуны ищут альтернативный "правильный" мир для раста... Ребята, вы пишете прозрачную замену для утилит GNU? Вы обязаны повторить их поведение точь-в-точь. Нравится вам это, не нравится -- вы на это подписались. Точка.

1.140, Аноним (-), 17:02, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
> "Обновление sudo-rs 0.2.10 с исправлением двух уязвимостей" Но как же так, Холмс? Грозились что вулнов не будет а сами 2 CVE в актив записали. При том в sudo, Карл! Мелкой приблуде!

1.141, Медведь (ok), 17:17, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]

+2 +/–

Эта музыка будет вечной!

-- Ржавуны, ну как же так, вы опять хрeнь написали?!

-- А у нас memory safety, а больше мы вам ничего не обещали! У нас зато все ошибки -- это безопасные, святые, правильные ржавоошибки! И вообще, отцепитесь, у нас тут чекер боровов опять не дает проект собрать...

1.150, Фамилия (?), 18:22, 12/11/2025 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> ошибка, из-за которой не до конца введённый пароль выводился в стандартный входной поток и показывался в консоли

Там что, реально вот так прям написано?

if (strlen(entered_password) < strlen(real_password)) {
printf("%s\n", real_password);
}

А зачем такой код вообще написали? И у аудиторов не возникло вопросов?

PS. Это не то что смешно, это страшно.

2.153, Аноним (153), 19:14, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Ты чё, попутал совсем, на Сях тут примеры пишет... Пeтушара тебя сейчас по IP вычестю, будешь у меня Раст жрать, безопасно.

2.154, Аноним (71), 20:02, 12/11/2025 [^] [^^] [^^^] [ответить]	+/–
Эта закладка делалась, чтобы пароль иногда случайно оседал во всяких логах, откуда его уже можно добыть разными методами.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: