https://www.opennet.ru/openforum/vsluhforumID3/138143.html В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64093<br> https://www.opennet.ru/openforum/vsluhforumID3/138143.html#340 Thu, 30 Oct 2025 23:23:07 GMT &gt; ...тогда судите сразу и за изнасилование. а чо, аппарат-то есть...<br><br>Ну вот Rust судили, Rust согласились что это неправильно, и потому завели CVE<br><br>Все другие сказали что не баг, а фича, и CVE не было<br> https://www.opennet.ru/openforum/vsluhforumID3/138143.html#339 Thu, 30 Oct 2025 22:19:06 GMT ...тогда судите сразу и за изнасилование. а чо, аппарат-то есть...<br> https://www.opennet.ru/openforum/vsluhforumID3/138143.html#338 Thu, 30 Oct 2025 16:43:17 GMT <br>&gt; дачточертпоберитакоетынесешь.джпг <br>&gt; баг из стандартной библиотеке rust присутствует в node.js, ага. и в дотнете. <br>&gt; пиши уже сразу "в си и бейсике тож", чтоп два раза не <br>&gt; вставать.<br><br>Стандартная библиотека Rust, как и стандартные библиотеки многих других языков, позволяет спавнить процессы передавая аргументы для процесса как массив<br><br>Винда такое не умеет, в винде аргументы процесса это просто строка, поэтому для винды эти аргументы надо заэскейпить и превратить в строку<br><br>Правил эскейпинга нет, и факт в том что эту строку аргументов некоторые программы обрабатывают иначе чем другие. В Rust для обеспечения безопасности сделали другую форму эскейпинга для аргументов команды cmd.exe, при этом в реализации была ошибка, из-за чего была возможна инъекция команд в cmd.exe, и на это завели CVE.<br><br>Однако факт в том что большинство других рантаймов вовсе не имеют иной обработки эскейпов для cmd.exe, там просто всё отдали под ответственность разработчика, они просто допускают в данном случае инъекцию, и пр https://www.opennet.ru/openforum/vsluhforumID3/138143.html#337 Thu, 30 Oct 2025 16:10:38 GMT &gt;&gt; CVE в системной либе "ошибкой не считается"?<br>&gt; Эта же самая ошибка содержится во многих других языках (node.js, .net), при <br>&gt; этом там ошибкой не считается, и не имеет CVE <br>&gt; Скор 10.0 установлен репортером CVE (github в данном случае), а не NVD: <br>&gt; https://nvd.nist.gov/vuln/detail/cve-2024-24576 <br><br>дачточертпоберитакоетынесешь.джпг<br><br>баг из стандартной библиотеке rust присутствует в node.js, ага. и в дотнете. <br><br>пиши уже сразу "в си и бейсике тож", чтоп два раза не вставать.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/138143.html#336 Tue, 28 Oct 2025 14:15:35 GMT &gt; CVE в системной либе "ошибкой не считается"?<br><br>Эта же самая ошибка содержится во многих других языках (node.js, .net), при этом там ошибкой не считается, и не имеет CVE<br><br>Скор 10.0 установлен репортером CVE (github в данном случае), а не NVD: https://nvd.nist.gov/vuln/detail/cve-2024-24576<br> https://www.opennet.ru/openforum/vsluhforumID3/138143.html#334 Mon, 27 Oct 2025 22:21:59 GMT &gt; При этом в других языках (даже C#) это просто ошибкой не считается, <br>&gt; просто "особое виндовое поведение, хотите дёргать команды - изучайте как винда <br>&gt; это обработает" <br><br>што за чушь ты мне втираешь? <br><br>CVE в системной либе "ошибкой не считается"? <br><br>нууу ОК.<br> https://www.opennet.ru/openforum/vsluhforumID3/138143.html#333 Mon, 27 Oct 2025 03:27:23 GMT &gt; Я спрашивал про какую из реализаций?<br>&gt; Их много. Что брать за правильное, а что нет?<br>&gt; Какая из архитектур компьютера правильная а какая нет?<br><br>Перестаньте задавать один и тот же глупый вопрос. Стандарт языка Си описывает поведение программ для абстрактной модели вычислителя, а не для конкретной аппаратной архитектуры.<br><br>&gt; Ибо эта "косвенность" приводит к разному поведению программ. Что далеко не косвенно.<br><br>Нет, не приводит. Если у программы разное поведение, то возможны два варианта:<br>1. она содержит implementation-defined behavior или unspecified behavior и такое поведение ожидаемо и предусмотрено автором.<br>2. она содержит undefined behavior (некорректна с точки зрения стандарта) и должна быть исправлена.<br> https://www.opennet.ru/openforum/vsluhforumID3/138143.html#332 Sun, 26 Oct 2025 15:10:59 GMT Он не сможет. Ибо нет базы для сравнения. Приведи лучше пример ПОЛНОСТЬЮ переписанного.<br><br>Нужно что бы была реализована полностью функциональность оригинала и работало на всех платформах, на которых работал оригинал.<br> https://www.opennet.ru/openforum/vsluhforumID3/138143.html#331 Sun, 26 Oct 2025 14:31:10 GMT &gt; Если вам разрешено нарушать реализацию компьютера - тогда я вам не советчик. Мне, как и другим смертным, это запрещено законами физики и здравого смысла.<br><br>Я спрашивал про какую из реализаций?<br><br>Их много. Что брать за правильное, а что нет?<br><br>&gt; Ещё раз: инварианты задает спецификация языка, их связь с архитектурой компьютера косвенная и продиктованная желанием получить быстрый код.<br><br>И???<br><br>Какая из архитектур компьютера правильная а какая нет?<br><br>Ибо эта "косвенность" приводит к разному поведению программ. Что далеко не косвенно.<br>