The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock

31.03.2024 20:03

В репозитории проекта xz продолжают всплывать изменения, внесённые автором бэкдора для блокирования механизмов защиты. В сборочном сценарии CMakeLists.txt выявлено изменение, не позволявшее использовать в xz механизм изоляции приложений Landlock, при его поддержке в системе. В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки на наличие Landlock при любых условиях.

Изменение было добавлено Jia Tan 26 февраля под видом реализации расширенной проверки наличия поддержки Landlock. Раньше вывод о поддержке Landlock делался только на основе наличия заголовочного файла "linux/landlock.h", а в изменении был добавлен написанный на языке Си тест, дополнительно вызывающий prctl для проверки. Из-за наличия оставленной вначале строки точки данный код был неработоспособен и тест всегда завершался неудачей.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Разбор логики активации и работы бэкдора в пакете xz
  3. OpenNews: Ретроспектива продвижения бэкдора в пакет xz
  4. OpenNews: В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd
Лицензия: CC BY 3.0
Наводку на новость прислал mikhailnov
Короткая ссылка: https://opennet.ru/60888-xz
Ключевые слова: xz, backdoor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (110) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:10, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Лучше и другие пакеты тоже проверить на таких типов
     
     
  • 2.14, Аноним (14), 20:59, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Лучше и другие пакеты тоже проверить на таких типов

    Каких именно? Эти полорогие-парнокопытные не подписываются ...

    Ну и да, судя по бурным обсуждениям на опеннете - походу многие опеннетчики "патчи от Минесотовцев" уже или подзабыли или не сделали совершенно никаких выводов, все еще свято веруя в Великую Силу "Тысячеглаза".


     
     
  • 3.53, uis (??), 23:54, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +16 +/
    А ведь тысячиглаз работают и мы обсуждаем найденную ими закладку
     
     
  • 4.57, Аноним (14), 00:18, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А ведь тысячиглаз работают и мы обсуждаем найденную ими закладку

    Угу, но только в какой-то альтернативной реальности.
    А тут мы "обсуждаем" (ну, как на опеннете принято, т.е. больше с уклоном в "как нужно было правильно!" и "да я б, да если б встал с дивана, то ух ...!") найденное уже "задним числом" (т.е. когда уже знали, что нужно искать).

    И "оригинал" нашел совсем не Тыщиглазовец при проверке коммита или перепаковке-добавлению-обновлению в формат пакета <вставить любой дистр Тысячеглазов>, а "жалкий раб(отник) Маздайцев" - и полез искать он "по симтомам" (тупило при логине и сыпало ошибками в валгринд).

     
     
  • 5.59, Beta Version (ok), 00:30, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    По каким критериям он не проходит в ряды Тысячеглазовцев?
     
     
  • 6.60, Аноним (14), 01:02, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >> при проверке коммита или перепаковке-добавлению-обновлению в формат пакета <вставить любой дистр Тысячеглазов>, а "жалкий раб(отник) Маздайцев" - и полез искать он "по симтомам" (тупило при логине и сыпало ошибками в валгринд).
    > По каким критериям он не проходит в ряды Тысячеглазовцев?

    Где-где были Тыщиглазовцы, когда коммитился сначала сам бэкдор, а потом и "фиксы" ошибок в нём (повторюсь еще раз - "кандидат в Тыщиглазовцы" полез искать "что не так" из-за "тупняков" бэкдора)? А, они растаскивали бэкдоры прилежно по дистрам и надеялись на других Тыщиглазовцев?

    Я ж не зря Миннесоту упоминал, но вы повторяйте про халву^W силу Тыщеглаз, игнорируя "неудобные" факты ...

     
     
  • 7.62, Beta Version (ok), 01:34, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну это так работает - находят не все сразу, а кто-то один первый.
     
  • 7.80, Аноним (80), 09:14, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Где-где были Тыщиглазовцы, когда

    Очевидно, искали проблемы в других пакетах. Или вы думаете, что тысячаглаз ищет проблемы только в xz?

    А что там про Миннесоту, кстати?

     
  • 7.102, Аноним (102), 15:29, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если быть честным - тысячепользователи, а глаз которые следили за разработкой наверняка на одной руке можно пересчитать.
     
  • 6.110, Аноним (110), 17:42, 01/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.115, Beta Version (ok), 03:13, 02/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.125, пох. (?), 18:32, 03/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.131, Beta Version (ok), 20:46, 03/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.132, uis (??), 12:38, 04/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так первый нашедший бывает только один
     
  • 4.61, Аноним (61), 01:13, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тот, кто нашел уязвимость, сказал, что это была цепь случайностей, что он наткнулся на бяку. А сколько нас ждет ещё открытий чудных, которые оставили для подслеповатых тысячеглаз эти анонимы-мэнтейнеры, нагенерировавшие себе никнеймов и пролезшие в проекты... Остается надеяться на новые "цепочки счастливых случайностей"
     
     
  • 5.98, Аноним (98), 14:34, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А это фундаментальный недостаток всех централизованных репозиториев типа Cargo - какой-нибудь "полезный" пакет типа выравнивания отступов из двух строчек включен в зависимости тысячи других пакетов и тем самым становится желанной целью атакующего. Получить к нему доступ, как мы убедились на примере xz, это дело техники.
     
  • 5.126, пох. (?), 18:34, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Тот, кто нашел уязвимость, сказал, что это была цепь случайностей,

    Угу, цепь счастливых случайностей. Он не "решил проблему" перезапуском контейнера, рестартом виртуалки, линейным скейлингом.... взял и полез... разбираться!

    Вот это - и правда неимоверно счастливая случайность.
    (а то что этот чувак работает на MS - закономерность)

    > никнеймов и пролезшие в проекты... Остается надеяться на новые "цепочки счастливых
    > случайностей"

    ну, в принципе, в MS еще остались вменяемые кадры. Немного, но держатся.

     
  • 4.89, Аноним (89), 10:23, 01/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.92, bdrbt (ok), 11:58, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не работает. Мы обсуждаем случайно найденную дыру. Напомню - ее нашли не в результате аудита, а из-за кривого инжекта бэкдора, который слишком много жрал и лагал, а если бы был поптимизированее - никто бы и не мяукнул.
     
     
  • 5.107, Аноним (107), 16:36, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    «Тысячи глаз» это не аудит
     

  • 1.2, Аноним (2), 20:13, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    bzip2, gzip не могли похакать? Обязательно привычный xz надо коцать.Тьфу,шлеп-шлеп - я ушел от вас.(
     
     
  • 2.3, lucentcode (ok), 20:25, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вы уверены, что их не похакали? Может их просто ещё не дошли руки у кого надо проверить?
     
     
  • 3.6, crypt (ok), 20:46, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    видел твой коммент, что ты теперь будешь начисто переставляться. а я говорил еще пару лет назад, что нарушение принципа KISS и UNIX way в systemd приведут к проблемам безопасности.
     
     
  • 4.35, Аноним (35), 22:01, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот если по конкретному инциденту. Предлагаешь отказаться от сжимальщиков и архиваторов?
     
  • 4.42, Аноним (-), 22:26, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хм... уточни пожалуйста про какие нарушения KISS и UNIX way ты говоришь?
    Про то, что очень важную либу пилит какие-то полтора васяна, половина из которых вообше анон взявшийся из ниоткуда?
    Или про то, что в это важной либе используются отрыжки из прошлого века в виде м4 скритов?
    Или про то, в итоге это вызывает нечитаемое уродство в виде баш-портянок, которые как оказалось попахивают?
     
     
  • 5.116, минона (?), 07:35, 02/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > отрыжки из прошлого века в виде м4 скритов

    Ну, вообще-то, в данном топике обсуждается изменение в CMakeLists.txt

    Не в M4 дело, а в том, что:

    1. Критичные для функционирования системы службы - сложные, со множеством зависимостей от сторонних компонентов и неявными связями.
    2. Сторонние компоненты по вполне объективным причинам не имеют собственного унифицированного механизма контроля ("базар" же) и при использовании как 3rd party не проходят внешнего аудита.

    Поэтому данная атака - это не пробой какой-то уязвимости, это пробой в целом модели базара

     
  • 4.85, Пряник (?), 10:09, 01/04/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.10, Аноним (35), 20:51, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gzip в руках идейных. Хотя, после травли и ухода Столмана туда могли проникнуть сомнительные личности.
     

  • 1.7, Анонин (-), 20:47, 31/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (6)

  • 1.8, crypt (ok), 20:48, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка

    нравится мне этот парень с тайваня... красиво работает.

     
     
  • 2.11, Аноним (11), 20:54, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Программистские тесты не писал,если так по-детски спалился?
     
  • 2.12, pelmaniac (?), 20:55, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    с северной кореи он, зачем тайваню это?
     
     
  • 3.19, Аноним (19), 21:09, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    1. В Северной Корее интернета нет.
    2. А если он там есть, значит, официальная пропаганда США распространяет недостоверные данные. Такого быть не может, так что см. п. 1.
     
     
  • 4.29, Аноним (29), 21:35, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зато в северной корее есть северные корейцы , которые по заданию партии могут пмжествовать в любой точке мира .
     
  • 4.64, Kuromi (ok), 02:31, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Есть там выход в интернет, просто он кого надо выход и все кто по службе выходят делают это в присутствии верных товарищей с табельным оружием. Ну чтоб там порнобаннер не словить например.
     
     
  • 5.90, EULA (?), 10:31, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Фигасе, какие умные северо-корейцы: с ограниченным интернетом имеют такие глубокие знания в программировании, бэкдурописании, вирусописании... Вот игил (запрещенная в России террористическая организация), имея неограниченный выход в интернет таких познаний совсем не имеет. Что же будет с миром, если хотя бы 20% северо-корейцев смогут выходить в интернет???
     
     
  • 6.91, Аноним (91), 11:14, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В игил не учат математику, а в С.Корее учат - см. Ланькова.
     
     
  • 7.119, Аноним (119), 18:33, 02/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.108, Kuromi (ok), 16:40, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Фигасе, какие умные северо-корейцы: с ограниченным интернетом имеют такие глубокие знания
    > в программировании, бэкдурописании, вирусописании... Вот игил (запрещенная в России террористическая
    > организация), имея неограниченный выход в интернет таких познаний совсем не имеет.
    > Что же будет с миром, если хотя бы 20% северо-корейцев смогут
    > выходить в интернет???

    Нужные книжки и  ресурсы они там потихоньку выкачивают, не волнуйся за них. Даже свой самопальный Линукс сделали, причем с колоритными модификациями.

    Ну а то что развлекательное ничего не доступно и даже порно только в  погонах - ну таковы лишения от борьбы с "мировой закулисой".

     
     
  • 7.121, EULA (?), 10:05, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И все равно получается, что они умные.
    Что же будет, если их в сеть выпустят???
     
     
  • 8.130, Kuromi (ok), 18:56, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Советские сумрачные ученые тоже в шарашках клепали супероружие Запад тоже думал... текст свёрнут, показать
     
     
  • 9.133, EULA (?), 08:16, 08/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В СССР хакеров не было, даже некоторые компьютеры были подключены к арпанет ... текст свёрнут, показать
     
  • 6.118, Аноним (118), 17:45, 02/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Фигасе, какие умные северо-корейцы

    А еще они снарядов могут клепать больше, чем все страны развитого капитализьма во главе в гегемоном вместе взятые. Что-то тут не так.

     
     
  • 7.128, пох. (?), 18:42, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну так вместо выращивания нежных личностев и уточнения как к Оно обращаться - та... большой текст свёрнут, показать
     

  • 1.22, Аноним (22), 21:18, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Осталось исправить master на main, и все saboteurs сразу устыдятся содеянного, и сами откатят свои вредности!
     
  • 1.23, Аноним (23), 21:21, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что эта точка значит в CMake?
     
     
  • 2.25, Аноним (25), 21:28, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +11 +/
    возможно сокращение от "вкусно и точка"
     
     
  • 3.31, Аноним (29), 21:38, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вот они и спалились .
     
     
  • 4.36, Аноним (35), 22:03, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее, работодатель товарища майора.
     
  • 2.37, topin89 (ok), 22:06, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чтобы код внутри check_c_source_compiles("<код>") не скомпилировался. До точки там был код, который не собирается только если в linux-headers в системе сборки нет SYS_landlock_create_ruleset. После точки он вообще никогда не скомпилируется, как если бы landlock вообще ни в одной системе нет
     
     
  • 3.56, Аноним (23), 00:03, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да это понятно. Я про синтаксис. Что в С/CMake это означает? Почему не летит ошибка синтаксиса и т.д
     
     
  • 4.86, Аноним (86), 10:17, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не значит. Ошибка синтаксиса и код не компилируется... И поэтому проверки отключаются.
     
  • 2.113, ivanpetrov (ok), 23:08, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это не в CMake точка, он её добавил в C коде, который передаётся в CMake функцию check_c_source_compiles(), то есть (пытаться) конпелировать это будет не CMake, а C компилятор.
     

  • 1.24, Аноним (-), 21:26, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > что приводило к непрохождению проверки на наличие Landlock при любых условиях.

    Интересно, почему не было тестов на данный функционал?
    "Механизм изоляции приложений" звучит достаточно важно чтобы быть покрытым тестами.

    Так бы хоть у кого-то возникли бы вопросы? Или так такое не принято?

     
     
  • 2.103, Аноним (103), 15:45, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У Линуса, походу, вообще никаких тестов нет. Фин тянет в свою поделку любую шнягу. Оттого поделка вся дырява насквозь.
     

  • 1.26, Аноним (-), 21:30, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки

    .
    А с чего взяли что намеренно?
    В программах на СИ постоянно забывают проверять размер буфера или делают double free.
    Любой человек может ошибится, это нормально и совершенно не зависти от языка, честно-честно!

     
     
  • 2.30, Аноним (30), 21:37, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо просто посмотреть, кем. Неужели нельзя вывести список всех изменений, к которым причастен этот аккаунт? А, нельзя, Майкрософт же заметает следы.
     
  • 2.32, Аноним (-), 21:52, 31/03/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 2.33, Аноним (33), 21:57, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вот в таком виде https://git.tukaani.org/?p=xz.git;a=commitdiff;h=f9cf4c05edd14dedfe63833f8ccbe ? и даже с комментарием ?

    Вообще ни разу не палево.. хоть бы чтото еще поправил, чтобы оно реально смахивало на случайность.

     
     
  • 3.40, sigprof (ok), 22:13, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так это удаление ошибки, а добавили код с ошибкой в https://git.tukaani.org/?p=xz.git;a=commitdiff;h=328c52da8a2bbb81307644efdb58d
     
     
  • 4.72, Анонимщик (?), 05:57, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Или я в глаза долблюсь, или тут нет добавления той точки.
     
     
  • 5.75, Аноним (75), 07:30, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    почти в самом верху:

    +        #include <sys/prctl.h>
    +.
    +        void my_sandbox(void)

     
  • 5.79, Аноним (80), 09:11, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Поскольку добавление точки нашлось... не могу не спросить, зачем вы так со своими глазами?
     
  • 2.58, Аноним (58), 00:22, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот все матерятся на паскаль, а там строгая типизация и FastMM/HeapTrc, так что я по сути даже не знаю, что такое искать утечки памяти. Окошко с утечкой выскакивает сразу же, как только я ее допускаю. А это зачастую является сигналом о наличии более серьезных косяков. А ненавидят паскаль наверное те быдлокодеры, которым он не дает свести все типы в программе к int/uint и пропихнуть боинг 747 в функцию, которая ожидает блоху.

    C++ кончно мощный и позволяет по сути изобрести свой мета-язык из макросов. Но мне как то неуютно. Вот напишу я прогу на 100500 строк на gcc. Как я потом там буду искать все эти утечки памяти?

     
     
  • 3.69, iPony129412 (?), 04:26, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я видел код ужас от студентов.
    Текло это жесть как.
    И никакой мифический паскаль не спасал
     
  • 3.70, iPony129412 (?), 04:28, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вот напишу я прогу на 100500

    Вот и сам же написал причину.
    Дело не в языке, а в том что hello world-ы пишешь

     
  • 3.77, Аноним (-), 09:05, 01/04/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 2.106, bdrbt (ok), 16:28, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки
    > .
    > А с чего взяли что намеренно?
    > В программах на СИ постоянно забывают проверять размер буфера или делают double
    > free.
    > Любой человек может ошибится, это нормально и совершенно не зависти от языка,
    > честно-честно!

    Потому что эта "ашипка" - одна из череды вредоносных изменений от автора бэкдора

     

  • 1.41, Аноним (41), 22:13, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой интересный язык. Добавил просто точку - получил изменение логики.
     
     
  • 2.51, Стив Балмер (?), 23:37, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а как вам язык где балом правит запятая ?
    "Казнить нельзя помиловать"
     
  • 2.52, Аноним (52), 23:49, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Причём тут язык? В CMake функция 'check_c_source_compiles' проверяет только то, что переданный в неё сишный код компилируется и линкуется. Добавили в тестовый код лишнюю точку → код стал невалидным → тест на компилируемость перестал проходить → фича, наличие которой определялось попыткой скомпилировать тестовый код, стала считаться отсутствующей.
     
     
  • 3.117, adolfus (ok), 09:37, 02/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > разработчики языка Си не озаботились указать какие размеры имеют char, short, int, long int, long long

    Именно потому С можно адаптировать для любой мыслимой архитектуры и платформы. И никогда никому это не мешало, поскольку в языке есть заголовок <stdint.h>, объявляющий типы фиксированной ширины.

     
  • 2.54, uis (??), 23:59, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какой из языков и какой логики?
     
  • 2.66, microcoder (ok), 02:57, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой интересный язык.

    Одна точка (.) - текущий каталог, две точки (..) - ссылка на каталог выше. Этому "языку" уже сто лет в обед.

     
  • 2.99, Аноним (98), 14:40, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты серьезно веришь, что если бы там был check_rust_source_compiles это что-то поменяло бы? Наивный.
     
     
  • 3.105, morphe (?), 16:06, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Rust не производят проверку наличия фич методом компилируется код с ней или нет)
    Всё же не надо отрицать что механизм пробинга в autoconfig - отвратительная дичь, которая была сделана просто потому что разработчики языка Си не озаботились указать какие размеры имеют char, short, int, long int, long long, и стандартизировать механизмы расширения компилятора.
     

  • 1.43, Аноним (43), 22:34, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Единственное, чего я не понял из имеющихся на данный момент результатов реверсинга - где именно бэкдор умудряется проводить 0.5 секунды.
     
     
  • 2.55, uis (??), 00:00, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В поиске строк в таблице
     
     
  • 3.87, Аноним (86), 10:19, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То есть там O(n^2) наверно?
     
  • 3.95, Аноним (43), 13:44, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там не таблица, а простенький FSA. Даже если бы оно было написано на Python, оно бы не нажрало 0.5 секунд.
     

  • 1.46, Аноним (46), 22:57, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В сборочном сценарии CMakeLists.txt

    Я не понял, там autotools или CMake? Или там настолько долбанулись, что им ещё Meson, Basel и Buck не помешали бы? Взять и закопать этот xz.

     
  • 1.48, Аноним (46), 23:06, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >дополнительно вызывающий prctl для проверки.

    Сразу ффтопку - машина, на которой производится сборка не является машиной, на которой производится исполнение. Более того, пакеты шарятся между всеми ядрами и хардкодинг использования или неиспользования landlock приведёт лишь к тому, что либо на ядрах без него программа будет падать, либо на ядрах с ним он будет незадействован. Абсолютно непрофессиональная проверка, за которую и так надо гнать вон из профессии.

     
     
  • 2.73, Аноним (73), 06:32, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он похоже профессионал в другой области.
     
  • 2.100, Серб (ok), 14:50, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сразу ффтопку - машина, на которой производится сборка не является машиной, на которой производится исполнение.

    А вот это неважно. Эта машина на которой прописываются нужные зависимости.

    Если машина будет ставить такой пакет, то зависимости установятся автоматически.

    Так что ваши корни выросшие в другой ОС просматриваются.

     
     
  • 3.114, Аноним (114), 00:06, 02/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, мне нафиг не надо, чтобы какой-то xz-utils решал, какой версией ядра мне пользоваться.
     

  • 1.63, Kuromi (ok), 02:28, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    То есть они только сейчас начали проверять все коммиты данного персонажа и выявляют все новые приколы? Мне казалось очевидным что все сделанное Jia Tan по умолчанию вредоносно.
     
  • 1.68, yet another anonymous (?), 03:23, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сама идея "проверить наличие пакета X" и на основе этого "включать/не включать функциональность Y" выглядит ... (как бы помягче...) несколько неразумной.
     
  • 1.74, Аноним (74), 06:37, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    В доках landlock и правда советуют использовать сисколл https://docs.kernel.org/userspace-api/landlock.html#landlock-abi-versions, потому что действительно, это опциональная фича, которая может быть отключена в коммандлайне ядра. Вот только это относится к запуску программы, а не к ее компиляции. Если при компиляции хедер есть и линковка отрабатывает, то что еще надо-то?

    Так что да, весь этот патч изначально запилен с целью отключить landlock. И очевидно что его никто не ревьюил (по крайней мере никто компетентный), потому что как такое можно пропустить?

     
  • 1.76, Ivan_83 (ok), 08:26, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Саботажников в опенсорце и так хватает, многие из них не прячутся и не скрываются, а гордятся свой работой.

    Тут кто то старался и впиливал бэкдор, а они стараются и не впиливают патчи потому что они им не нужны или не нравятся или они этим не пользуются, или втаскивают всякую хрень нужную только им и мешающую остальным.

     
     
  • 2.101, Аноним (98), 15:12, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если у опенсорца нет денег чтобы заплатить разработчикам за то что нужно придется кушать то что дают и тешить ЧСВ программистов которых бы на другом проекте выгнали тряпками.
     
  • 2.124, пох. (?), 18:30, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ты что - так и не научился до земли кланяться, а не только в пояс?
    Ну блин, никто ж не требует от тебя, столетнего деда, молодецкой гибкости! Становись на колени, аккуратненько, коленки старые, повредишь быстро плюхаясь. И из этой позы - лобешником в грязь под ногами гениального "разработчика" - шмяк! Вот! И так три раза! (если дотянешься - можешь еще и поцеловать туфлю! Только не разгибайся, могут принять за нетолерантность, а так ползи!)

    И ему удовлетворение, и тебе польза - патч повертят-повертят на ...ую, заставят пару-тройку раз colour на color поменять и обратно - да и примут!

     

  • 1.78, Аноним (80), 09:09, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А может кто-нибудь внятно объяснить, почему какая-то сжималка требует доступ к низкоуровневым особенностям ядра и глибц (которые сами по себе уже являются глубоко системными компонентами), но проблемой считается не это, а то, что эти особенности используются неправильно?

    Из многочисленных последних тредов про xz так и не понял, почему хелло-ворлд, требующий экзотических системных вызовов, работающих даже на линуксе не на каждой версии, не вызывал никаких подозрений, пока кто-то не открыл глаза и не увидел, что там куча уязвимостей? Ну требует хелло-ворлд подмены функций на уровне глибц и экзотических системных вызовов - ачотакова?

     
     
  • 2.82, Аноним (74), 09:44, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну тебе же это не открыло глаза до выхода новости? Ну вот и остальным то же самое.
     
  • 2.88, Пряник (?), 10:21, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё так и есть. Но видимо всем просто пофиг на xz. А выкинуть из зависимостей его забыли.
     

  • 1.83, Аноним (83), 09:59, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эээ.... Арчлинуху передайте инфу. Они же пакет не откатывали, а только перестроили и про лишнюю точку не в курсе, наверно.
     
  • 1.94, Аноним (94), 13:00, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >В сборочном сценарии CMakeLists.txt

    Лица кричавших про нечитаемые m4-скрипты в угоду симейку - к осмотру.

     
     
  • 2.96, Аноним (96), 14:23, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В автоконфе точно такой же способ сработал бы прекрасно, сюрприз.
     
     
  • 3.97, Аноним (96), 14:25, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но в автоконфе я бы спрятал через divert, там и в корректном-то коде без поллитры не разберешься
     
     
  • 4.129, пох. (?), 18:49, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Но в автоконфе я бы спрятал через divert, там и в корректном-то
    > коде без поллитры не разберешься

    как будто в Cmake ты разберешься. Не говоря уже про питоноуродцев.

    Но вот пропихнуть патч с таким divert - удастся только в том случае, если ты сам и есть тот кто его примет, и не найдется никого кто посмотрит и задаст удивленный вопрос - "какого, собственно?"

    Поскольку торчать он будет как х-й во лбу.

    (разумеется, исключая сценарий когда ты умеешь что-то кроме вредительства и 99% большого патча реально решают чьи-то проблемы, а эта мелочь идет в довесок. Но здесь совсем иной случай. Товарищ особо даже и не прятался. Пипл схавает.)


     
  • 2.112, Аноним (112), 22:48, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > тест всегда завершался неудачей.

    И? Код был сломан, тест был сломан. То что это никто не проверял - не проблема языка. В отличие от всяких там убожественных умирающих ЯП, изобилующих спец-символами и где "каждая строка - это валидное выражение".

     

  • 1.109, anonymous (??), 17:27, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Херовая проверка на наличие функций в заголовке. В CMake проверка делается через check_symbol_exists(), а не эту херню с check_c_source_compiles(). Понятно, что этот саботажник сам так и написал, да еще херню придумал, что по хедеру не проверить наличие возможностей.
     
  • 1.111, Прадед (?), 20:58, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Технически красиво конечно сделано со всей этой криптографией и занос скрипта прямо в открытый сырец, прямо музейный экспонат, но удивляет другое. Как методично всё протащили, и даже мантейнера,учитывая что коммиты были не особо нужные. Иные проекты попробуй убеди твой патч принять, если только он не как на ладони багу фиксит, а тут какой-то треш, да ещё и во все дистры сразу... Как бы да, нормального леща прописали.
    Однако не спешим хихикать, в закрытый сырец такое бы внесли моментально и никто бы не нашёл никогда.
     
     
  • 2.123, пох. (?), 18:24, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Иные проекты попробуй убеди твой патч принять, если только он не как на ладони багу фиксит,
    > а тут какой-то треш, да ещё и во все дистры сразу...

    в точности наоборот: почти любые проекты невозможно убедить патч принять, особенно если он багу фиксит - это ж главному разработчику прожекта прям игла в задницу - КАК, У МЕНЯ БАГИ?! И НЕ Я нашел?!

    Порежьте помельче и переподайте с тройным поклоном, и не поясным, а земным!

    А такую вот дрянь - принимают на ура. Как и наезды на недостаточную толерастность майнтейнера, впрочем. (Смотри не перепутай - наедешь на недостаточность квалификации - самого заканселят! Как можно, он же аутист и ОНО!)


    > Однако не спешим хихикать, в закрытый сырец такое бы внесли моментально и никто бы не нашёл
    > никогда.

    угу, у корпорации-зла  ж ни code review, ни разборов полетов по четвергам, ни раздачи pink slip по пятницам.  Сиди себе, пили бэкдоры, только не увлекайся, чтобы успевать деньги загрести лопатой, пока ими не засыпало с головой.

     

  • 1.122, Аноним (-), 11:19, 03/04/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру