URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129464
[ Назад ]
Исходное сообщение
"Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust"
Отправлено opennews , 10-Янв-23 22:42
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58458
Содержание
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 22:55 , 10-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,ivan_erohin, 13:31 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 09:31 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 22:58 , 10-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,НяшМяш, 23:17 , 10-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Деанон, 23:20 , 10-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 23:31 , 10-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,НяшМяш, 11:16 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 11:34 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,анон, 12:25 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 15:04 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Вы забыли заполнить поле Name, 16:27 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,НяшМяш, 11:18 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,freecoder, 12:12 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 13:52 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,анон, 15:49 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 00:30 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Admino, 01:03 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,псевдонимус, 01:50 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним1212, 07:53 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 01:50 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 19:14 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 03:02 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,анонимус, 04:33 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 22:27 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Советский инженер, 10:30 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 03:27 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,mos87, 18:52 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 22:58 , 10-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 15:48 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 17:37 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,keydon, 22:28 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,AlexCr4ckPentest, 23:47 , 10-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Alladin, 23:53 , 10-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Илья, 08:28 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,mos87, 18:53 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,1, 08:58 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 12:43 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Kuromi, 01:35 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,ИмяХ, 00:08 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 02:09 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,YetAnotherOnanym, 02:28 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 05:53 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,YetAnotherOnanym, 11:45 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 16:19 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,YetAnotherOnanym, 11:53 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 17:56 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 16:21 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 09:43 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,YetAnotherOnanym, 11:57 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 02:39 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 02:44 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 03:41 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 04:09 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 09:34 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 10:24 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,perl, 10:19 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,YetAnotherOnanym, 11:43 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 12:08 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,YetAnotherOnanym, 11:49 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,mos87, 18:55 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 03:44 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,растоман, 04:38 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 16:09 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,yet another anonymous, 06:21 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,EULA, 06:25 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 09:15 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,freecoder, 11:49 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 16:32 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,5к, 08:02 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 14:55 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 16:25 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 20:42 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Совершенно другой аноним, 17:30 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,AKTEON, 00:04 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Бывалый смузихлёб, 05:08 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 06:05 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Anonimik, 08:41 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 16:25 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 09:10 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 18:48 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,НеЗахлебнись, 10:06 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,perl, 10:22 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,НеЗахлебнись, 10:48 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 16:27 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 16:44 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,деанон, 00:16 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 07:47 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 10:40 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 12:43 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Анонн, 10:45 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,freecoder, 11:57 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 11:32 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Нанонимус, 12:43 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 14:01 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 16:32 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 16:49 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 02:02 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 18:03 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 18:59 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 19:04 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 19:09 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,burjui, 20:45 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 21:11 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Анончик, 04:43 , 13-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 02:24 , 14-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 20:47 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,mos87, 18:49 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 19:44 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 19:34 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 19:46 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 21:10 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 22:29 , 11-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 01:57 , 12-Янв-23
- Уязвимость в пакетном менеджере Cargo, применяемом в экосист...,Аноним, 17:11 , 13-Янв-23
Сообщения в этом обсуждении
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 10-Янв-23 22:55
Кажется, к "don't roll your own crypto" надо добавить "don't reimplement SSH clients"
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено ivan_erohin , 11-Янв-23 13:31
"... and git clients too".такой модный язык, а использует наработки старперов. не позорно им ?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 09:31
Если б они это сами сделали, CVE было бы в 10 раз больше. Вон в матриксе славно похайповали, end-to-end шифрование в дефолтовой их либе вынесли. Такое вот крипто от хипстеров.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 10-Янв-23 22:58
> в выпуске Rust 1.66.1Очень хороший язык, когда каждую неделю выходит новая версия и ломает совместимость со старой. Наверное, круто держать разные версии компилятора для разных программ.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НяшМяш , 10-Янв-23 23:17
> выходит новая версия и ломает совместимость со старойЭкспертиза от опеннет во всей красе.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Деанон , 10-Янв-23 23:20
Арчеводы тоже
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 10-Янв-23 23:31
> теперь также выводится ошибка ... что может повлиять на работу автоматизированных систем сборки
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НяшМяш , 11-Янв-23 11:16
А причём тут язык? Так можно и C++ пинать за то что CMake сделал какое-нибудь ломающее изменение.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 11:34
Это к вопросу как растофилы фиксят баги.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено анон , 11-Янв-23 12:25
Такого вопроса никто никогда не ставил, ты его сам себе придумал.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 15:04
CMake не делает ломающих изменений. В CMake есть policy mechanism.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Вы забыли заполнить поле Name , 11-Янв-23 16:27
> CMake сделал какое-нибудь ломающее изменениеПример можешь привести?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НяшМяш , 12-Янв-23 11:18
> Пример можешь привести?Пример чисто гипотетический был, но я погуглил - и действительно старое нашлось: https://stackoverflow.com/questions/40915115/cmake-changes-b...
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено freecoder , 11-Янв-23 12:12
Ну такое нельзя зафиксить так, чтобы это не коснулось конечных пользователей.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 13:52
можно, сейчас опеннет эксперты расскажут как.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено анон , 11-Янв-23 15:49
На этот вопрос так часто тут с пруфами отвечают, что его вырезает антиспам еще на этапе поста.
Могу порекомендовать почитать мастер ветку с ответами разрабов, в приличном обществе за такие ответы можно потеряться в бочке с бетонном.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 00:30
кто тебе мешает не использовать новую версию?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Admino , 11-Янв-23 01:03
Дырени.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено псевдонимус , 11-Янв-23 01:50
Кто мешает не использовать раст?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним1212 , 11-Янв-23 07:53
Там же новое!! Это как на телефоне обновление приложения чтобы о нем помнили
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 01:50
И сидеть с дырявым карго?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 19:14
а зачем тебе cargo?
люди 20 лет сидят без обновлений на дырявых дельфях, ещё и студентов активно науськивают
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 03:02
Например, программа Х собирается версией 1.25, но не собирается новой версией. А программа Y собирается только 1.45 и ни 1.25, ни новая версия не поможет. Итого, 3 компилятора одного языка в системе.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено анонимус , 11-Янв-23 04:33
назови пример такой программы. мне никогда не встречались, хотя я на расте пишу активно
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 22:27
> я на расте пишу активнохеловорды не считаются за активность.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Советский инженер , 12-Янв-23 10:30
Т.е. примера нет, да балабольчик?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 03:27
Погоди лет 10, устаканится, тогда и можно будет посмореть что там за раст.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено mos87 , 11-Янв-23 18:52
фиг с ним пе*ерастом, браузер 10-летней свежести не поймёт ни слова на нынОшнем жабаскрипте
вот где ржака.а какой-нибудь реакт полугодовой давности не совместим со следующим))
вэлкам ту зе джангл.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 10-Янв-23 22:58
Не, ну тут ни раст ни его разработчики не винова^W... oh wait, shit
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 15:48
да, раст не виноват. Раст это язык программирования. Там что, переполнение буфера произошло в safe-режиме? Или язык программирования (сам, без разработчиков) должен был добавить код проверки сертификатов в один из (пусть и ключевых) проектов? А вот разработчики да, начудили. Как и все остальные разработчики на других ЯП периодически чудят. Это представь, что бы эти разработчики наворотили, если бы раст не отобрал у них возможность в дополнение накидать еще типичных ошибок сишных проектов, которых там 70%.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 17:37
Им сишники в git'е этих 70% типичных ошибок накидали, зачем они этим гитом пользуются?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено keydon , 11-Янв-23 22:28
Си тоже язык программирования, но почему-то для растоманов дыра в libname это "это дыра в си", а дыра в карго это "раст не виноват". Двуличность во всей красе.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено AlexCr4ckPentest , 10-Янв-23 23:47
Хотите добавить дыр в системе на C?
Просто выполните команду:
$ sudo pacman -S rust
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Alladin , 10-Янв-23 23:53
эмм, что?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Илья , 11-Янв-23 08:28
О, свидетели xorg, windows xp и строительства Карпат объявились
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено mos87 , 11-Янв-23 18:53
от свидетеля вяленда слышу
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено 1 , 11-Янв-23 08:58
sudo: pacman: command not found
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 12:43
pacman это игра такая, я её помню! Поищите в репах своего дистрибутива. Не понял только, зачем её запускать под sudo.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Kuromi , 12-Янв-23 01:35
Если запускать от рута, то пакман призраков жрать может!
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено ИмяХ , 11-Янв-23 00:08
С чего это вдруг стало уязвимость? Это важная фича, которая используется в блокировщике рекламы Privaxy
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 02:09
не бывает такого блокировщика рекламы. бывают только uBlock/uMatrix и блокировка на стороне dns в лоб типа StevenBlack hosts или регекспами
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 11-Янв-23 02:28
> отсутствием проверки хостового открытого ключаЗато без переполнений буфера, выхода за границы массива и обращения к освобождённой памяти. Пока, по крайней мере.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 05:53
А потом захочешь написать системное приложение опираясь на давно проверенные системные библиотеки и увидешь что там везде в обертках к ним лютый unsafe.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 11-Янв-23 11:45
Да я уже понял, что скоро придётся наступит растопесец. Надеюсь, к тому моменту я успею заработать себе на пенсию и свалить из IT.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:19
Можешь не дожидаться пенсии, у тебя уже логическое мышление и способность учиться сморщились. Иди в книжный магазин, будешь книжки рекламировать - например, "69 способов не наступить в UB на C++" Скотта Мейерса.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 12-Янв-23 11:53
Нее, я буду сидеть на диване с кофием и печеньками, и неспешно броузить новости о массовых взломах через уязвимости растософта, авторы которого поверили в сказку о безопасности раста.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 12-Янв-23 17:56
Что угодно, лишь бы код не писать.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:21
То ли дело C и C++, где в unsafe обёрнут весь код. Ну, местным экспертам это не мешает, ведь они никогда не совершают ошибок и какают радугой.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 09:43
> Зато без переполнений буфера, выхода за границы массива и обращения к освобождённой
> памяти. Пока, по крайней мере.Странно, в списке CVE софта на расте даже и такое есть. Как ни странно.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 12-Янв-23 11:57
Тссс! Зачем выдёргивать детей из сладкого плена иллюзий?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 02:39
А пацан-то взрослеет на глазах! Вот уже понял, что TOFU до добра не доведёт. Диды с сишкой ещё лет пять похихикают, а потом как мрлодые побегут за книжками на амазон.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 02:44
Что за прикол хранить пакеты на GitHub? Perlовский CPAN сам хранит пакеты и его можно легко целиком отзеркалить через rsync.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 03:41
Ага, а ещё там мега удобно смотреть последние коммиты с начала 2000х, через зеркала svn, т.к. в ту пору еще
не было гита и патчи тупо присылали в мейлинг лист. Ну да, давай еще возродим Windows XP.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 04:09
Зачем возраждать xp, она итак жива и исходники есть. Что-то не нравится - правь и собирай.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 09:34
А ты пробовал? У тебя получилось?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 10:24
Да. Все компилится кроме пинбола и winlogon.exe. Скопировал софт и игрушки в Live cd образ Reactos.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено perl , 11-Янв-23 10:19
> патчи тупо присылали в мейлинг листможно подумать это какое-то плохое действо (а может даже и не эффективное)
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 11-Янв-23 11:43
Свой гит поднять - не?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 12:08
На каждый пакет?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено YetAnotherOnanym , 12-Янв-23 11:49
> На каждый пакет?Ога, отдельный сервер с гитом на каждый пакет, иначе никак.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено mos87 , 11-Янв-23 18:55
ну просто перлом занимаются умные но скучные людиникто даже не знает, правильная ли у них ориентация! это нынче не катит.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 03:44
Анти-растеры, пакетный менеджер от языка отличить можете? Или извилин понять новость не хватило?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено растоман , 11-Янв-23 04:38
Так карго же на этом расте и написан)
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 16:09
И? Раст (ЯП) должен был в проект карго сам, без программистов, код проверки сертификата впихнуть? И в любой другой проект, даже твой первый HelloWorld на расте он тоже эту проверку должен впихнуть? А может раст обязан был не позволить (любой?) программе скомпилироваться, если там этой проверки нет? А, наверное, там проблема с проверкой вышла из-за двойного освобождения памяти. Или неинициализированную память позволил использовать. Вот зараза.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено yet another anonymous , 11-Янв-23 06:21
Как только в новости про раст не будет упоминаться cargo, и отношения между cargo и rust будут примерно такими же, как между каким-нибудь apt и gcc.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено EULA , 11-Янв-23 06:25
Так ведь же пакетный менеджер на безопасном языке написан и не может содержать дыр. Или этодругое?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 09:15
Дак вы ведь тож не можете отличить Сишку, от софта на ней написанного.Кстати, а почему из новостей про раст пропало упоминание о том, что он позволяет безопасно работать с памятью?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено freecoder , 11-Янв-23 11:49
Потому что это уже стало очевидно.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 16:32
Даже типы ошибок, совершаемые в раст-проектах, каждый раз подчеркивают сишникам их заблуждение, но не в коня корм. Хотя может они считают, что тонко троллят растоманов, не замечая, как жалко сишники-фанатики выглядят со своими утверждениями.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено 5к , 12-Янв-23 08:02
Помнится кое-кто говорил, что ошибка есть понятие абсолютное, то есть она либо есть , либо нет, значит "типы" значения не имеют, а значит раст, как впрочем и все остальные, это просто еще один язык, и утверждать что он "не дает возможности совершить ошибку" , это как раз и есть глупость.Обмотали автомобиль подушками и теперь у них безопастный транспорт, правда аэродинамика ниочем, и топлива жрет тягая лишьний вес, а еще мокнет под дождем и гниет, и прочее прочее. ну кому что.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 14:55
Можно полный список от чего раст не защищает, что в него не входит и отношения к ЯП не имеет?А то как хвалить, то "у нас есть удобный карго и безопасные библиотеки", "на расте удобно, быстро и безопасно разрабатывать".
А как уязвимости, так "карго это не язык", "это разрабы либы накосячили, отношения к расту не имеет".
Притом что это не мешало растоманам обвинять сишечку при уязвимости в либах, но это же не раст, "это другое".
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:25
Это какие растоманы обвиняли синяков в уязвимостях, не связанных с некорректной работой с памятью?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 20:42
Тогда растоманы должны говорить: так это программист некорректно с памятью работал, а си не виноват.
А UB и вовсе задокументированы.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Совершенно другой аноним , 11-Янв-23 17:30
Можно вопрос - если пакетный менеджер отличается от языка почему его исправили в Rust 1.66.1, а не в каком-нибудь Cargo 1.66.1?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено AKTEON , 12-Янв-23 00:04
Предъявите популярные реализации Rust без Cargo
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Бывалый смузихлёб , 11-Янв-23 05:08
> Уязвимость вызвана отсутствием проверки хостового открытого ключа Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают от логических и алгоритмических ошибок. Скорее, даже наоборот - способствуют, ведь чем больше гомнонаворотов, тем сложнее вникать в код
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 06:05
look! I'm a rust programmer**&&&*&&***&&&***&println(*&&**&&**&&&****&"Hello World")*&&***&&;
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Anonimik , 11-Янв-23 08:41
Ростовского unwrap на тебя нет)
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:25
Лучше drop.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 09:10
println!
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 18:48
Unsafe забыл, без него не заработает
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НеЗахлебнись , 11-Янв-23 10:06
Никто такого и не заявлял, так же как и привет теореме о неполноте Геделя с последующей проблемой останова и прочими веселостями типа дедлоков. Все что ржавый гарантирует - это то что в safe(от UB) коде не будет UB, что по современным реалиям уже невероятный эволюционный скачок.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено perl , 11-Янв-23 10:22
хочешь сказать в рекламном буклете всё наврали?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено НеЗахлебнись , 11-Янв-23 10:48
Интересно и что вам там наплели?(или вы может сами чего додумали). Базовую теорию никто не отменял. Как и критическое мышление впрочем.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:27
Сразу видно, что ты его не читал, т.к. обещали только безопасную работу с памятью. Типичное "не читал, но осуждаю".
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 16:44
> Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают от логических и алгоритмических ошибок.и не должны были. Никто и не просил защиты "от логических и алгоритмических ошибок" ибо вменяемые люди понимают что на практике реализовать это невозможно. Но бОльшинство вменяемых разработчиков задолбалось разхлебывать 70% типично-сишных ошибок и обсуждаемая ошибка к ним не относится и языком ловиться не может и не должна. Ну не впендюривать же тебе автоматически в каждый проект проверку сертификатов, верно?
> Скорее, даже наоборот - способствуют, ведь чем больше гомнонаворотов, тем сложнее вникать в код
скорее наоборот, способствует тому, что ты больше над предметной областью и алгоритмами сконцентрируешься, а не будешь продираться через мешанину кода, разбирая, где тут логика алгоритма, а где проверка на выход за пределы буфера или "правильную ли я здесь арифметику указателями верчу?". Разработчики tor вон говорят что программировать стало быстрее и проще ибо часть проверок и гарантий перешла на плечи языка
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено деанон , 12-Янв-23 00:16
бОльшинство разработчиков только-только с дерева слезли и решили, что они программисты, не имея понятия, что такое указатель.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 07:47
Просто надо было Cargo на расте писать, а не на этом вашем дырявом C++
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 10:40
Просто надо было не заниматься ерундой и писать новый йэзыгъ потому что мы можем. А писать сразу тулинг для C++.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 12:43
Еще один? Это который уже по счету?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Анонн , 11-Янв-23 10:45
Печально, что ни один язык не может защитить от логических ошибок :( Потому что она может быть даже в модели, по которой проводилась верификация.
Но еще более печально, что тут столько комментаторов, не способных понять какие-то гарантии дает раст. Страшно представить какой код они пишут.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено freecoder , 11-Янв-23 11:57
Они не пишут код, в лучшем случае - они собирают пакеты.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 11:32
>Уязвимость устранена в выпуске Rust 1.66.1, в котором была реализована проверка соответствия текущего открытого ключа SSH-сервера ключу, который использовался в прошлых сеансах.Нужно вообще с Cargo список публичных ключей популярных сервисов поставлять.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Нанонимус , 11-Янв-23 12:43
Ну хотя бы не buffer overflow.. Хотя, с обилием unsafe кода в библиотеках это чудо, что растовый код ещё не прославился подобным классом ошибок.Надеюсь, юные растоманы, всё же, повзрослеют и со временем поймут, что никакая надёжная система не спасает от глупости. К сожалению, многим психологически сложно принимать реальность, поэтому растоманы никогда не кончатся и с них всегда можно будет посмеяться в комментариях, выслушивая их "раст гарантирует защиту от UB" (особенно с повсеместным unsafe, ага..), а так же то, почему для их т.н. "безопасности" весь язык обязательно должен иметь максимально уродский синтаксис. Весело, в общем, если бы не было так грустно..
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 14:01
> с обилием unsafe кода в библиотекахпросто их ещё не дообследовали.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 11-Янв-23 16:32
Надеюсь, пожилые синяки всё же поумнеют и со временем (хотя, сколько уже прошло, а толку ноль) поймут, что Rust никогда не обещал отсутствия логических ошибок, а отсутствие UB он обещал для всего кода, кроме обёрнутого в unsafe, т.е. более 99% кода в типичном проекте. Грустно, в общем, если бы не было так смешно.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 16:49
Сам дернул пол-фразы про safe-код из контекста, сам и посмеялся/поплакал, молодец чо сказать. Синтаксис не сахар - да, но приемлимый(критикуя, предлагай). С unsafe в сообществе стараются бороться тулингом(advisory-db) и донося до всех, что ансейф это про оптимизации и соблюдение контрактов. Естественно раст не защищает от всех проблем, но гарантии компилятора(если в них разобраться) действительно мощные, особенно касательно ссылок(&) и многопоточного кода(Arc/Rc/etc) ценой перегруженного синтаксиса(по началу так кажется, да)
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 02:02
Боже, да как же достало этот бред слушать про всякие проверки боров, ссылки и прочую чепуху.
Вот смотри, растофил. Есть у меня программа (допустим ядро), она запускается в Ring0, ей доступна вся память, к-ю видит CPU, а так же регистры устройств, подключенных по PCI, к примеру. И вот зачемм мне твой чекер боровов тут нужен, за какой памятью он тут следить будет, если она ВСЯ моя?А если мне надо что-то типа такого сделать из этой моей программы?
int *p = (int*)0x56248d1b7139;
*p = 0xffffff;
Твой раст тут обгадится, очевидно.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 12-Янв-23 18:03
let p = 0x56248d1b7139 as *mut i32;
unsafe {
*p = 0xffffff;
}Иди трусы стирай, ыксперт.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 18:59
дак тут же никакие проверка не работают, ыксперт
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 19:04
дак тут же никакие проверка не работают, ыксперт. И нахер тогда нужен ваш сраст?
Создавался для тормозного браузера, там бы и оставался.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 19:09
Я имел ввиду без unsafe, чтоб почувствовать крутизну раста над сишкой. А ты мне показал какую-то шляпу. Иди сам стирай трусы
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено burjui , 12-Янв-23 20:45
> Я имел ввиду без unsafeОй, ну началось, имел он ввиду... детский сад. Компилятору лучше расскажи, что ты имел ввиду, когда словишь очередной сегфолт. Правда, ты же у нас любитель полного контроля, когда вся память - твоя, поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.
> А ты мне показал какую-то шляпу
Давай, чтобы было максимально честно по твоей логике: с тебя миллион строк кода на C, в которых нет ни единого некорректного обращения к памяти, а с меня - запись по произвольному адресу на Rust без unsafe.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 21:11
Слушай, перестань уже всех людей судить по себе. Если ты постоянно лажаешь с памятью, это не значит что все тоже ПОСТОЯННО с ней лажают.То, что ты показал - это шляпа, еще раз повторю. Ты следи за контексом обсуждения. С unsafe я знаю что можно записать данные по произвольному адресу, нахер ты мне это показываешь, Сишка тоже умеет так. Я просил сделать это без unsafe, потому что перед эти я упомянул Ring0. А если это сделать без unsafe нельзя, то нахер мне нужен еще один как-бы С, но с наркоманским синтаксисом?
Ты на вопрос то так и не ответил: нахер мне чекер боровов в ring0?
> поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.
в раст иначе?
> Давай, чтобы было максимально честно по твоей логике: с тебя миллион строк кода на C, в которых нет ни единого некорректного обращения к памяти, а с меня - запись по произвольному адресу на Rust без unsafe.
Ну раз ты предложил, то и первый показывай миллион строк на расте без unsafe, где пишутся данные в регистры какого-нить чипа, а тебе миллион того что ты просил. Вот так будет честно.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Анончик , 13-Янв-23 04:43
>А если это сделать без unsafe нельзя, то нахер мне нужен еще один как-бы С, но с наркоманским синтаксисом?Потому что поддерживать код дорого, когда язык тебя ограничивает меньше вероятность что ты накосячишь.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 14-Янв-23 02:24
> поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.Ыксперт, прежде, чем такой бред писать, ты хотя бы почитай (а лучше в универе поучись, а не в ПТУ) как работатет MMU, что такое TLB, ASID и т.п. Сразу видно - глупый растоман ничего не знающий, но мнение имеющий.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 20:47
> Правда, ты же у нас любитель полного контроля, когда вся память - твоя, поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделюа как это в расте сделано?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено mos87 , 11-Янв-23 18:49
пора запилить единый пакето-манагер для всех язычков.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 19:44
100500 реализаций уже есть, но растаманы придумали и впилили в компилятор свой, с куртизанками и пасьянсом.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 19:34
Можно подумать, что вам кто-то мешает взять любую версию Rust и написать своё ПО без внешних зависимостей. Весь вой от макак, которые привыкли халявить на чужих наработках, а сами по себе ни на что не способны.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 19:46
> и написать своё ПО без внешних зависимостейа не получится, там даже рандом - внешний.
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 21:10
дык напиши свой рандом
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 11-Янв-23 22:29
зачем, если есть си?
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 12-Янв-23 01:57
Потому что нет UB и есть борроу-чекер
"Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."
Отправлено Аноним , 13-Янв-23 17:11
И какое это имеет отношение к отсутствию рандома в расте?