The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в пакетном менеджере Cargo, применяемом для проектов на языке Rust

15.09.2022 09:53

В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлены две уязвимости, которые могут быть эксплуатированы при загрузке специально оформленных пакетов из сторонних репозиториев (утверждается, что пользователей официального репозитория crates.io проблема не затронула). Первая уязвимость (CVE-2022-36113) позволяет перезаписать первые два байта в любом файле, насколько это позволяют текущие права доступа. Вторая уязвимость (CVE-2022-36114) может быть использована для исчерпания свободного места на диске.

Уязвимости будут устранены в выпуске Rust 1.64, намеченном на 22 сентября. Уязвимостям присвоен низкий уровень опасности, так как похожий вред при использовании непроверенных пакетов из сторонних репозиториев может быть причинён при помощи штатной возможности запуска своих обработчиков из поставляемых в пакете сборочных скриптов или процедурных макросов. При этом вышеотмеченные проблемы отличаются тем, что их эксплуатация осуществляется на стадии раскрытия пакета после загрузки (без сборки).

В частности, после загрузки пакета cargo распаковывает его содержимое в каталог ~/.cargo и сохраняет признак успешной распаковки в файл .cargo-ok. Суть первой уязвимости в том, что создатель пакета может разместить внутри символическую ссылку с именем .cargo-ok, что приведёт к записи текста "ok" в файл, на который указывает ссылка.

Вторая уязвимость вызвана отсутствием ограничения на размер извлекаемых из архива данных, что может использоваться для создания "zip-бомб" (в архиве могут быть размещены данные, позволяющие добиться максимальной для формата zip степени сжатия - около 28 млн раз, в этом случае, например, специально подготовленный zip-файл размером 10 МБ приведёт к распаковке около 281 ТБ данных).

  1. Главная ссылка к новости (https://blog.rust-lang.org/202...)
  2. OpenNews: Уязвимость в стандартной библиотеке языка Rust
  3. OpenNews: GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Rust
  4. OpenNews: Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов
  5. OpenNews: Уязвимости в Please, альтернативе sudo, написанной на языке Rust
  6. OpenNews: Выпуск языка программирования Rust 1.63
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57787-rust
Ключевые слова: rust, cargo
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (124) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (-), 10:08, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    > Вторая уязвимость (CVE-2022-36114) может быть использована для исчерпания свободного места на диске.

    Так это и обычный раст при сборке даже хеллоуворлда умеет делать и кэш писать, в чем тогда уязвимость? От растаманов слышал, что диски сейчас дешевые.

     
     
  • 2.26, Lost Inside (ok), 11:38, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Тоже мне... Виндовс 10/11 состоит целиком из одной гигантской уязвимости, исчерпывающей свободное место на диске.
     
     
  • 3.81, ываыпвфапва (?), 14:16, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Так Windows больше и не позиционируется, как система для людей. В идеале юзер должен запустить комп и отвалить. А она там сама будет диском шуршать и делать свои дела.
     
     
  • 4.107, Аноним (107), 16:01, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так работает любая техника. Если не использовать - работает идеально. А человек только энтропию вносит.
     
  • 4.113, Kuromi (ok), 16:11, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Видели иконку "Мой Компьютер" на рабочем столе виндовс? Так надо читать буквально, МОЙ т.е. принадлижащий Виндовс, а вовсе не ваш.
     
     
  • 5.127, Аноним (127), 17:15, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там уже давно не мой а Этот компьютер
     
     
  • 6.128, Kuromi (ok), 17:17, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Там уже давно не мой а Этот компьютер

    Ая уже давно в Ляликсе, так что упустил.

     
     
  • 7.131, dannyD (?), 17:59, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    как обычно "Эксперт" - не знает, а пишет.
     
     
  • 8.168, Kuromi (ok), 20:45, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Но сорян, ставить себе офтопик просто чтобы посмотреть какие там модные иконки и... текст свёрнут, показать
     
     
  • 9.188, dannyD (?), 06:55, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    по етому поводу уже все оттоптались, СЕМЬ лет назад https pikabu ru story ... текст свёрнут, показать
     
  • 2.37, Аноним (37), 12:17, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В чем проблема? Я налью тебе скажем типовой 100 метровый зип, который не будет вызвать у тебя вопросов, но потом ты охренеешь во сколько гигов это декомпрессуется. И от времени этого процесса тоже. Где-то в середине этого у тебя немного кончится место на диске, система и софт начнет сыпаться как карточный домик "потому что запись всех файлов обламывается" и в целом это будет нормальная DoS атака. Весьма эффективная. Ведь ты вместо работания работы теперь занят ковырянием в системе, пытаясь вообще одуплить откуда такая свинья вообще приехала и как это аннулировать. Это, очевидно, сильно якорит твои планы.
     
     
  • 3.41, Аноним (41), 12:41, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >  Где-то в середине этого у тебя немного кончится место на диске, система и софт начнет сыпаться как карточный домик "потому что запись всех файлов обламывается"

    Только у ламера, не знающего про резерв у ext.

     
     
  • 4.59, Аноним (59), 13:05, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Чувак, ты этот самый ламер и есть. К тому же, весь запущенный софт типа браузеров при этом максимально вайпнется. Если дело будет происходить на разделе, где он хранит данные сессии. Опенсорс вообще хреново реагирует на кончившееся место.
     
     
  • 5.69, Аноним (69), 13:29, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вайпнется только у хипстеров, которые сборку делают в своей же локальной системе, где у них и браузеры и всё остальное. В таком случае проблема со свободным местом одна из последних после возможностей угнать ключики и сделать прочие интересные вещи (причём незаметно).
     
     
  • 6.77, Аноним (59), 13:59, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хипстеры вроде как раз в облаке одной кнопочкой собирают всё. Но я имел в виду архив, ты все скачиваемые файлы извлекаешь в облаке?
     
  • 5.112, Аноним (41), 16:10, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Несколько раз забивал раздел в 0 торрентом, забыв о размере. Ничего не падало, не ломалось. При этом, у меня единственный раздел, без отдельного home. Ext4 делает своё дело.
     
     
  • 6.118, Аноним (59), 16:16, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты везунчик. Резерв ext4 существует только для рута, любые пользовательские программы ударятся об 0 и дальше как повезёт. С точки зрения файловой системы это проблема только из-за запредельной фрагментации последних байт (та же нтфс со сжатием/шифрованием от закончившегося места может и помереть), а вот софт с таким работать не умеет.
     
     
  • 7.169, Kuromi (ok), 20:47, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты везунчик. Резерв ext4 существует только для рута, любые пользовательские программы ударятся
    > об 0 и дальше как повезёт. С точки зрения файловой системы
    > это проблема только из-за запредельной фрагментации последних байт (та же нтфс
    > со сжатием/шифрованием от закончившегося места может и помереть), а вот софт
    > с таким работать не умеет.

    Ну он для того и предназначен для рута, чтобы рут мог перезагрузиться в однопользовательский режим и расчистить диск от завалов. Не будь этого ограничения считайте и лимита не спасал бы.

     
     
  • 8.182, Аноним (59), 21:25, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это никак не поможет ничему Те же торренты навернутся Примерно все программы н... текст свёрнут, показать
     
  • 4.60, Аноним (60), 13:07, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>  Где-то в середине этого у тебя немного кончится место на диске, система и софт начнет сыпаться как карточный домик "потому что запись всех файлов обламывается"
    > Только у ламера, не знающего про резерв у ext.

    А продвинутые раста-пользователи, вангую, вообще btrfs используют, вместо того чтобы использовать стабильные системы и фс стабильно обмазываются снапшотами размером с корень, а ещё резерв не используют, это для слабаков!


     
     
  • 5.184, Аноним (184), 21:50, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А продвинутые опеннет-эксперты, вангую, вообще ntfs используют
     
  • 2.47, морзилла (?), 12:43, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Дешевые? Вы там в параллельном мире да?
     
     
  • 3.99, Минона (ok), 15:41, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    SSD 2Tb: 10000 р.
    HDD 4Tb: 10000 р.
    Дорого?
     
     
  • 4.106, Аноним (-), 16:00, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ось це где такой коммунизьмЪ, чтоб по 10к приличные нвме на 2тб раздавали?
     
     
  • 5.192, Минона (ok), 08:12, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ось це где такой коммунизьмЪ, чтоб по 10к приличные нвме на 2тб
    > раздавали?

    приличные сата есть
    за нвме придется доплатить

     
     
  • 6.200, Аноним (200), 12:38, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Во имя великой справедливости

    https://www.citilink.ru/catalog/ssd-nakopiteli/?pf=discount.any%2Crating.

     
  • 4.115, Kuromi (ok), 16:12, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Лол, только вчера на DTF читал посты вроде 4ТБ винт всего 6 штук, дешево!
     
  • 4.189, Аноним (189), 07:02, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не стыдный зеленый hdd стоит 12к. А синий топ за свои деньги - 6к.

    Речь о 4тб. Цены у отечественного перекупщика/retailer.

    А про ssd даже как-то неловко упоминать.

     
  • 4.202, анон (?), 14:36, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >HDD 4Tb: 10000 р.

    Брал недавно гелевый дешман на 18 гигов за 26к.
    Т.ч. иди отрабатывай методичку в другом месте, манагер акита.

     
  • 2.75, НяшМяш (ok), 13:55, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > раст при сборке даже хеллоуворлда умеет делать и кэш писать, в чем тогда уязвимость

    не знал, что сяшка сразу в астрал собирает, минуя жёсткий диск и оперативку

     

  • 1.4, Жироватт (ok), 10:08, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Ну слава б-гу, что не use-after-free. А то у нас бы было массовое отрицание ржавеньких и реактивные сверхманёвры.
     
     
  • 2.7, Аноним (7), 10:14, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    И всё равно весь целиковый раст оказался небезопасным. Это как Титаник самый безопасный, но одна протечка и весь корабль утонул.  
     
     
  • 3.38, Аноним (37), 12:20, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так капитану сказали - непотопляемый. Он и вел себя так что ему море по колено, и черт с ним с айсбергом.
     
     
  • 4.64, Аноним (7), 13:16, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Капитан, наш Redox напоролся на утечку, пора уходить с этого проекта! Нет сделайте оркестр погромче!
     
  • 3.63, Аноним (63), 13:16, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Просто не надо обобщать "безопасность" раста на всё и сразу. Язык гарантирует безопасную работу с памятью в рамках своей модели с borrow-checker-ом, и всё. Это не "серебряная пуля"!
    Если целые классы уязвимостей, от которых никакой язык не защитит, только голова 🙂. И да, в статье именно такие уязвимости. Раст позволить "безопасно" (т.е. без "проездов" по памяти) записать те 2 байта по символьной ссылке.
     
     
  • 4.71, Аноним (7), 13:37, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если бы раст хоть что-то позволял, то тогда Фаерфокс давно бы уже работал на движке Servo. Но этого никогда не произойдет и проблема уже не в программистах, а в самом расте.    
     
     
  • 5.78, Аноним (78), 14:03, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Проснись, ты об^w все проспал - серво давно в огнелисе
     
     
  • 6.84, Аноним (84), 14:22, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > сегодня Mozilla Firefox использует движок Quantum, в котором сочетаются наработки движков Gecko и Servo.

    ?

     
  • 6.122, Аноним (122), 16:40, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет его там. Только движок для CSS Stylo и Webrender, которые через мутный бингдинг взаимодействуют с C++ движком Gecko. И всё это называется Quantum.
     
     
  • 7.129, Kuromi (ok), 17:21, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нет его там. Только движок для CSS Stylo и Webrender, которые через
    > мутный бингдинг взаимодействуют с C++ движком Gecko. И всё это называется
    > Quantum.

    Именно так. Планы по полному переходу на Серво были (и да, он по тестам был реаьно адски быстр), но потом у Мозиллы началось "надо больеш денег, милорд" и пришлось выбирать повышать зряплату CEO или тянуть разработку Раста вместе с Servo. Вывод был сделан совершенно логичный, что было готово в Серво интегрировали в ФФ (и то, даже эти полкмеры реально ускорили раузер, что говорит о многом), а Раст слили.
    Печальная история.

     
  • 5.91, Аноним (91), 14:58, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это проблема не Раста, а очень-очень эффективных менеджеров, которые разогнали основную цисгендерно-токсичную  команду разработчиков и наняли одаренностей по квотам, чтобы пилить бесполезные сервисы для заработка. Браузером уже давно никто не занимается.
     
     
  • 6.121, Аноним (122), 16:38, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Менеджмент всё правильно сделал что разогнал. Но неправильно сделал что вообще втянулся в эту авантюру с новым языком ради нового языка.  
     
     
  • 7.172, Аноним (91), 21:00, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно правильно. Зачем нам настоящие разработчики браузера? Их урежем, а получившийся дополнительный доход к зарплате менеджера добавим, ибо он молодец, оптимизацию провел. А хомяки и так сожрут.
     
  • 2.80, Аноним (80), 14:15, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    CVE-2021-31162 "In the standard library in Rust before 1.52.0, a double free can occur in the Vec::from_iter function if freeing the element panics" (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31162).

    Да, исправили, но сам факт наличия double free в стандартной библиотеке языка, якобы гарантирующего безопасную работу с памятью, весьма забавен.

     
     
  • 3.204, Аноним (204), 16:27, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > сам факт наличия double free в стандартной библиотеке языка, якобы гарантирующего безопасную работу с памятью, весьма забавен.

    Они именно там и будут возникать, потому что именно там менеджмент памятью и реализован в unsafe-блоках.

     
  • 2.190, Аноним (189), 07:05, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Когда ты научишься читать и дойдешь до прочтения первой для растонуба книги - раст бук. То узнаешь, что даже там есть признание возможности утечки памяти.
     

  • 1.13, анонимус (??), 10:56, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Довольно забавно наблюдать за выбросами в комментах. Надо признать что в софте всегда будут баги, пока его пишет человек. Разного уровня критичности и масштаба. Полезно уметь автоматизировать поиск части этих багов и конечно полезно иметь общую базу всех ошибок чтобы можно было при нахождении править баг и защищаться от него в будущем, часть багов отсечь по построению. Вероятно местные тролли это не способны осознать
     
     
  • 2.20, Аноним (20), 11:19, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А ты этот свой коммент оставляешь только в новостях про уязвимости раста-и-экосистемы? Или в сишных тоже?
     
     
  • 3.24, анонимус (??), 11:30, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уязвимость - есть уязвимость. Язык это всего лишь деталь реализации. Всем багам - бой.
     
  • 2.21, Аноним (21), 11:19, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не в ущерб скорости и размеру сборки и возможности вносить изменения в компилятор (в копи расте только с разрешением). Да и слишком много там сложных концепций в которых никто не разбирается.
     
     
  • 3.23, анонимус (??), 11:27, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я бы сказал что тут надо исходить из критичности и масштаба проблемы. Важные проблемы(техдолг сложности сюда же) должны решаться любой ценой
     
     
  • 4.29, Аноним (7), 11:42, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну всё ясно ты никогда не работал хоть над каким-то проектом. Закончишь школу сразу приходи в комменты.  
     
     
  • 5.36, анонимус (??), 11:57, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну всё ясно, тебе нечего возразить и ты сразу переходишь на личности) Понятно, что техдолг дорого исправлять с учетом гонки за новыми(и не всегда полезными) фичами. Но чем дольше его копить(особенно десятилетиями) тем больнее он стреляет.
     
     
  • 6.43, Аноним (7), 12:42, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты уже три миллиона раз работу сменишь. Если ты работаешь на проекте 10 лет это с тобой что-то не так.
     
     
  • 7.52, мелкософта (?), 12:51, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что не так?
     
  • 7.55, анонимус (??), 12:55, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так долго я в одном месте не работал, это была отсылка к какому-нибудь гцц, например. Ну и есть куча промышленного легаси, который тоже кто-то поддерживает. На каком-нибудь коболе для красочности.
     
  • 2.25, Moomintroll (ok), 11:32, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Надо признать что в софте всегда будут баги, пока его пишет человек.

    В первую очередь это нужно признать военам раста.

    Агрессивный маркетинг раста незамутнённым мозгом воспринимается так, будто это серебряная пуля, панацея, и написание софта на расте автоматически ограждает разработчика якобы от любых ошибок. Но дело в том, что не от любых. Ни один язык, компилятор, линтер, рантайм и т.д. не сможет определить логическую ошибку. Однако растофаны этот факт почему-то игнорируют. И именно поэтому адекватные люди злорадствуют, когда находят баги в софте написанном на расте, и тыкают в них носом недалёких адептов раста.

    P.S. Я тоже злорадствую.

     
     
  • 3.31, Аноним (7), 11:42, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И что, ты им просто рушишь всю картину мира. Зачем тогда нужен раст если он не спасает от всего?
     
  • 3.39, Анонн (?), 12:36, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    К сожалению это не понимают только отбитые растохейтеры.
    Растофанатики как раз прекрасно знают от каких классов ошибок защищает borrow checker. И логических ошибок в этом списке нет.

    > адекватные люди злорадствуют

    А теперь немного взаимоисключающих параграфов.

     
     
  • 4.54, мелкософта (?), 12:53, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь немного взаимоисключающих параграфов.

    Аа что, адекватным запрещенно злорадствовать? Вы полиция злости?

     
  • 3.48, анонимус (??), 12:43, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Никто никогда такого не может заявлять в трезвом уме На мой взгляд именно воены... большой текст свёрнут, показать
     
     
  • 4.90, qrKot (?), 14:56, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Воены раста, как раз, это и заявляют Вероятно, во избежание противоречий, сто... большой текст свёрнут, показать
     
  • 4.132, Аноним (20), 18:13, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > "растофанатики" пишут кучу нового кода

    Переписывать пинг, шоб он выводил прикольные графики != писать новый код.

     
     
  • 5.194, Прохожий (??), 11:07, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Переписывание уже подразумевает наличие нового кода (потому что он отличается от старого). А если ещё и с графиками, то уже можно говорить не только о новом коде, а ещё и новой функциональности.
     
  • 3.53, Аноним (184), 12:52, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Новости о rust незамутненным знаниями и разумносью мозгом опеннетовских экспертов воспринимаются так будто это агрессивный маркетинг, будто опеннетовцев режут и отбирают их любимый ANSI C.
    При том что сами эксперты не знают ни rust, ни си, а писать умеют только глупые комментарии
     
  • 2.79, ip1982 (ok), 14:07, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Надо признать что в софте всегда будут баги, пока его пишет человек.

    Какой невежство! Человек, не человек... Теоремы Гёделя о неполноте: БАГИ БУДУТ ВСЕГДА. Всё.

     
     
  • 3.85, анонимус (??), 14:29, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Соглашусь, ваше утверждение более сильное. Но если мы можем доказать корректность кодогенератора - то какие там возможны баги? Понятно что еще есть конпеляторы, ос, кеши, процессоры и прочее окружение, но это и должно тестироваться интеграционно. Предлагаете не бороться с багами вовсе?
     
  • 2.126, Kuromi (ok), 17:07, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы намного больше стал бы беспокоиться о том моменте когда софт начнет писать "не человек", а какой нибудь AI. Вот тут уже будут совсем иные проблемы.
     

  • 1.15, Аноним (15), 10:59, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    к солажелению да, пакетные менеджеры они таки, - они сами по себе одна большая уязвимость:(
     
     
  • 2.35, Аноним (21), 11:57, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    То ли дело скачивать исполняемые файлы непонятно откуда и добавлять в проект даже не в виде гит субмодуля исходники какой-то библиотеки...
     
  • 2.65, Ананимус (?), 13:18, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тут уязвимость из разряда засунуть rm -rf в configure.ac
     
     
  • 3.89, Аноним (84), 14:45, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну тут уязвимость из разряда засунуть rm -rf в configure.ac

    Все же чуть чуть не так. Это как попытка посмотреть содержимое configure.ac вызывает rm -rf.

    Значительно более критичная.

     
     
  • 4.95, Ананимус (?), 15:22, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Все же чуть чуть не так. Это как попытка посмотреть содержимое configure.ac вызывает rm -rf.

    Почему? Никто не мешает тебе слить ихсодники и почитать. Когды их стягивает cargo, он их стягивает, чтобы собрать.

     
     
  • 5.114, Аноним (84), 16:12, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему? Никто не мешает тебе слить ихсодники и почитать. Когды их стягивает cargo, он их стягивает, чтобы собрать.

    Вот! Ты пытаешься собрать проект которому доверяешь. По зависимостям тянется нечто....

     
     
  • 6.117, Ананимус (?), 16:15, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот! Ты пытаешься собрать проект которому доверяешь. По зависимостям тянется нечто....

    Котором доверяет автор проекта, которому ты доверяешь. Короче там же самая петрушка, что в дистрибутивах.

     
     
  • 7.140, Аноним (84), 19:17, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Котором доверяет автор проекта, которому ты доверяешь. Короче там же самая петрушка, что в дистрибутивах.

    Совсем никаким боком не та.

    В дистрибутивах ничего автоматически не скачивается.

     
     
  • 8.201, Ананимус (?), 13:49, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да та же Там бампают версии и проверяют что код вообще работает в лучшем случа... текст свёрнут, показать
     

  • 1.17, Аноним (17), 11:11, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Название пакетного менеджыра как бы намекает...
     
     
  • 2.49, Аноним (184), 12:43, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    На что?
     
     
  • 3.141, Alexey (??), 19:23, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Культ карго до добра не доведёт. Даже растоманов.
     
  • 2.198, Прохожий (??), 11:45, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Умение намекающего писать грамотно как бы намекает, что прислушиваться к намёкам подобного намекающего глупо.
     

  • 1.22, Аноним (21), 11:25, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Суть первой уязвимости в том, что создатель пакета может разместить внутри символическую ссылку с именем .cargo-ok, что приведёт к записи текста "ok" в файл, на который указывает ссылка.

    Раст это когда создать файл проще, чем переменную.

     
     
  • 2.27, a_kusb (ok), 11:38, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А почему вообще создать файл должно быть сложнее?
     
     
  • 3.33, Аноним (21), 11:51, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Создание файла это побочный эффект ненужный в чистых функциях.
     
     
  • 4.67, a_kusb (ok), 13:24, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Создание файла это побочный эффект ненужный в чистых функциях.

    Ввод и вывод вообще иногда лишнее.

     
  • 4.133, Аноним (133), 18:15, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Lisp?
     

  • 1.46, Аноним (184), 12:42, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    У местных экспертов праздник, в пакетном менеджере можно сделать zip бомбу.
    Несомненно это событие станет главным доказательством "небезопасности" rust, на ближайшие лет десять
     
     
  • 2.68, Аноним (84), 13:28, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проблема в другом.

    В ненужности самого cargo.

    Система сборки и пакетные менеджеры должны быть независимыми от языка и его компилятора и друг от друга.

    Существует 100500 всего этого, но растоманы стали лепить свои велосипеды. И естественно совершают детские ошибки.

    Это говорит об уровне разработки.

     
     
  • 3.82, Аноним (78), 14:17, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Существует 100500 всего этого,

    и это проблема. касательно с++ например. большая фрагментация делает переиспользование абсолютно неюзаемым. и в итоге все стремятся делать one-header либу(привет минификаторам жс) добавляют к себе в проект и никогда ее не обновляют. в итоге куча софта без фиксов, в том числе secutiry. ну либо еще хуже - когда не юзают либы и пилят свои велосипеды.
    да, не всегда добавление еще одного стандарта/формата/инструмента осмысленно, но время от времени это нужно и неизбежно.

     
     
  • 4.86, Аноним (84), 14:30, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и это проблема. касательно с++ например. большая фрагментация делает переиспользование абсолютно неюзаемым. и в итоге все стремятся делать one-header либу

    Причина этого совсем не в системах сборки и пакетах. А в нестандартизованности хранения в библиотеках части касающейся частичной спецификации шаблонов.

    А 100500 систем сборки приводят к тому, что нормальным считается разработка использующая то, что в системе установлено, какой бы системой оно не собиралось. И это эдинственно правильный путь.

    Альтернатива подходит только для поектов однодневок. Когда или сам проект живет ограниченное количество веремени или каждая конкретная версия успевает устареть так быстро, что нет смысла тратить время на поддержку всего набора библиотек и версий.

     
     
  • 5.163, Аноним (163), 20:21, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Существует 100500 всего этого, но растоманы стали лепить свои велосипеды. И естественно совершают детские ошибки.
    >А 100500 систем сборки приводят к тому, что нормальным считается разработка использующая то, что в системе установлено, какой бы системой оно не собиралось. И это эдинственно правильный путь.

    Вы осознаете что сами предлагаете писать исключительно велосипеды. Видите противоречие?

     
  • 3.139, Аноним (184), 19:01, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А maven нужен? А Gradle? Тоже ведь системы сборки и пакетный менеджер

    Нет так как про них нет новостей, то опеннетовцы эксперты не впадают в маразмы по их поводу.

     

  • 1.73, Аноним (73), 13:44, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая радость для хейтеров
     
  • 1.76, Аноним (76), 13:56, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот такие они, удобненькие язычки с удобненькими пакетными менеджерами.
     
  • 1.98, Аноним (-), 15:37, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    На какой язык тогда переписать, чтобы было безопасно?
     
     
  • 2.100, Аноним (204), 15:47, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Выучить математику, выучить логику, выучить Си, проанализировать проблемы ядра, сделать полный рефакторинг на Си.
    Не благодарите.
     
     
  • 3.101, Аноним (101), 15:51, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ... состариться и помереть между "проанализировать проблемы ядра" и "сделать полный рефакторинг на Си"
     
     
  • 4.105, Аноним (204), 15:58, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Главное чтоб на математике выжили!
    В остальном будь их хотя бы тушек этак 100к...
     
  • 4.134, Трушный (?), 18:26, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Состаришья и умрешь ты еще когда будешь разбирарать Си-шный код аля указатель на функцию, которая,принимает в качестве аргумента функцию и возвращает указатель на функцию.Нужно будет вызывать тех, кто рашифрововал розеттский камень.
     
  • 3.111, истина в последней инстанции (?), 16:06, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот + 100500 за адекватность.
     
  • 2.116, Аноним (84), 16:13, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Карбон.
     
     
  • 3.119, истина в последней инстанции (?), 16:21, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Очередной ждун что за тебя что-то сделают?

    Нафик нужен твой карбон если у плюсов современных и так нет этих проблем которые они там решить пытаются?

    Ну трать время на очередное ненужно и жди когда взлетит. А потом шмугл это просто выбросит.

    Имхо проще и быстрее и качественней освоить плюсы в таком случае. Тем более что сложного там ничего нет.

     
     
  • 4.138, Трушный (?), 18:55, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С++ для мазахистов же, которые любят писать классы и читать десятитомники про все неопределенные поведения языка.
     
  • 4.195, Прохожий (??), 11:24, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Тем более что сложного там ничего нет.

    Угу. Только спецификацию Плюсов не в состоянии освоить ни один человек в мире. А компиляторы поддерживают далеко не всегда полный набор фич, диктуемых стандартом.

     
  • 3.120, истина в последней инстанции (?), 16:24, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе кстати чуть выше намекнули про состариться. Ошиблись с причиной но да. Пока взлетит очередное ненужно вы ждуны уже состаритесь.

    Бросайте дурное и учите нормальные языки и математику. C и C++ решат все проблемы если элементарно знать последние стандарты. И не смешивать важно.

     
     
  • 4.143, Анонн (?), 19:28, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Прикольно. Оказывается ядро-пейсатели не знаю ни нормального языка, ни математики. Печалька какая.
    Может ты пойдешь и научишь их?
     
     
  • 5.145, истина в последней инстанции (?), 19:32, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прикинь. Оказывается ядро-писатели знают. Они на C пишут. Прикинь какой облом?
     
     
  • 6.148, Трушный (?), 19:42, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот главный ядрописатель гоаорит, что C++ - это шляпа дырявая, с ты его тут рекламируешь. Согласен с ядрописателем или нет?
     
  • 6.164, Аноним (101), 20:22, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, мы каждые неделю-две на опеньке видим результаты их знаний))) Пиши еще!
     

  • 1.130, псевдонимус (?), 17:25, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    даже не смешно уже.
     
     
  • 2.136, Трушный (?), 18:44, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Думаю Redox не взлетела потому, что не было такой необходимости. Она была написана ради тестирования языка на предмет возможности и удобоваримости написания ОС на Rust. От части для демонстрации. После того, как задача была выполнена, про этот проект забыли. ТВ  Redox,  кстати,  была глючная GUI OrbTk, наспех написанная для этого проекта, которую потом так и не исправили. Потому что не надо. И вообще долгое время не было нормалных гуи-библитотек для языка. Сейчас такие имеются.
     
     
  • 3.144, истина в последней инстанции (?), 19:31, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > которую потом так и не исправили. Потому что не надо

    Я тебе больше скажу. rust вообще не надо. Он пытается (при этом весьма посредственно судя по результату) исправить несуществующие проблемы.

    Хватит ныть. НЕТУ в современном стандарте C++ тех проблем которые вы придумали. Откройте стандарт, ужаснитесь бездарно потраченному времени. Смеритесь с тем что вас просто надурили. А потом соберите силу в кулак и отправляетесь учить математику и нормальные языки.

    Ну или просто тихо уходите. Смените профессию и живите дальше.

     
     
  • 4.151, Аноним (101), 19:48, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да неужели?
    А кто это наделал? Вот кто это наделал??
    https://www.cvedetails.com/cve/CVE-2022-0809/
    https://www.cvedetails.com/cve/CVE-2022-0808/
    https://www.cvedetails.com/cve/CVE-2022-0800/
    И это еще нет данных по уязвимостям за август, эти хитрожопы их скрывают.

    И шо, помог тебе твой с++, сынку?

     
     
  • 5.183, истина в последней инстанции (?), 21:48, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. неужели

    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust - вот они

    И это ещё до того как хоть что-то работающее на расте сделали. Такими темпами к первому релизу хоть чего-то стоящего ресурс с CVE просто взорвётся как эти zip-бомбы

     
  • 4.196, Прохожий (??), 11:34, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Он пытается (при этом весьма посредственно судя по результату) исправить несуществующие проблемы.

    Microsoft, Google, Amazon считают, что проблема существует, и она очень серьёзная, поскольку класс ошибок, порожденный ею, самый большой и часто приводит к существенным убыткам пользователей. А опеннетный эксперт считает, что проблемы не существует. Кому же верить?

     
  • 4.197, Прохожий (??), 11:37, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Откройте стандарт, ужаснитесь бездарно потраченному времени.

    Откройте стандарт C++, ужаснитесь бездарно потраченному времени на его изучение.

    Поправил, можешь поблагодарить.

     
  • 3.158, Аноним (-), 20:04, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы только посмотрите, какой копиум.
     
  • 2.155, истина в последней инстанции (?), 20:02, 15/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > даже не смешно уже.

    А по моему ну оооочень смешно.

     
     
  • 3.206, псевдонимус (?), 17:03, 18/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    иронично.
     

  • 1.135, Трушный (?), 18:37, 15/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Кто бы что не говорил, но Rust совершил революцию и уже успел повлиять на другие языки как в плане каких-то концептуальных идей, так и в даже в плане ситексиса. Почти все новые языки создаются под влиянием Rust - тот же V, Carbon, Hare  и тд. Этого не отнять.
     
     
  • 2.186, Аноним (-), 00:43, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну паста же!:)
     
     
  • 3.193, Трушный (?), 09:51, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Приятного аппетита, итальянец
     
     
  • 4.199, Аноним (199), 12:32, 16/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Только хардкор. Только Ъ.
    Все эти ваши расты - это как смуззи, роллы и прочие киноа.
    Си - это водка, черный хлеб, селедка. Весело в веселье, тяжело в похмелье (с).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру