Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust, opennews (??), 10-Янв-23, (0) [смотреть все] Кажется, к don t roll your own crypto надо добавить don t reimplement SSH cli, Аноним (6), 22:55 , 10-Янв-23, (6) +14 // and git clients too такой модный язык, а использует наработки старперов н, ivan_erohin (?), 13:31 , 11-Янв-23, (101) +1 // Если б они это сами сделали, CVE было бы в 10 раз больше Вон в матриксе славно , Аноним (-), 09:31 , 12-Янв-23, (149) Очень хороший язык, когда каждую неделю выходит новая версия и ломает совместимо, Аноним (9), 22:58 , 10-Янв-23, (9) // Экспертиза от опеннет во всей красе , НяшМяш (ok), 23:17 , 10-Янв-23, (13) +1 // Арчеводы тоже, Деанон (?), 23:20 , 10-Янв-23, (15) –3 Уязвимость в пакетном менеджере Cargo, применяемом в экосист..., Аноним (17), 23:31 , 10-Янв-23, (17) +2 // А причём тут язык Так можно и C пинать за то что CMake сделал какое-нибудь ло, НяшМяш (ok), 11:16 , 11-Янв-23, (86) +4 Это к вопросу как растофилы фиксят баги , Аноним (88), 11:34 , 11-Янв-23, (88) +1 Такого вопроса никто никогда не ставил, ты его сам себе придумал , анон (?), 12:25 , 11-Янв-23, (97) +2 CMake не делает ломающих изменений В CMake есть policy mechanism , Аноним (105), 15:04 , 11-Янв-23, (105) +1 Пример можешь привести , Вы забыли заполнить поле Name (?), 16:27 , 11-Янв-23, (114) +1 Пример чисто гипотетический был, но я погуглил - и действительно старое нашлось , НяшМяш (ok), 11:18 , 12-Янв-23, (152) Ну такое нельзя зафиксить так, чтобы это не коснулось конечных пользователей , freecoder (ok), 12:12 , 11-Янв-23, (96) можно, сейчас опеннет эксперты расскажут как , Аноним (102), 13:52 , 11-Янв-23, (102) На этот вопрос так часто тут с пруфами отвечают, что его вырезает антиспам еще н, анон (?), 15:49 , 11-Янв-23, (108) кто тебе мешает не использовать новую версию , Аноним (30), 00:30 , 11-Янв-23, (30) // Дырени , Admino (ok), 01:03 , 11-Янв-23, (33) +7 Кто мешает не использовать раст , псевдонимус (?), 01:50 , 11-Янв-23, (36) +7 // Там же новое Это как на телефоне обновление приложения чтобы о нем помнили , Аноним1212 (?), 07:53 , 11-Янв-23, (65) +2 И сидеть с дырявым карго , Аноним (88), 01:50 , 11-Янв-23, (37) // а зачем тебе cargo люди 20 лет сидят без обновлений на дырявых дельфях, ещё и ст, Аноним (30), 19:14 , 11-Янв-23, (131) Например, программа Х собирается версией 1 25, но не собирается новой версией А, Аноним (9), 03:02 , 11-Янв-23, (50) +1 // назови пример такой программы мне никогда не встречались, хотя я на расте пишу , анонимус (??), 04:33 , 11-Янв-23, (56) +5 хеловорды не считаются за активность , Аноним (17), 22:27 , 11-Янв-23, (139) +1 Т е примера нет, да балабольчик , Советский инженер (?), 10:30 , 12-Янв-23, (151) Погоди лет 10, устаканится, тогда и можно будет посмореть что там за раст , Аноним (52), 03:27 , 11-Янв-23, (52) +1 фиг с ним пе ерастом, браузер 10-летней свежести не поймёт ни слова на нынОшнем , mos87 (ok), 18:52 , 11-Янв-23, (128) +2 Не, ну тут ни раст ни его разработчики не винова W oh wait, shit, Аноним (88), 22:58 , 10-Янв-23, (10) +13 // да, раст не виноват Раст это язык программирования Там что, переполнение буфер, Аноним (107), 15:48 , 11-Янв-23, (107) +3 // Им сишники в git е этих 70 типичных ошибок накидали, зачем они этим гитом польз, Аноним (124), 17:37 , 11-Янв-23, (124) Си тоже язык программирования, но почему-то для растоманов дыра в libname это э, keydon (ok), 22:28 , 11-Янв-23, (140) +2 Хотите добавить дыр в системе на C Просто выполните команду sudo pacman -S rus, AlexCr4ckPentest (ok), 23:47 , 10-Янв-23, (20) –2 // эмм, что , Alladin (?), 23:53 , 10-Янв-23, (21) +2 О, свидетели xorg, windows xp и строительства Карпат объявились, Илья (??), 08:28 , 11-Янв-23, (68) +1 // от свидетеля вяленда слышу, mos87 (ok), 18:53 , 11-Янв-23, (129) sudo pacman command not found, 1 (??), 08:58 , 11-Янв-23, (70) +1 // pacman это игра такая, я её помню Поищите в репах своего дистрибутива Не понял, Аноним (99), 12:43 , 11-Янв-23, (99) +2 // Если запускать от рута, то пакман призраков жрать может , Kuromi (ok), 01:35 , 12-Янв-23, (145) +1 С чего это вдруг стало уязвимость Это важная фича, которая используется в блоки, ИмяХ (?), 00:08 , 11-Янв-23, (25) –2 // не бывает такого блокировщика рекламы бывают только uBlock uMatrix и блокировка, Аноним (45), 02:09 , 11-Янв-23, (45) Зато без переполнений буфера, выхода за границы массива и обращения к освобождён, YetAnotherOnanym (ok), 02:28 , 11-Янв-23, (46) –2 // А потом захочешь написать системное приложение опираясь на давно проверенные сис, Аноним (59), 05:53 , 11-Янв-23, (59) // Да я уже понял, что скоро придётся наступит растопесец Надеюсь, к тому моменту , YetAnotherOnanym (ok), 11:45 , 11-Янв-23, (90) // Можешь не дожидаться пенсии, у тебя уже логическое мышление и способность учитьс, burjui (ok), 16:19 , 11-Янв-23, (110) –3 Нее, я буду сидеть на диване с кофием и печеньками, и неспешно броузить новости , YetAnotherOnanym (ok), 11:53 , 12-Янв-23, (154) Что угодно, лишь бы код не писать , burjui (ok), 17:56 , 12-Янв-23, (156) То ли дело C и C , где в unsafe обёрнут весь код Ну, местным экспертам это не , burjui (ok), 16:21 , 11-Янв-23, (111) –3 Странно, в списке CVE софта на расте даже и такое есть Как ни странно , Аноним (-), 09:43 , 12-Янв-23, (150) // Тссс Зачем выдёргивать детей из сладкого плена иллюзий , YetAnotherOnanym (ok), 11:57 , 12-Янв-23, (155) А пацан-то взрослеет на глазах Вот уже понял, что TOFU до добра не доведёт Дид, Аноним (48), 02:39 , 11-Янв-23, (48) –2 Что за прикол хранить пакеты на GitHub Perlовский CPAN сам хранит пакеты и его , Аноним (49), 02:44 , 11-Янв-23, (49) +1 // Ага, а ещё там мега удобно смотреть последние коммиты с начала 2000х, через зерк, Аноним (53), 03:41 , 11-Янв-23, (53) –3 // Зачем возраждать xp, она итак жива и исходники есть Что-то не нравится - правь , Аноним (49), 04:09 , 11-Янв-23, (55) // А ты пробовал У тебя получилось , Аноним (73), 09:34 , 11-Янв-23, (73) Да Все компилится кроме пинбола и winlogon exe Скопировал софт и игрушки в Liv, Аноним (49), 10:24 , 11-Янв-23, (77) можно подумать это какое-то плохое действо а может даже и не эффективное , perl (??), 10:19 , 11-Янв-23, (75) +1 Свой гит поднять - не , YetAnotherOnanym (ok), 11:43 , 11-Янв-23, (89) +1 // На каждый пакет , Аноним (49), 12:08 , 11-Янв-23, (95) –1 Ога, отдельный сервер с гитом на каждый пакет, иначе никак , YetAnotherOnanym (ok), 11:49 , 12-Янв-23, (153) ну просто перлом занимаются умные но скучные людиникто даже не знает, правильная, mos87 (ok), 18:55 , 11-Янв-23, (130) +1 Анти-растеры, пакетный менеджер от языка отличить можете Или извилин понять нов, Аноним (53), 03:44 , 11-Янв-23, (54) –6 // Так карго же на этом расте и написан , растоман (?), 04:38 , 11-Янв-23, (57) +5 // И Раст ЯП должен был в проект карго сам, без программистов, код проверки серт, Аноним (107), 16:09 , 11-Янв-23, (109) +1 Как только в новости про раст не будет упоминаться cargo, и отношения между carg, yet another anonymous (?), 06:21 , 11-Янв-23, (62) +3 Так ведь же пакетный менеджер на безопасном языке написан и не может содержать д, EULA (?), 06:25 , 11-Янв-23, (63) +2 Дак вы ведь тож не можете отличить Сишку, от софта на ней написанного Кстати, а , Аноним (88), 09:15 , 11-Янв-23, (72) +1 // Потому что это уже стало очевидно , freecoder (ok), 11:49 , 11-Янв-23, (92) // Даже типы ошибок, совершаемые в раст-проектах, каждый раз подчеркивают сишникам , Аноним (107), 16:32 , 11-Янв-23, (119) Помнится кое-кто говорил, что ошибка есть понятие абсолютное, то есть она либо е, 5к (?), 08:02 , 12-Янв-23, (148) Можно полный список от чего раст не защищает, что в него не входит и отношения к, Аноним (104), 14:55 , 11-Янв-23, (104) +1 // Это какие растоманы обвиняли синяков в уязвимостях, не связанных с некорректной , burjui (ok), 16:25 , 11-Янв-23, (112) –2 // Тогда растоманы должны говорить так это программист некорректно с памятью работ, Аноним (104), 20:42 , 11-Янв-23, (136) +1 Можно вопрос - если пакетный менеджер отличается от языка почему его исправили в, Совершенно другой аноним (?), 17:30 , 11-Янв-23, (122) +1 Предъявите популярные реализации Rust без Cargo, AKTEON (?), 00:04 , 12-Янв-23, (142) +1 Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают о, Бывалый смузихлёб (?), 05:08 , 11-Янв-23, (58) +5 // look I m a rust programmer println Hello Wor, Аноним (59), 06:05 , 11-Янв-23, (61) +1 // Ростовского unwrap на тебя нет , Anonimik (?), 08:41 , 11-Янв-23, (69) +1 // Лучше drop , burjui (ok), 16:25 , 11-Янв-23, (113) println , Аноним (71), 09:10 , 11-Янв-23, (71) +3 Unsafe забыл, без него не заработает, Аноним (125), 18:48 , 11-Янв-23, (125) +2 Никто такого и не заявлял, так же как и привет теореме о неполноте Геделя с посл, НеЗахлебнись (?), 10:06 , 11-Янв-23, (74) +3 // хочешь сказать в рекламном буклете всё наврали , perl (??), 10:22 , 11-Янв-23, (76) +1 // Интересно и что вам там наплели или вы может сами чего додумали Базовую теори, НеЗахлебнись (?), 10:48 , 11-Янв-23, (84) Сразу видно, что ты его не читал, т к обещали только безопасную работу с память, burjui (ok), 16:27 , 11-Янв-23, (115) и не должны были Никто и не просил защиты от логических и алгоритмических ошиб, Аноним (107), 16:44 , 11-Янв-23, (120) // бОльшинство разработчиков только-только с дерева слезли и решили, что они програ, деанон (?), 00:16 , 12-Янв-23, (143) Просто надо было Cargo на расте писать, а не на этом вашем дырявом C , Аноним (64), 07:47 , 11-Янв-23, (64) // Просто надо было не заниматься ерундой и писать новый йэзыгъ потому что мы можем, Аноним (79), 10:40 , 11-Янв-23, (79) –1 // Еще один Это который уже по счету , Аноним (98), 12:43 , 11-Янв-23, (98) +1 Печально, что ни один язык не может защитить от логических ошибок Потому что , Анонн (?), 10:45 , 11-Янв-23, (83) // Они не пишут код, в лучшем случае - они собирают пакеты , freecoder (ok), 11:57 , 11-Янв-23, (93) –1 Нужно вообще с Cargo список публичных ключей популярных сервисов поставлять , Аноним (87), 11:32 , 11-Янв-23, (87) Ну хотя бы не buffer overflow Хотя, с обилием unsafe кода в библиотеках это чу, Нанонимус (ok), 12:43 , 11-Янв-23, (100) // просто их ещё не дообследовали , Аноним (17), 14:01 , 11-Янв-23, (103) +1 Надеюсь, пожилые синяки всё же поумнеют и со временем хотя, сколько уже прошло,, burjui (ok), 16:32 , 11-Янв-23, (118) –3 Сам дернул пол-фразы про safe-код из контекста, сам и посмеялся поплакал, молоде, Аноним (98), 16:49 , 11-Янв-23, (121) // Боже, да как же достало этот бред слушать про всякие проверки боров, ссылки и пр, Аноним (124), 02:02 , 12-Янв-23, (147)   // let p 0x56248d1b7139 as mut i32 unsafe p 0xffffff Иди трусы стирай, , burjui (ok), 18:03 , 12-Янв-23, (157)   дак тут же никакие проверка не работают, ыксперт, Аноним (124), 18:59 , 12-Янв-23, (158)   дак тут же никакие проверка не работают, ыксперт И нахер тогда нужен ваш сраст , Аноним (124), 19:04 , 12-Янв-23, (159)   Я имел ввиду без unsafe, чтоб почувствовать крутизну раста над сишкой А ты мне , Аноним (124), 19:09 , 12-Янв-23, (160)   Ой, ну началось, имел он ввиду детский сад Компилятору лучше расскажи, что т, burjui (ok), 20:45 , 12-Янв-23, (161)   Слушай, перестань уже всех людей судить по себе Если ты постоянно лажаешь с пам, Аноним (124), 21:11 , 12-Янв-23, (163)   Потому что поддерживать код дорого, когда язык тебя ограничивает меньше вероятно, Анончик (?), 04:43 , 13-Янв-23, (164)   Ыксперт, прежде, чем такой бред писать, ты хотя бы почитай а лучше в универе по, Аноним (124), 02:24 , 14-Янв-23, (166)   а как это в расте сделано , Аноним (124), 20:47 , 12-Янв-23, (162)   пора запилить единый пакето-манагер для всех язычков , mos87 (ok), 18:49 , 11-Янв-23, (126) +2 // 100500 реализаций уже есть, но растаманы придумали и впилили в компилятор свой, , Аноним (17), 19:44 , 11-Янв-23, (134) Можно подумать, что вам кто-то мешает взять любую версию Rust и написать своё ПО, Аноним (133), 19:34 , 11-Янв-23, (133) –1 // а не получится, там даже рандом - внешний , Аноним (17), 19:46 , 11-Янв-23, (135) // дык напиши свой рандом, Аноним (30), 21:10 , 11-Янв-23, (137) –1 // зачем, если есть си , Аноним (17), 22:29 , 11-Янв-23, (141) +1 Потому что нет UB и есть борроу-чекер, Аноним (98), 01:57 , 12-Янв-23, (146) И какое это имеет отношение к отсутствию рандома в расте , Аноним (165), 17:11 , 13-Янв-23, (165) +1 6,9,10,20,25,46,48,49,54,58,64,83,87,100,126,133

Сообщения

[Сортировка по времени | RSS]

	147. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (124), 12-Янв-23, 02:02
	Боже, да как же достало этот бред слушать про всякие проверки боров, ссылки и прочую чепуху. Вот смотри, растофил. Есть у меня программа (допустим ядро), она запускается в Ring0, ей доступна вся память, к-ю видит CPU, а так же регистры устройств, подключенных по PCI, к примеру. И вот зачемм мне твой чекер боровов тут нужен, за какой памятью он тут следить будет, если она ВСЯ моя? А если мне надо что-то типа такого сделать из этой моей программы? int *p = (int*)0x56248d1b7139; *p = 0xffffff; Твой раст тут обгадится, очевидно.
	Ответить | Правка | Наверх | Cообщить модератору

	157. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от burjui (ok), 12-Янв-23, 18:03
	let p = 0x56248d1b7139 as *mut i32; unsafe {     *p = 0xffffff; } Иди трусы стирай, ыксперт.
	Ответить | Правка | Наверх | Cообщить модератору

	158. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (124), 12-Янв-23, 18:59
	дак тут же никакие проверка не работают, ыксперт
	Ответить | Правка | Наверх | Cообщить модератору

	159. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (124), 12-Янв-23, 19:04
	дак тут же никакие проверка не работают, ыксперт. И нахер тогда нужен ваш сраст? Создавался для тормозного браузера, там бы и оставался.
	Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

	160. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (124), 12-Янв-23, 19:09
	Я имел ввиду без unsafe, чтоб почувствовать крутизну раста над сишкой. А ты мне показал какую-то шляпу. Иди сам стирай трусы
	Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

	161. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от burjui (ok), 12-Янв-23, 20:45
	> Я имел ввиду без unsafe Ой, ну началось, имел он ввиду... детский сад. Компилятору лучше расскажи, что ты имел ввиду, когда словишь очередной сегфолт. Правда, ты же у нас любитель полного контроля, когда вся память - твоя, поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю. > А ты мне показал какую-то шляпу Давай, чтобы было максимально честно по твоей логике: с тебя миллион строк кода на C, в которых нет ни единого некорректного обращения к памяти, а с меня - запись по произвольному адресу на Rust без unsafe.
	Ответить | Правка | Наверх | Cообщить модератору

	163. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (124), 12-Янв-23, 21:11
	Слушай, перестань уже всех людей судить по себе. Если ты постоянно лажаешь с памятью, это не значит что все тоже ПОСТОЯННО с ней лажают. То, что ты показал - это шляпа, еще раз повторю. Ты следи за контексом обсуждения. С unsafe я знаю что можно записать данные по произвольному адресу, нахер ты мне это показываешь, Сишка тоже умеет так. Я просил сделать это без unsafe, потому что перед эти я упомянул Ring0. А если это сделать без unsafe нельзя, то нахер мне нужен еще один как-бы С, но с наркоманским синтаксисом? Ты на вопрос то так и не ответил: нахер мне чекер боровов в ring0? > поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю. в раст иначе? > Давай, чтобы было максимально честно по твоей логике: с тебя миллион строк кода на C, в которых нет ни единого некорректного обращения к памяти, а с меня - запись по произвольному адресу на Rust без unsafe. Ну раз ты предложил, то и первый показывай миллион строк на расте без unsafe, где пишутся данные в регистры какого-нить чипа, а тебе миллион того что ты просил. Вот так будет честно.
	Ответить | Правка | Наверх | Cообщить модератору

	164. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Анончик (?), 13-Янв-23, 04:43
	>А если это сделать без unsafe нельзя, то нахер мне нужен еще один как-бы С, но с наркоманским синтаксисом? Потому что поддерживать код дорого, когда язык тебя ограничивает меньше вероятность что ты накосячишь.
	Ответить | Правка | Наверх | Cообщить модератору

	166. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (124), 14-Янв-23, 02:24
	> поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю. Ыксперт, прежде, чем такой бред писать, ты хотя бы почитай (а лучше в универе поучись, а не в ПТУ) как работатет MMU, что такое TLB, ASID и т.п. Сразу видно - глупый растоман ничего не знающий, но мнение имеющий.
	Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

	162. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (124), 12-Янв-23, 20:47
	> Правда, ты же у нас любитель полного контроля, когда вся память - твоя, поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю а как это в расте сделано?
	Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема