URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129464
[ Назад ]
Исходное сообщение
"Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust"
Отправлено opennews , 10-Янв-23 22:42 
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58458

Содержание
Сообщения в этом обсуждении
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 10-Янв-23 22:55 
Кажется, к "don't roll your own crypto" надо добавить "don't reimplement SSH clients"
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено ivan_erohin , 11-Янв-23 13:31 
"... and git clients too".

такой модный язык, а использует наработки старперов. не позорно им ?

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 09:31 
Если б они это сами сделали, CVE было бы в 10 раз больше. Вон в матриксе славно похайповали, end-to-end шифрование в дефолтовой их либе вынесли. Такое вот крипто от хипстеров.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 10-Янв-23 22:58 
> в выпуске Rust 1.66.1

Очень хороший язык, когда каждую неделю выходит новая версия и ломает совместимость со старой. Наверное, круто держать разные версии компилятора для разных программ.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НяшМяш , 10-Янв-23 23:17 
> выходит новая версия и ломает совместимость со старой

Экспертиза от опеннет во всей красе.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Деанон , 10-Янв-23 23:20 
Арчеводы тоже
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 10-Янв-23 23:31 
> теперь также выводится ошибка ... что может повлиять на работу автоматизированных систем сборки
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НяшМяш , 11-Янв-23 11:16 
А причём тут язык? Так можно и C++ пинать за то что CMake сделал какое-нибудь ломающее изменение.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 11:34 
Это к вопросу как растофилы фиксят баги.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено анон , 11-Янв-23 12:25 
Такого вопроса никто никогда не ставил, ты его сам себе придумал.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 15:04 
CMake не делает ломающих изменений. В CMake есть policy mechanism.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Вы забыли заполнить поле Name , 11-Янв-23 16:27 
> CMake сделал какое-нибудь ломающее изменение

Пример можешь привести?

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НяшМяш , 12-Янв-23 11:18 
> Пример можешь привести?

Пример чисто гипотетический был, но я погуглил - и действительно старое нашлось: https://stackoverflow.com/questions/40915115/cmake-changes-b...

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено freecoder , 11-Янв-23 12:12 
Ну такое нельзя зафиксить так, чтобы это не коснулось конечных пользователей.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 13:52 
можно, сейчас опеннет эксперты расскажут как.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено анон , 11-Янв-23 15:49 
На этот вопрос так часто тут с пруфами отвечают, что его вырезает антиспам еще на этапе поста.
Могу порекомендовать почитать мастер ветку с ответами разрабов, в приличном обществе за такие ответы можно потеряться в бочке с бетонном.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 00:30 
кто тебе мешает не использовать новую версию?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Admino , 11-Янв-23 01:03 
Дырени.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено псевдонимус , 11-Янв-23 01:50 
Кто мешает не использовать раст?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним1212 , 11-Янв-23 07:53 
Там же новое!! Это как на телефоне обновление приложения чтобы о нем помнили
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 01:50 
И сидеть с дырявым карго?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 19:14 
а зачем тебе cargo?
люди 20 лет сидят без обновлений на дырявых дельфях, ещё и студентов активно науськивают
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 03:02 
Например, программа Х собирается версией 1.25, но не собирается новой версией. А программа Y собирается только 1.45 и ни 1.25, ни новая версия не поможет. Итого, 3 компилятора одного языка в системе.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено анонимус , 11-Янв-23 04:33 
назови пример такой программы. мне никогда не встречались, хотя я на расте пишу активно
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 22:27 
> я на расте пишу активно

хеловорды не считаются за активность.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Советский инженер , 12-Янв-23 10:30 
Т.е. примера нет, да балабольчик?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 03:27 
Погоди лет 10, устаканится, тогда и можно будет посмореть что там за раст.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено mos87 , 11-Янв-23 18:52 
фиг с ним пе*ерастом, браузер 10-летней свежести не поймёт ни слова на нынОшнем жабаскрипте
вот где ржака.

а какой-нибудь реакт полугодовой давности не совместим со следующим))

вэлкам ту зе джангл.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 10-Янв-23 22:58 
Не, ну тут ни раст ни его разработчики не винова^W... oh wait, shit
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 15:48 
да, раст не виноват. Раст это язык программирования. Там что, переполнение буфера произошло в safe-режиме? Или язык программирования (сам, без разработчиков) должен был добавить код проверки сертификатов в один из (пусть и ключевых) проектов? А вот разработчики да, начудили. Как и все остальные разработчики на других ЯП периодически чудят. Это представь, что бы эти разработчики наворотили, если бы раст не отобрал у них возможность в дополнение накидать еще типичных ошибок сишных проектов, которых там 70%.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 17:37 
Им сишники в git'е этих 70% типичных ошибок накидали, зачем они этим гитом пользуются?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено keydon , 11-Янв-23 22:28 
Си тоже язык программирования, но почему-то для растоманов дыра в libname это "это дыра в си", а дыра в карго это "раст не виноват". Двуличность во всей красе.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено AlexCr4ckPentest , 10-Янв-23 23:47 
Хотите добавить дыр в системе на C?
Просто выполните команду:
$ sudo pacman -S rust
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Alladin , 10-Янв-23 23:53 
эмм, что?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Илья , 11-Янв-23 08:28 
О, свидетели xorg, windows xp и строительства Карпат объявились
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено mos87 , 11-Янв-23 18:53 
от свидетеля вяленда слышу
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено 1 , 11-Янв-23 08:58 
sudo: pacman: command not found
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 12:43 
pacman это игра такая, я её помню! Поищите в репах своего дистрибутива. Не понял только, зачем её запускать под sudo.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Kuromi , 12-Янв-23 01:35 
Если запускать от рута, то пакман призраков жрать может!
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено ИмяХ , 11-Янв-23 00:08 
С чего это вдруг стало уязвимость? Это важная фича, которая используется в блокировщике рекламы Privaxy
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 02:09 
не бывает такого блокировщика рекламы. бывают только uBlock/uMatrix и блокировка на стороне dns в лоб типа StevenBlack hosts или регекспами
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 11-Янв-23 02:28 
> отсутствием проверки хостового открытого ключа

Зато без переполнений буфера, выхода за границы массива и обращения к освобождённой памяти. Пока, по крайней мере.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 05:53 
А потом захочешь написать системное приложение опираясь на давно проверенные системные библиотеки и увидешь что там везде в обертках к ним лютый unsafe.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 11-Янв-23 11:45 
Да я уже понял, что скоро придётся наступит растопесец. Надеюсь, к тому моменту я успею заработать себе на пенсию и свалить из IT.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:19 
Можешь не дожидаться пенсии, у тебя уже логическое мышление и способность учиться сморщились. Иди в книжный магазин, будешь книжки рекламировать - например, "69 способов не наступить в UB на C++" Скотта Мейерса.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 12-Янв-23 11:53 
Нее, я буду сидеть на диване с кофием и печеньками, и неспешно броузить новости о массовых взломах через уязвимости растософта, авторы которого поверили в сказку о безопасности раста.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 12-Янв-23 17:56 
Что угодно, лишь бы код не писать.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:21 
То ли дело C и C++, где в unsafe обёрнут весь код. Ну, местным экспертам это не мешает, ведь они  никогда не совершают ошибок и какают радугой.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 09:43 
> Зато без переполнений буфера, выхода за границы массива и обращения к освобождённой
> памяти. Пока, по крайней мере.

Странно, в списке CVE софта на расте даже и такое есть. Как ни странно.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 12-Янв-23 11:57 
Тссс! Зачем выдёргивать детей из сладкого плена иллюзий?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 02:39 
А пацан-то взрослеет на глазах! Вот уже понял, что TOFU до добра не доведёт. Диды с сишкой ещё лет пять похихикают, а потом как мрлодые побегут за книжками на амазон.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 02:44 
Что за прикол хранить пакеты на GitHub? Perlовский CPAN сам хранит пакеты и его можно легко целиком отзеркалить через rsync.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 03:41 
Ага, а ещё там мега удобно смотреть последние коммиты с начала 2000х, через зеркала svn, т.к. в ту пору еще
не было гита и патчи тупо присылали в мейлинг лист. Ну да, давай еще возродим Windows XP.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 04:09 
Зачем возраждать xp, она итак жива и исходники есть. Что-то не нравится - правь и собирай.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 09:34 
А ты пробовал? У тебя получилось?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 10:24 
Да. Все компилится кроме пинбола и winlogon.exe. Скопировал софт и игрушки в Live cd образ Reactos.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено perl , 11-Янв-23 10:19 
> патчи тупо присылали в мейлинг лист

можно подумать это какое-то плохое действо (а может даже и не эффективное)

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 11-Янв-23 11:43 
Свой гит поднять - не?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 12:08 
На каждый пакет?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 12-Янв-23 11:49 
> На каждый пакет?

Ога, отдельный сервер с гитом на каждый пакет, иначе никак.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено mos87 , 11-Янв-23 18:55 
ну просто перлом занимаются умные но скучные люди

никто даже не знает, правильная ли у них ориентация! это нынче не катит.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 03:44 
Анти-растеры, пакетный менеджер от языка отличить можете? Или извилин понять новость не хватило?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено растоман , 11-Янв-23 04:38 
Так карго же на этом расте и написан)
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 16:09 
И? Раст (ЯП) должен был в проект карго сам, без программистов, код проверки сертификата впихнуть? И в любой другой проект, даже твой первый HelloWorld на расте он тоже эту проверку должен впихнуть? А может раст обязан был не позволить (любой?) программе скомпилироваться, если там этой проверки нет? А, наверное, там проблема с проверкой вышла из-за двойного освобождения памяти. Или неинициализированную память позволил использовать. Вот зараза.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено yet another anonymous , 11-Янв-23 06:21 
Как только в новости про раст не будет упоминаться cargo, и отношения между cargo и rust будут примерно такими же, как между каким-нибудь apt и gcc.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено EULA , 11-Янв-23 06:25 
Так ведь же пакетный менеджер на безопасном языке написан и не может содержать дыр. Или этодругое?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 09:15 
Дак вы ведь тож не можете отличить Сишку, от софта на ней написанного.

Кстати, а почему из новостей про раст пропало упоминание о том, что он позволяет безопасно работать с памятью?

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено freecoder , 11-Янв-23 11:49 
Потому что это уже стало очевидно.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 16:32 
Даже типы ошибок, совершаемые в раст-проектах, каждый раз подчеркивают сишникам их заблуждение, но не в коня корм. Хотя может они считают, что тонко троллят растоманов, не замечая, как жалко сишники-фанатики выглядят со своими утверждениями.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено 5к , 12-Янв-23 08:02 
Помнится кое-кто говорил, что ошибка есть понятие абсолютное, то есть она либо есть , либо нет, значит "типы" значения не имеют, а значит раст, как впрочем и все остальные, это просто еще один язык, и утверждать что он "не дает возможности совершить ошибку" , это как раз и есть глупость.

Обмотали автомобиль подушками и теперь у них безопастный транспорт, правда аэродинамика ниочем, и топлива жрет тягая лишьний вес, а еще мокнет под дождем и гниет, и прочее прочее. ну кому что.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 14:55 
Можно полный список от чего раст не защищает, что в него не входит и отношения к ЯП не имеет?

А то как хвалить, то "у нас есть удобный карго и безопасные библиотеки", "на расте удобно, быстро и безопасно разрабатывать".
А как уязвимости, так "карго это не язык", "это разрабы либы накосячили, отношения к расту не имеет".
Притом что это не мешало растоманам обвинять сишечку при уязвимости в либах, но это же не раст, "это другое".

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:25 
Это какие растоманы обвиняли синяков в уязвимостях, не связанных с некорректной работой с памятью?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 20:42 
Тогда растоманы должны говорить: так это программист некорректно с памятью работал, а си не виноват.
А UB и вовсе задокументированы.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Совершенно другой аноним , 11-Янв-23 17:30 
Можно вопрос - если пакетный менеджер отличается от языка почему его исправили в Rust 1.66.1, а не в каком-нибудь Cargo 1.66.1?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено AKTEON , 12-Янв-23 00:04 
Предъявите  популярные  реализации Rust без Cargo
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Бывалый смузихлёб , 11-Янв-23 05:08 
> Уязвимость вызвана отсутствием проверки хостового открытого ключа

Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают от логических и алгоритмических ошибок. Скорее, даже наоборот - способствуют, ведь чем больше гомнонаворотов, тем сложнее вникать в код

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 06:05 
look! I'm a rust programmer

**&&&*&&***&&&***&println(*&&**&&**&&&****&"Hello World")*&&***&&;

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Anonimik , 11-Янв-23 08:41 
Ростовского unwrap на тебя нет)
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:25 
Лучше drop.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 09:10 
println!
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 18:48 
Unsafe забыл, без него не заработает
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НеЗахлебнись , 11-Янв-23 10:06 
Никто такого и не заявлял, так же как и привет теореме о неполноте Геделя с последующей проблемой останова и прочими веселостями типа дедлоков. Все что ржавый гарантирует - это то что в safe(от UB) коде не будет UB, что по современным реалиям уже невероятный эволюционный скачок.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено perl , 11-Янв-23 10:22 
хочешь сказать в рекламном буклете всё наврали?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НеЗахлебнись , 11-Янв-23 10:48 
Интересно и что вам там наплели?(или вы может сами чего додумали). Базовую теорию никто не отменял. Как и критическое мышление впрочем.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:27 
Сразу видно, что ты его не читал, т.к. обещали только безопасную работу с памятью. Типичное "не читал, но осуждаю".
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 16:44 
> Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают от логических и алгоритмических ошибок.

и не должны были. Никто и не просил защиты "от логических и алгоритмических ошибок" ибо вменяемые люди понимают что на практике реализовать это невозможно. Но бОльшинство вменяемых разработчиков задолбалось разхлебывать 70% типично-сишных ошибок и обсуждаемая ошибка к ним не относится и языком ловиться не может и не должна. Ну не впендюривать же тебе автоматически в каждый проект проверку сертификатов, верно?

> Скорее, даже наоборот - способствуют, ведь чем больше гомнонаворотов, тем сложнее вникать в код

скорее наоборот, способствует тому, что ты больше над предметной областью и алгоритмами сконцентрируешься, а не будешь продираться через мешанину кода, разбирая, где тут логика алгоритма, а где проверка на выход за пределы буфера или "правильную ли я здесь арифметику указателями верчу?". Разработчики tor вон говорят что программировать стало быстрее и проще ибо часть проверок и гарантий перешла на плечи языка

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено деанон , 12-Янв-23 00:16 
бОльшинство разработчиков только-только с дерева слезли и решили, что они программисты, не имея понятия, что такое указатель.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 07:47 
Просто надо было Cargo на расте писать, а не на этом вашем дырявом C++
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 10:40 
Просто надо было не заниматься ерундой и писать новый йэзыгъ потому что мы можем. А писать сразу тулинг для C++.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 12:43 
Еще один? Это который уже по счету?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Анонн , 11-Янв-23 10:45 
Печально, что ни один язык не может защитить от логических ошибок :( Потому что она может быть даже в модели, по которой проводилась верификация.
Но еще более печально, что тут столько комментаторов, не способных понять какие-то гарантии дает раст. Страшно представить какой код они пишут.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено freecoder , 11-Янв-23 11:57 
Они не пишут код, в лучшем случае - они собирают пакеты.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 11:32 
>Уязвимость устранена в выпуске Rust 1.66.1, в котором была реализована проверка соответствия текущего открытого ключа SSH-сервера ключу, который использовался в прошлых сеансах.

Нужно вообще с Cargo список публичных ключей популярных сервисов поставлять.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Нанонимус , 11-Янв-23 12:43 
Ну хотя бы не buffer overflow.. Хотя, с обилием unsafe кода в библиотеках это чудо, что растовый код ещё не прославился подобным классом ошибок.

Надеюсь, юные растоманы, всё же, повзрослеют и со временем поймут, что никакая надёжная система не спасает от глупости. К сожалению, многим психологически сложно принимать реальность, поэтому растоманы никогда не кончатся и с них всегда можно будет посмеяться в комментариях, выслушивая их "раст гарантирует защиту от UB" (особенно с повсеместным unsafe, ага..), а так же то, почему для их т.н. "безопасности" весь язык обязательно должен иметь максимально уродский синтаксис. Весело, в общем, если бы не было так грустно..

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 14:01 
> с обилием unsafe кода в библиотеках

просто их ещё не дообследовали.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:32 
Надеюсь, пожилые синяки всё же поумнеют и со временем (хотя, сколько уже прошло, а толку ноль) поймут, что Rust никогда не обещал отсутствия логических ошибок, а отсутствие UB он обещал для всего кода, кроме обёрнутого в unsafe, т.е. более 99% кода в типичном проекте. Грустно, в общем, если бы не было так смешно.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 16:49 
Сам дернул пол-фразы про safe-код из контекста, сам и посмеялся/поплакал, молодец чо сказать. Синтаксис не сахар - да, но приемлимый(критикуя, предлагай). С unsafe в сообществе стараются бороться тулингом(advisory-db) и донося до всех, что ансейф это про оптимизации и соблюдение контрактов. Естественно раст не защищает от всех проблем, но гарантии компилятора(если в них разобраться) действительно мощные, особенно касательно ссылок(&) и многопоточного кода(Arc/Rc/etc) ценой перегруженного синтаксиса(по началу так кажется, да)
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 02:02 
Боже, да как же достало этот бред слушать про всякие проверки боров, ссылки и прочую чепуху.
Вот смотри, растофил. Есть у меня программа (допустим ядро), она запускается в Ring0, ей доступна вся память, к-ю видит CPU, а так же регистры устройств, подключенных по PCI, к примеру. И вот зачемм мне твой чекер боровов тут нужен, за какой памятью он тут следить будет, если она ВСЯ моя?

А если мне надо что-то типа такого сделать из этой моей программы?

int *p = (int*)0x56248d1b7139;
*p = 0xffffff;

Твой раст тут обгадится, очевидно.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 12-Янв-23 18:03 
let p = 0x56248d1b7139 as *mut i32;
unsafe {
    *p = 0xffffff;
}

Иди трусы стирай, ыксперт.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 18:59 
дак тут же никакие проверка не работают, ыксперт
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 19:04 
дак тут же никакие проверка не работают, ыксперт. И нахер тогда нужен ваш сраст?
Создавался для тормозного браузера, там бы и оставался.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 19:09 
Я имел ввиду без unsafe, чтоб почувствовать крутизну раста над сишкой. А ты мне показал какую-то шляпу. Иди сам стирай трусы
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 12-Янв-23 20:45 
> Я имел ввиду без unsafe

Ой, ну началось, имел он ввиду... детский сад. Компилятору лучше расскажи, что ты имел ввиду, когда словишь очередной сегфолт. Правда, ты же у нас любитель полного контроля, когда вся память - твоя, поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.

> А ты мне показал какую-то шляпу

Давай, чтобы было максимально честно по твоей логике: с тебя миллион строк кода на C, в которых нет ни единого некорректного обращения к памяти, а с меня - запись по произвольному адресу на Rust без unsafe.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 21:11 
Слушай, перестань уже всех людей судить по себе. Если ты постоянно лажаешь с памятью, это не значит что все тоже ПОСТОЯННО с ней лажают.

То, что ты показал - это шляпа, еще раз повторю. Ты следи за контексом обсуждения. С unsafe я знаю что можно записать данные по произвольному адресу, нахер ты мне это показываешь, Сишка тоже умеет так. Я просил сделать это без unsafe, потому что перед эти я упомянул Ring0. А если это сделать без unsafe нельзя, то нахер мне нужен еще один как-бы С, но с наркоманским синтаксисом?

Ты на вопрос то так и не ответил: нахер мне чекер боровов в ring0?

> поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.

в раст иначе?


> Давай, чтобы было максимально честно по твоей логике: с тебя миллион строк кода на C, в которых нет ни единого некорректного обращения к памяти, а с меня - запись по произвольному адресу на Rust без unsafe.

Ну раз ты предложил, то и первый показывай миллион строк на расте без unsafe, где пишутся данные в регистры какого-нить чипа, а тебе миллион того что ты просил. Вот так будет честно.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Анончик , 13-Янв-23 04:43 
>А если это сделать без unsafe нельзя, то нахер мне нужен еще один как-бы С, но с наркоманским синтаксисом?

Потому что поддерживать код дорого, когда язык тебя ограничивает меньше вероятность что ты накосячишь.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 14-Янв-23 02:24 
> поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.

Ыксперт, прежде, чем такой бред писать, ты хотя бы почитай (а лучше в универе поучись, а не в ПТУ) как работатет MMU, что такое TLB, ASID и т.п. Сразу видно - глупый растоман ничего не знающий, но мнение имеющий.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 20:47 
> Правда, ты же у нас любитель полного контроля, когда вся память - твоя, поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю

а как это в расте сделано?

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено mos87 , 11-Янв-23 18:49 
пора запилить единый пакето-манагер для всех язычков.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 19:44 
100500 реализаций уже есть, но растаманы придумали и впилили в компилятор свой, с куртизанками и пасьянсом.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 19:34 
Можно подумать, что вам кто-то мешает взять любую версию Rust и написать своё ПО без внешних зависимостей. Весь вой от макак, которые привыкли халявить на чужих наработках, а сами по себе ни на что не способны.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 19:46 
> и написать своё ПО без внешних зависимостей

а не получится, там даже рандом - внешний.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 21:10 
дык напиши свой рандом
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 22:29 
зачем, если есть си?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 01:57 
Потому что нет UB и есть борроу-чекер
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 13-Янв-23 17:11 
И какое это имеет отношение к отсутствию рандома в расте?