https://opennet.ru/openforum/vsluhforumID3/110521.html У ядре Linux выявлена (http://openwall.com/lists/oss-security/2017/02/22/3) уязвимость (CVE-2017-6074 (https://security-tracker.debian.org/tracker/CVE-2017-6074)), позволяющая непривилегированному локальному пользователю выполнить код на уровне ядра. Проблема устранена (https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5edabca9d4cff7f1f2b68f0bac55ef99d9798ba4) 17 февраля и проявляется во всех ядрах с поддержкой DCCP, начиная с 2.6.14 (октябрь 2005 г.) и вплоть до выпуска 4.9.11. <br><br><br>Обнаруживший уязвимость исследователь сообщил о создании рабочего эксплоита, который будет опубликован через несколько дней, как только основные дистрибутивы выпустят обновление ядра. Обновления пакетов пока выпущены для RHEL (https://rhn.redhat.com/errata/RHSA-2017-0295.html) и Ubuntu (https://www.ubuntu.com/usn/usn-3209-1/). Проблема остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2017-6074), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F25&type=security), https://opennet.ru/openforum/vsluhforumID3/110521.html#317 Mon, 27 Feb 2017 11:10:27 GMT &gt; Опять админы будут ядра обновлять вместо раскладок =(<br><br>Заблеклистят dccp и дальше спать пойдут, в новости даже указано как. Обновлять пойдут только те 3,5 человека, кто его использует.<br> https://opennet.ru/openforum/vsluhforumID3/110521.html#316 Sun, 26 Feb 2017 16:22:40 GMT &gt;&gt; Меньше знаний == меньше стереотипов и зашоренности. Иногда это ОЧЕНЬ полезно.<br>&gt; Да, когда хочется просто плыть (сплавляться) по течению.<br><br>"Течение" как раз насадит свои собственные стереотипы (начиная со школы), и попробуй из-под них ещё выбраться...<br><br>Не то, что линух девелопить не захочется, а даже поставить посмотреть его не будет позывов.<br>(а микроядро - какое микроядро? это древний вид боеприпаса?)<br><br><br>&gt; Но,<br>&gt; "Кто-то же должен, кто-то же должен, <br>&gt; Кто-то обязан быть первым.<br>&gt; Кто-то же должен, кто-то же должен, <br>&gt; Первый мотать себе нервы, <br>&gt; Мотать себе нервы, мотать себе нервы..." <br><br>Именно, и не без того. Впервые что-то может и не получаться...<br><br><br>&gt; Вот например, сколько нулей необходимо сложить, что <br>&gt; бы получилось число отличное от нуля?<br><br>штук 30<br>почему? - потому, что этого гарантированно хватит, чтоб выдохнуть и забросить эту малоосмысленную задачку :)<br><br><br>&gt; Поэтому (и не только по этому) мы будем иметь необходимое нам <br>&gt; (желаемое нами) решение в обозримом будущем.<br><br>Оптимист https://opennet.ru/openforum/vsluhforumID3/110521.html#315 Sun, 26 Feb 2017 10:40:59 GMT &gt;&gt; Во первых: Вы не обращайте на меня большого внимания, так как это <br>&gt;&gt; мои любительские познания.<br>&gt; Это не страшно :) <br>&gt; Меньше знаний == меньше стереотипов и зашоренности. Иногда это ОЧЕНЬ полезно.<br><br>Да, когда хочется просто плыть (сплавляться) по течению.<br>Но, <br>"Кто-то же должен, кто-то же должен,<br>Кто-то обязан быть первым.<br>Кто-то же должен, кто-то же должен,<br>Первый мотать себе нервы,<br>Мотать себе нервы, мотать себе нервы..."<br><br>&gt;&gt; Во вторых: <br>&gt;&gt; Сколько тактов процессора или ядра процессора занимает выполнение этих команд?<br>&gt; Ядра - 0 (ибо это не ф-ция ядра, а процессора; ядро/проги тут <br>&gt; выступают пользователями) <br>&gt; По процу - это вобщем-то табличные данные, но у каждого процессора и <br>&gt; поколения оно может отличаться. Впрочем, эти инструкции уже даааавно как используются <br>&gt; по умолчанию. До них в юнихах было пресловутое прерывание int 0x80 <br>&gt; - куда более медленный способ переключения.<br><br>0 - о как я люблю это число. Хотя иногда мне кажется, что там Ноль, так пустышка, ничего. Но, оно насто https://opennet.ru/openforum/vsluhforumID3/110521.html#314 Sat, 25 Feb 2017 19:36:26 GMT В каком-то смысле это так. Но разве есть что-то лучше?<br> https://opennet.ru/openforum/vsluhforumID3/110521.html#313 Sat, 25 Feb 2017 16:44:50 GMT &gt; Конечно, же не стоит. Потому что никак не сказывается.<br><br>Небольшой ликбез на примере сабжевой уязвимости.<br><br>git. kernel. org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5edabca9d4cff7f1f2b68f0bac55ef99d9798ba4<br><br>Очень много уязвимотей закрываются патчами примерно такого же размера<br><br>Т.е. просто логическая ошибка. Но если есть тесты, и не просто тесты, а разработка по TDD, то такие ошибки просто невозможны. При TDD не появляется ни одной строчки, ни одного условия, для которого не было бы вначале написан тест.<br><br>В частности, данной конкретной ошибки: по окончанию теста должны были быть проверены все локи и освобождены все ранее созданные объекты. И если в коде был бы забыт какой-нить skb - то тесты бы не прошли и проблема была бы замечена/исправлена сразу же, в том же 2005 году.<br>А так - все эти ошибки ждут своего часа, пока кто-то не "наступит" или опубликует.<br><br>Так что, тестирование на качестве кода сказывается позитивно и очень сильно.<br> https://opennet.ru/openforum/vsluhforumID3/110521.html#312 Sat, 25 Feb 2017 16:03:34 GMT &gt; Конечно, же не стоит. Потому что никак не сказывается.<br><br>Если интересна другая точка зрения - можно загуглить "Дядя Боб"<br> https://opennet.ru/openforum/vsluhforumID3/110521.html#298 Sat, 25 Feb 2017 13:56:25 GMT &gt; Надеюсь, не стоит рассказывать как юнит-тестирование сказывается на качестве кода<br><br>Конечно, же не стоит. Потому что никак не сказывается.<br>