OpenForum RSS: Уязвимость в подсистеме io_uring, позволяющая повысить привилегии в системе https://m.opennet.dev/openforum/vsluhforumID3/137921.html В интерфейсе асинхронного ввода/вывода io_uring, предоставляемом ядром Linux, выявлена уязвимость (CVE-2025-39698), позволяющая непривилегированному пользователю добиться выполнения своего кода на уровне ядра. Уязвимость вызвана отсутствием проверки существования объекта перед выполнением операций с этим объектом. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63946<br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (funny.falcon) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#78 Fri, 03 Oct 2025 07:49:27 GMT Хоть я и не сподобился прогать на расте, но полностью согласен с вашим тезисом, и сам его часто приводил в дискуссиях: основная заслуга Rust в том, что программист вынужден запускать статический анализатор при каждой компиляции.<br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (ptr) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#77 Fri, 03 Oct 2025 05:56:04 GMT &gt; ну такие "ОС"<br><br>Почти полный список свободных RTOS. Чем они Вас не устраивают?<br><br>&gt; под ембедовку<br><br>Если код под встраиваемые системы не ухудшился от соблюдения Misra C, то код под системы общего назначения тем более ничего не потеряет. Или Вы почему-то считаете иначе?<br><br>&gt; я и сам в таком стиле писал<br><br>Дайте ссылку на GitHub, хотелось бы ознакомиться с Вашей RTOS.<br><br>&gt; сравнили с пальцем.<br><br>Вот и сравним Вашу RTOS, например, с FreeRTOS )))<br><br><br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#76 Thu, 02 Oct 2025 20:23:25 GMT ну такие "ОС", под ембедовку с заранее известными в compile time характеристиками, я и сам в таком стиле писал, там можно и вообще аллокатор не имплементить :)<br><br>сравнили с пальцем.<br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (ptr) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#75 Thu, 02 Oct 2025 17:10:47 GMT &gt; Написать ядро операционной системы в рамках MISRA C? Удачи.<br><br>Я бы не сказал, чтобы всё было настолько плохо: https://ieeexplore.ieee.org/document/10716387<br>А с правилом 17.6, тем более: https://ieeexplore.ieee.org/mediastore/IEEE/content/media/6287639/10380310/10716387/song.t4-3479971-large.gif<br>Или Вы думаете что все перечисленные RTOS без ядра? )))<br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#74 Thu, 02 Oct 2025 08:06:39 GMT Написать ядро операционной системы в рамках MISRA C? Удачи.<br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (Аноним) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#73 Mon, 29 Sep 2025 16:33:09 GMT для работы с сетью полезно<br>https://developers.redhat.com/articles/2023/04/12/why-you-should-use-iouring-network-io<br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (laindono) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#72 Mon, 29 Sep 2025 14:17:01 GMT Вот по этому Rust и лучше крестов (к сишечке вопросов нет, она про другое).<br><br>Ибо анализатор встроен в сам язык и нелья им не пользоваться. При этом сам дизайн сделан таким образом, что ложных срабатываний почти не существует.<br><br>То есть ты конечно можешь добиться того же уровня качества кода в крестах. Но ты же не будешь заниматься этим всем ради какой-то одноразовой утилиты, верно? А тут придётся. Из этого выходит, что повышается среднее качество среднего когда. Суперкритические секции везде будут делаться вручную суперпрофессионалами с часовыми зарплатами, которые звучат как годовые. Но качество самой массовой части кода на самом деле гораздо важнее. По той причине, что улучшение на какие-то 0.5% в рамках всей индустрии намного важнее, чем 5000% в критической секции одного продукта. Эффект масштаба.<br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (ptr) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#71 Mon, 29 Sep 2025 06:18:02 GMT А как же MISRA-C 17.6?<br> Уязвимость в подсистеме io_uring, позволяющая повысить приви... (edo) https://m.opennet.dev/openforum/vsluhforumID3/137921.html#70 Sun, 28 Sep 2025 21:58:03 GMT так, насколько я понимаю, уязвимости вызваны не недостатками io_uring, а в том, что к существующему коду приделывают асинхронные &#171;ручки&#187; из юзерспейса. замена на kqueue принципиально ситуацию не поменяла бы.<br>а сама по себе идеия io_uring отличная же. не удивлюсь, если бсдшники её к себе затянут со временем.<br>