forum.opennet.ru - "Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust" (115)

"Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust"	+/–
Сообщение от opennews (??), 10-Янв-23, 22:42
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=58458
Ответить \| Правка \| Cообщить модератору

Оглавление

Кажется, к don t roll your own crypto надо добавить don t reimplement SSH cli, Аноним (6), 22:55 , 10-Янв-23, (6) +14

and git clients too такой модный язык, а использует наработки старперов н, ivan_erohin (?), 13:31 , 11-Янв-23, (101) +1

Если б они это сами сделали, CVE было бы в 10 раз больше Вон в матриксе славно , Аноним (-), 09:31 , 12-Янв-23, (149)

Очень хороший язык, когда каждую неделю выходит новая версия и ломает совместимо, Аноним (9), 22:58 , 10-Янв-23, (9)

Экспертиза от опеннет во всей красе , НяшМяш (ok), 23:17 , 10-Янв-23, (13) +1

Арчеводы тоже, Деанон (?), 23:20 , 10-Янв-23, (15) –3
Уязвимость в пакетном менеджере Cargo, применяемом в экосист..., Аноним (17), 23:31 , 10-Янв-23, (17) +2

А причём тут язык Так можно и C пинать за то что CMake сделал какое-нибудь ло, НяшМяш (ok), 11:16 , 11-Янв-23, (86) +4

Это к вопросу как растофилы фиксят баги , Аноним (88), 11:34 , 11-Янв-23, (88) +1

Такого вопроса никто никогда не ставил, ты его сам себе придумал , анон (?), 12:25 , 11-Янв-23, (97) +2

CMake не делает ломающих изменений В CMake есть policy mechanism , Аноним (105), 15:04 , 11-Янв-23, (105) +1
Пример можешь привести , Вы забыли заполнить поле Name (?), 16:27 , 11-Янв-23, (114) +1

Пример чисто гипотетический был, но я погуглил - и действительно старое нашлось , НяшМяш (ok), 11:18 , 12-Янв-23, (152)

Ну такое нельзя зафиксить так, чтобы это не коснулось конечных пользователей , freecoder (ok), 12:12 , 11-Янв-23, (96)

можно, сейчас опеннет эксперты расскажут как , Аноним (102), 13:52 , 11-Янв-23, (102)

На этот вопрос так часто тут с пруфами отвечают, что его вырезает антиспам еще н, анон (?), 15:49 , 11-Янв-23, (108)

кто тебе мешает не использовать новую версию , Аноним (30), 00:30 , 11-Янв-23, (30)

Дырени , Admino (ok), 01:03 , 11-Янв-23, (33) +7
Кто мешает не использовать раст , псевдонимус (?), 01:50 , 11-Янв-23, (36) +7

Там же новое Это как на телефоне обновление приложения чтобы о нем помнили , Аноним1212 (?), 07:53 , 11-Янв-23, (65) +2

И сидеть с дырявым карго , Аноним (88), 01:50 , 11-Янв-23, (37)

а зачем тебе cargo люди 20 лет сидят без обновлений на дырявых дельфях, ещё и ст, Аноним (30), 19:14 , 11-Янв-23, (131)

Например, программа Х собирается версией 1 25, но не собирается новой версией А, Аноним (9), 03:02 , 11-Янв-23, (50) +1

назови пример такой программы мне никогда не встречались, хотя я на расте пишу , анонимус (??), 04:33 , 11-Янв-23, (56) +5

хеловорды не считаются за активность , Аноним (17), 22:27 , 11-Янв-23, (139) +1

Т е примера нет, да балабольчик , Советский инженер (?), 10:30 , 12-Янв-23, (151)

Погоди лет 10, устаканится, тогда и можно будет посмореть что там за раст , Аноним (52), 03:27 , 11-Янв-23, (52) +1
фиг с ним пе ерастом, браузер 10-летней свежести не поймёт ни слова на нынОшнем , mos87 (ok), 18:52 , 11-Янв-23, (128) +2

Не, ну тут ни раст ни его разработчики не винова W oh wait, shit, Аноним (88), 22:58 , 10-Янв-23, (10) +13

да, раст не виноват Раст это язык программирования Там что, переполнение буфер, Аноним (107), 15:48 , 11-Янв-23, (107) +3

Им сишники в git е этих 70 типичных ошибок накидали, зачем они этим гитом польз, Аноним (124), 17:37 , 11-Янв-23, (124)
Си тоже язык программирования, но почему-то для растоманов дыра в libname это э, keydon (ok), 22:28 , 11-Янв-23, (140) +2

Хотите добавить дыр в системе на C Просто выполните команду sudo pacman -S rus, AlexCr4ckPentest (ok), 23:47 , 10-Янв-23, (20) –2

эмм, что , Alladin (?), 23:53 , 10-Янв-23, (21) +2
О, свидетели xorg, windows xp и строительства Карпат объявились, Илья (??), 08:28 , 11-Янв-23, (68) +1

от свидетеля вяленда слышу, mos87 (ok), 18:53 , 11-Янв-23, (129)

sudo pacman command not found, 1 (??), 08:58 , 11-Янв-23, (70) +1

pacman это игра такая, я её помню Поищите в репах своего дистрибутива Не понял, Аноним (99), 12:43 , 11-Янв-23, (99) +2

Если запускать от рута, то пакман призраков жрать может , Kuromi (ok), 01:35 , 12-Янв-23, (145) +1

С чего это вдруг стало уязвимость Это важная фича, которая используется в блоки, ИмяХ (?), 00:08 , 11-Янв-23, (25) –2

не бывает такого блокировщика рекламы бывают только uBlock uMatrix и блокировка, Аноним (45), 02:09 , 11-Янв-23, (45)

Зато без переполнений буфера, выхода за границы массива и обращения к освобождён, YetAnotherOnanym (ok), 02:28 , 11-Янв-23, (46) –2

А потом захочешь написать системное приложение опираясь на давно проверенные сис, Аноним (59), 05:53 , 11-Янв-23, (59)

Да я уже понял, что скоро придётся наступит растопесец Надеюсь, к тому моменту , YetAnotherOnanym (ok), 11:45 , 11-Янв-23, (90)

Можешь не дожидаться пенсии, у тебя уже логическое мышление и способность учитьс, burjui (ok), 16:19 , 11-Янв-23, (110) –3

Нее, я буду сидеть на диване с кофием и печеньками, и неспешно броузить новости , YetAnotherOnanym (ok), 11:53 , 12-Янв-23, (154)

Что угодно, лишь бы код не писать , burjui (ok), 17:56 , 12-Янв-23, (156)

То ли дело C и C , где в unsafe обёрнут весь код Ну, местным экспертам это не , burjui (ok), 16:21 , 11-Янв-23, (111) –3

Странно, в списке CVE софта на расте даже и такое есть Как ни странно , Аноним (-), 09:43 , 12-Янв-23, (150)

Тссс Зачем выдёргивать детей из сладкого плена иллюзий , YetAnotherOnanym (ok), 11:57 , 12-Янв-23, (155)

А пацан-то взрослеет на глазах Вот уже понял, что TOFU до добра не доведёт Дид, Аноним (48), 02:39 , 11-Янв-23, (48) –2
Что за прикол хранить пакеты на GitHub Perlовский CPAN сам хранит пакеты и его , Аноним (49), 02:44 , 11-Янв-23, (49) +1

Ага, а ещё там мега удобно смотреть последние коммиты с начала 2000х, через зерк, Аноним (53), 03:41 , 11-Янв-23, (53) –3

Зачем возраждать xp, она итак жива и исходники есть Что-то не нравится - правь , Аноним (49), 04:09 , 11-Янв-23, (55)

А ты пробовал У тебя получилось , Аноним (73), 09:34 , 11-Янв-23, (73)

Да Все компилится кроме пинбола и winlogon exe Скопировал софт и игрушки в Liv, Аноним (49), 10:24 , 11-Янв-23, (77)

можно подумать это какое-то плохое действо а может даже и не эффективное , perl (??), 10:19 , 11-Янв-23, (75) +1
Свой гит поднять - не , YetAnotherOnanym (ok), 11:43 , 11-Янв-23, (89) +1

На каждый пакет , Аноним (49), 12:08 , 11-Янв-23, (95) –1

Ога, отдельный сервер с гитом на каждый пакет, иначе никак , YetAnotherOnanym (ok), 11:49 , 12-Янв-23, (153)

ну просто перлом занимаются умные но скучные людиникто даже не знает, правильная, mos87 (ok), 18:55 , 11-Янв-23, (130) +1

Анти-растеры, пакетный менеджер от языка отличить можете Или извилин понять нов, Аноним (53), 03:44 , 11-Янв-23, (54) –6

Так карго же на этом расте и написан , растоман (?), 04:38 , 11-Янв-23, (57) +5

И Раст ЯП должен был в проект карго сам, без программистов, код проверки серт, Аноним (107), 16:09 , 11-Янв-23, (109) +1

Как только в новости про раст не будет упоминаться cargo, и отношения между carg, yet another anonymous (?), 06:21 , 11-Янв-23, (62) +3
Так ведь же пакетный менеджер на безопасном языке написан и не может содержать д, EULA (?), 06:25 , 11-Янв-23, (63) +2
Дак вы ведь тож не можете отличить Сишку, от софта на ней написанного Кстати, а , Аноним (88), 09:15 , 11-Янв-23, (72) +1

Потому что это уже стало очевидно , freecoder (ok), 11:49 , 11-Янв-23, (92)

Даже типы ошибок, совершаемые в раст-проектах, каждый раз подчеркивают сишникам , Аноним (107), 16:32 , 11-Янв-23, (119)

Помнится кое-кто говорил, что ошибка есть понятие абсолютное, то есть она либо е, 5к (?), 08:02 , 12-Янв-23, (148)

Можно полный список от чего раст не защищает, что в него не входит и отношения к, Аноним (104), 14:55 , 11-Янв-23, (104) +1

Это какие растоманы обвиняли синяков в уязвимостях, не связанных с некорректной , burjui (ok), 16:25 , 11-Янв-23, (112) –2

Тогда растоманы должны говорить так это программист некорректно с памятью работ, Аноним (104), 20:42 , 11-Янв-23, (136) +1

Можно вопрос - если пакетный менеджер отличается от языка почему его исправили в, Совершенно другой аноним (?), 17:30 , 11-Янв-23, (122) +1
Предъявите популярные реализации Rust без Cargo, AKTEON (?), 00:04 , 12-Янв-23, (142) +1

Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают о, Бывалый смузихлёб (?), 05:08 , 11-Янв-23, (58) +5

look I m a rust programmer println Hello Wor, Аноним (59), 06:05 , 11-Янв-23, (61) +1

Ростовского unwrap на тебя нет , Anonimik (?), 08:41 , 11-Янв-23, (69) +1

Лучше drop , burjui (ok), 16:25 , 11-Янв-23, (113)

println , Аноним (71), 09:10 , 11-Янв-23, (71) +3
Unsafe забыл, без него не заработает, Аноним (125), 18:48 , 11-Янв-23, (125) +2

Никто такого и не заявлял, так же как и привет теореме о неполноте Геделя с посл, НеЗахлебнись (?), 10:06 , 11-Янв-23, (74) +3

хочешь сказать в рекламном буклете всё наврали , perl (??), 10:22 , 11-Янв-23, (76) +1

Интересно и что вам там наплели или вы может сами чего додумали Базовую теори, НеЗахлебнись (?), 10:48 , 11-Янв-23, (84)
Сразу видно, что ты его не читал, т к обещали только безопасную работу с память, burjui (ok), 16:27 , 11-Янв-23, (115)

и не должны были Никто и не просил защиты от логических и алгоритмических ошиб, Аноним (107), 16:44 , 11-Янв-23, (120)

бОльшинство разработчиков только-только с дерева слезли и решили, что они програ, деанон (?), 00:16 , 12-Янв-23, (143)

Просто надо было Cargo на расте писать, а не на этом вашем дырявом C , Аноним (64), 07:47 , 11-Янв-23, (64)

Просто надо было не заниматься ерундой и писать новый йэзыгъ потому что мы можем, Аноним (79), 10:40 , 11-Янв-23, (79) –1

Еще один Это который уже по счету , Аноним (98), 12:43 , 11-Янв-23, (98) +1

Печально, что ни один язык не может защитить от логических ошибок Потому что , Анонн (?), 10:45 , 11-Янв-23, (83)

Они не пишут код, в лучшем случае - они собирают пакеты , freecoder (ok), 11:57 , 11-Янв-23, (93) –1

Нужно вообще с Cargo список публичных ключей популярных сервисов поставлять , Аноним (87), 11:32 , 11-Янв-23, (87)
Ну хотя бы не buffer overflow Хотя, с обилием unsafe кода в библиотеках это чу, Нанонимус (ok), 12:43 , 11-Янв-23, (100)

просто их ещё не дообследовали , Аноним (17), 14:01 , 11-Янв-23, (103) +1
Надеюсь, пожилые синяки всё же поумнеют и со временем хотя, сколько уже прошло,, burjui (ok), 16:32 , 11-Янв-23, (118) –3
Сам дернул пол-фразы про safe-код из контекста, сам и посмеялся поплакал, молоде, Аноним (98), 16:49 , 11-Янв-23, (121)

Боже, да как же достало этот бред слушать про всякие проверки боров, ссылки и пр, Аноним (124), 02:02 , 12-Янв-23, (147)

let p 0x56248d1b7139 as mut i32 unsafe p 0xffffff Иди трусы стирай, , burjui (ok), 18:03 , 12-Янв-23, (157)

дак тут же никакие проверка не работают, ыксперт, Аноним (124), 18:59 , 12-Янв-23, (158)
дак тут же никакие проверка не работают, ыксперт И нахер тогда нужен ваш сраст , Аноним (124), 19:04 , 12-Янв-23, (159)
Я имел ввиду без unsafe, чтоб почувствовать крутизну раста над сишкой А ты мне , Аноним (124), 19:09 , 12-Янв-23, (160)

Ой, ну началось, имел он ввиду детский сад Компилятору лучше расскажи, что т, burjui (ok), 20:45 , 12-Янв-23, (161)

Слушай, перестань уже всех людей судить по себе Если ты постоянно лажаешь с пам, Аноним (124), 21:11 , 12-Янв-23, (163)

Потому что поддерживать код дорого, когда язык тебя ограничивает меньше вероятно, Анончик (?), 04:43 , 13-Янв-23, (164)

Ыксперт, прежде, чем такой бред писать, ты хотя бы почитай а лучше в универе по, Аноним (124), 02:24 , 14-Янв-23, (166)

а как это в расте сделано , Аноним (124), 20:47 , 12-Янв-23, (162)

пора запилить единый пакето-манагер для всех язычков , mos87 (ok), 18:49 , 11-Янв-23, (126) +2

100500 реализаций уже есть, но растаманы придумали и впилили в компилятор свой, , Аноним (17), 19:44 , 11-Янв-23, (134)

Можно подумать, что вам кто-то мешает взять любую версию Rust и написать своё ПО, Аноним (133), 19:34 , 11-Янв-23, (133) –1

а не получится, там даже рандом - внешний , Аноним (17), 19:46 , 11-Янв-23, (135)

дык напиши свой рандом, Аноним (30), 21:10 , 11-Янв-23, (137) –1

зачем, если есть си , Аноним (17), 22:29 , 11-Янв-23, (141) +1

Потому что нет UB и есть борроу-чекер, Аноним (98), 01:57 , 12-Янв-23, (146)

И какое это имеет отношение к отсутствию рандома в расте , Аноним (165), 17:11 , 13-Янв-23, (165) +1

Сообщения [Сортировка по времени | RSS]

6. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +14 +/–

Сообщение от Аноним (6), 10-Янв-23, 22:55

Кажется, к "don't roll your own crypto" надо добавить "don't reimplement SSH clients"

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от ivan_erohin (?), 11-Янв-23, 13:31

"... and git clients too".
такой модный язык, а использует наработки старперов. не позорно им ?

Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (-), 12-Янв-23, 09:31

Если б они это сами сделали, CVE было бы в 10 раз больше. Вон в матриксе славно похайповали, end-to-end шифрование в дефолтовой их либе вынесли. Такое вот крипто от хипстеров.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (9), 10-Янв-23, 22:58

> в выпуске Rust 1.66.1
Очень хороший язык, когда каждую неделю выходит новая версия и ломает совместимость со старой. Наверное, круто держать разные версии компилятора для разных программ.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от НяшМяш (ok), 10-Янв-23, 23:17

> выходит новая версия и ломает совместимость со старой
Экспертиза от опеннет во всей красе.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –3 +/–

Сообщение от Деанон (?), 10-Янв-23, 23:20

Арчеводы тоже

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от Аноним (17), 10-Янв-23, 23:31

> теперь также выводится ошибка ... что может повлиять на работу автоматизированных систем сборки

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

86. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +4 +/–

Сообщение от НяшМяш (ok), 11-Янв-23, 11:16

А причём тут язык? Так можно и C++ пинать за то что CMake сделал какое-нибудь ломающее изменение.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (88), 11-Янв-23, 11:34

Это к вопросу как растофилы фиксят баги.

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от анон (?), 11-Янв-23, 12:25

Такого вопроса никто никогда не ставил, ты его сам себе придумал.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (105), 11-Янв-23, 15:04

CMake не делает ломающих изменений. В CMake есть policy mechanism.

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

114. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Вы забыли заполнить поле Name (?), 11-Янв-23, 16:27

> CMake сделал какое-нибудь ломающее изменение
Пример можешь привести?

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

152. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от НяшМяш (ok), 12-Янв-23, 11:18

> Пример можешь привести?
Пример чисто гипотетический был, но я погуглил - и действительно старое нашлось: https://stackoverflow.com/questions/40915115/cmake-changes-b...

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от freecoder (ok), 11-Янв-23, 12:12

Ну такое нельзя зафиксить так, чтобы это не коснулось конечных пользователей.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

102. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (102), 11-Янв-23, 13:52

можно, сейчас опеннет эксперты расскажут как.

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от анон (?), 11-Янв-23, 15:49

На этот вопрос так часто тут с пруфами отвечают, что его вырезает антиспам еще на этапе поста.
Могу порекомендовать почитать мастер ветку с ответами разрабов, в приличном обществе за такие ответы можно потеряться в бочке с бетонном.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

30. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (30), 11-Янв-23, 00:30

кто тебе мешает не использовать новую версию?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

33. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +7 +/–

Сообщение от Admino (ok), 11-Янв-23, 01:03

Дырени.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +7 +/–

Сообщение от псевдонимус (?), 11-Янв-23, 01:50

Кто мешает не использовать раст?

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

65. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от Аноним1212 (?), 11-Янв-23, 07:53

Там же новое!! Это как на телефоне обновление приложения чтобы о нем помнили

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (88), 11-Янв-23, 01:50

И сидеть с дырявым карго?

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

131. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (30), 11-Янв-23, 19:14

а зачем тебе cargo?
люди 20 лет сидят без обновлений на дырявых дельфях, ещё и студентов активно науськивают

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (9), 11-Янв-23, 03:02

Например, программа Х собирается версией 1.25, но не собирается новой версией. А программа Y собирается только 1.45 и ни 1.25, ни новая версия не поможет. Итого, 3 компилятора одного языка в системе.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

56. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +5 +/–

Сообщение от анонимус (??), 11-Янв-23, 04:33

назови пример такой программы. мне никогда не встречались, хотя я на расте пишу активно

Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (17), 11-Янв-23, 22:27

> я на расте пишу активно
хеловорды не считаются за активность.

Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Советский инженер (?), 12-Янв-23, 10:30

Т.е. примера нет, да балабольчик?

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (52), 11-Янв-23, 03:27

Погоди лет 10, устаканится, тогда и можно будет посмореть что там за раст.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

128. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от mos87 (ok), 11-Янв-23, 18:52

фиг с ним пе*ерастом, браузер 10-летней свежести не поймёт ни слова на нынОшнем жабаскрипте
вот где ржака.
а какой-нибудь реакт полугодовой давности не совместим со следующим))
вэлкам ту зе джангл.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +13 +/–

Сообщение от Аноним (88), 10-Янв-23, 22:58

Не, ну тут ни раст ни его разработчики не винова^W... oh wait, shit

Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +3 +/–

Сообщение от Аноним (107), 11-Янв-23, 15:48

да, раст не виноват. Раст это язык программирования. Там что, переполнение буфера произошло в safe-режиме? Или язык программирования (сам, без разработчиков) должен был добавить код проверки сертификатов в один из (пусть и ключевых) проектов? А вот разработчики да, начудили. Как и все остальные разработчики на других ЯП периодически чудят. Это представь, что бы эти разработчики наворотили, если бы раст не отобрал у них возможность в дополнение накидать еще типичных ошибок сишных проектов, которых там 70%.

Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (124), 11-Янв-23, 17:37

Им сишники в git'е этих 70% типичных ошибок накидали, зачем они этим гитом пользуются?

Ответить | Правка | Наверх | Cообщить модератору

140. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от keydon (ok), 11-Янв-23, 22:28

Си тоже язык программирования, но почему-то для растоманов дыра в libname это "это дыра в си", а дыра в карго это "раст не виноват". Двуличность во всей красе.

Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

20. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –2 +/–

Сообщение от AlexCr4ckPentest (ok), 10-Янв-23, 23:47

Хотите добавить дыр в системе на C?
Просто выполните команду:
$ sudo pacman -S rust

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от Alladin (?), 10-Янв-23, 23:53

эмм, что?

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Илья (??), 11-Янв-23, 08:28

О, свидетели xorg, windows xp и строительства Карпат объявились

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

129. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от mos87 (ok), 11-Янв-23, 18:53

от свидетеля вяленда слышу

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от 1 (??), 11-Янв-23, 08:58

sudo: pacman: command not found

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

99. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от Аноним (99), 11-Янв-23, 12:43

pacman это игра такая, я её помню! Поищите в репах своего дистрибутива. Не понял только, зачем её запускать под sudo.

Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Kuromi (ok), 12-Янв-23, 01:35

Если запускать от рута, то пакман призраков жрать может!

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –2 +/–

Сообщение от ИмяХ (?), 11-Янв-23, 00:08

С чего это вдруг стало уязвимость? Это важная фича, которая используется в блокировщике рекламы Privaxy

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (45), 11-Янв-23, 02:09

не бывает такого блокировщика рекламы. бывают только uBlock/uMatrix и блокировка на стороне dns в лоб типа StevenBlack hosts или регекспами

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –2 +/–

Сообщение от YetAnotherOnanym (ok), 11-Янв-23, 02:28

> отсутствием проверки хостового открытого ключа
Зато без переполнений буфера, выхода за границы массива и обращения к освобождённой памяти. Пока, по крайней мере.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (59), 11-Янв-23, 05:53

А потом захочешь написать системное приложение опираясь на давно проверенные системные библиотеки и увидешь что там везде в обертках к ним лютый unsafe.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от YetAnotherOnanym (ok), 11-Янв-23, 11:45

Да я уже понял, что скоро придётся наступит растопесец. Надеюсь, к тому моменту я успею заработать себе на пенсию и свалить из IT.

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –3 +/–

Сообщение от burjui (ok), 11-Янв-23, 16:19

Можешь не дожидаться пенсии, у тебя уже логическое мышление и способность учиться сморщились. Иди в книжный магазин, будешь книжки рекламировать - например, "69 способов не наступить в UB на C++" Скотта Мейерса.

Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от YetAnotherOnanym (ok), 12-Янв-23, 11:53

Нее, я буду сидеть на диване с кофием и печеньками, и неспешно броузить новости о массовых взломах через уязвимости растософта, авторы которого поверили в сказку о безопасности раста.

Ответить | Правка | Наверх | Cообщить модератору

156. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от burjui (ok), 12-Янв-23, 17:56

Что угодно, лишь бы код не писать.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –3 +/–

Сообщение от burjui (ok), 11-Янв-23, 16:21

То ли дело C и C++, где в unsafe обёрнут весь код. Ну, местным экспертам это не мешает, ведь они  никогда не совершают ошибок и какают радугой.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

150. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (-), 12-Янв-23, 09:43

> Зато без переполнений буфера, выхода за границы массива и обращения к освобождённой
> памяти. Пока, по крайней мере.
Странно, в списке CVE софта на расте даже и такое есть. Как ни странно.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

155. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от YetAnotherOnanym (ok), 12-Янв-23, 11:57

Тссс! Зачем выдёргивать детей из сладкого плена иллюзий?

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –2 +/–

Сообщение от Аноним (48), 11-Янв-23, 02:39

А пацан-то взрослеет на глазах! Вот уже понял, что TOFU до добра не доведёт. Диды с сишкой ещё лет пять похихикают, а потом как мрлодые побегут за книжками на амазон.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (49), 11-Янв-23, 02:44

Что за прикол хранить пакеты на GitHub? Perlовский CPAN сам хранит пакеты и его можно легко целиком отзеркалить через rsync.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –3 +/–

Сообщение от Аноним (53), 11-Янв-23, 03:41

Ага, а ещё там мега удобно смотреть последние коммиты с начала 2000х, через зеркала svn, т.к. в ту пору еще
не было гита и патчи тупо присылали в мейлинг лист. Ну да, давай еще возродим Windows XP.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (49), 11-Янв-23, 04:09

Зачем возраждать xp, она итак жива и исходники есть. Что-то не нравится - правь и собирай.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (73), 11-Янв-23, 09:34

А ты пробовал? У тебя получилось?

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (49), 11-Янв-23, 10:24

Да. Все компилится кроме пинбола и winlogon.exe. Скопировал софт и игрушки в Live cd образ Reactos.

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от perl (??), 11-Янв-23, 10:19

> патчи тупо присылали в мейлинг лист
можно подумать это какое-то плохое действо (а может даже и не эффективное)

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

89. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от YetAnotherOnanym (ok), 11-Янв-23, 11:43

Свой гит поднять - не?

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

95. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –1 +/–

Сообщение от Аноним (49), 11-Янв-23, 12:08

На каждый пакет?

Ответить | Правка | Наверх | Cообщить модератору

153. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от YetAnotherOnanym (ok), 12-Янв-23, 11:49

> На каждый пакет?
Ога, отдельный сервер с гитом на каждый пакет, иначе никак.

Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от mos87 (ok), 11-Янв-23, 18:55

ну просто перлом занимаются умные но скучные люди
никто даже не знает, правильная ли у них ориентация! это нынче не катит.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

54. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –6 +/–

Сообщение от Аноним (53), 11-Янв-23, 03:44

Анти-растеры, пакетный менеджер от языка отличить можете? Или извилин понять новость не хватило?

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +5 +/–

Сообщение от растоман (?), 11-Янв-23, 04:38

Так карго же на этом расте и написан)

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (107), 11-Янв-23, 16:09

И? Раст (ЯП) должен был в проект карго сам, без программистов, код проверки сертификата впихнуть? И в любой другой проект, даже твой первый HelloWorld на расте он тоже эту проверку должен впихнуть? А может раст обязан был не позволить (любой?) программе скомпилироваться, если там этой проверки нет? А, наверное, там проблема с проверкой вышла из-за двойного освобождения памяти. Или неинициализированную память позволил использовать. Вот зараза.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +3 +/–

Сообщение от yet another anonymous (?), 11-Янв-23, 06:21

Как только в новости про раст не будет упоминаться cargo, и отношения между cargo и rust будут примерно такими же, как между каким-нибудь apt и gcc.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

63. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от EULA (?), 11-Янв-23, 06:25

Так ведь же пакетный менеджер на безопасном языке написан и не может содержать дыр. Или этодругое?

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

72. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (88), 11-Янв-23, 09:15

Дак вы ведь тож не можете отличить Сишку, от софта на ней написанного.
Кстати, а почему из новостей про раст пропало упоминание о том, что он позволяет безопасно работать с памятью?

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

92. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от freecoder (ok), 11-Янв-23, 11:49

Потому что это уже стало очевидно.

Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (107), 11-Янв-23, 16:32

Даже типы ошибок, совершаемые в раст-проектах, каждый раз подчеркивают сишникам их заблуждение, но не в коня корм. Хотя может они считают, что тонко троллят растоманов, не замечая, как жалко сишники-фанатики выглядят со своими утверждениями.

Ответить | Правка | Наверх | Cообщить модератору

148. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от 5к (?), 12-Янв-23, 08:02

Помнится кое-кто говорил, что ошибка есть понятие абсолютное, то есть она либо есть , либо нет, значит "типы" значения не имеют, а значит раст, как впрочем и все остальные, это просто еще один язык, и утверждать что он "не дает возможности совершить ошибку" , это как раз и есть глупость.
Обмотали автомобиль подушками и теперь у них безопастный транспорт, правда аэродинамика ниочем, и топлива жрет тягая лишьний вес, а еще мокнет под дождем и гниет, и прочее прочее. ну кому что.

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (104), 11-Янв-23, 14:55

Можно полный список от чего раст не защищает, что в него не входит и отношения к ЯП не имеет?
А то как хвалить, то "у нас есть удобный карго и безопасные библиотеки", "на расте удобно, быстро и безопасно разрабатывать".
А как уязвимости, так "карго это не язык", "это разрабы либы накосячили, отношения к расту не имеет".
Притом что это не мешало растоманам обвинять сишечку при уязвимости в либах, но это же не раст, "это другое".

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

112. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –2 +/–

Сообщение от burjui (ok), 11-Янв-23, 16:25

Это какие растоманы обвиняли синяков в уязвимостях, не связанных с некорректной работой с памятью?

Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (104), 11-Янв-23, 20:42

Тогда растоманы должны говорить: так это программист некорректно с памятью работал, а си не виноват.
А UB и вовсе задокументированы.

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Совершенно другой аноним (?), 11-Янв-23, 17:30

Можно вопрос - если пакетный менеджер отличается от языка почему его исправили в Rust 1.66.1, а не в каком-нибудь Cargo 1.66.1?

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

142. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от AKTEON (?), 12-Янв-23, 00:04

Предъявите  популярные  реализации Rust без Cargo

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

58. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +5 +/–

Сообщение от Бывалый смузихлёб (?), 11-Янв-23, 05:08

> Уязвимость вызвана отсутствием проверки хостового открытого ключа
Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают от логических и алгоритмических ошибок. Скорее, даже наоборот - способствуют, ведь чем больше гомнонаворотов, тем сложнее вникать в код

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (59), 11-Янв-23, 06:05

look! I'm a rust programmer
**&&&*&&***&&&***&println(*&&**&&**&&&****&"Hello World")*&&***&&;

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Anonimik (?), 11-Янв-23, 08:41

Ростовского unwrap на тебя нет)

Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от burjui (ok), 11-Янв-23, 16:25

Лучше drop.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +3 +/–

Сообщение от Аноним (71), 11-Янв-23, 09:10

println!

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

125. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от Аноним (125), 11-Янв-23, 18:48

Unsafe забыл, без него не заработает

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

74. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +3 +/–

Сообщение от НеЗахлебнись (?), 11-Янв-23, 10:06

Никто такого и не заявлял, так же как и привет теореме о неполноте Геделя с последующей проблемой останова и прочими веселостями типа дедлоков. Все что ржавый гарантирует - это то что в safe(от UB) коде не будет UB, что по современным реалиям уже невероятный эволюционный скачок.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

76. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от perl (??), 11-Янв-23, 10:22

хочешь сказать в рекламном буклете всё наврали?

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от НеЗахлебнись (?), 11-Янв-23, 10:48

Интересно и что вам там наплели?(или вы может сами чего додумали). Базовую теорию никто не отменял. Как и критическое мышление впрочем.

Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от burjui (ok), 11-Янв-23, 16:27

Сразу видно, что ты его не читал, т.к. обещали только безопасную работу с памятью. Типичное "не читал, но осуждаю".

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

120. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (107), 11-Янв-23, 16:44

> Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают от логических и алгоритмических ошибок.
и не должны были. Никто и не просил защиты "от логических и алгоритмических ошибок" ибо вменяемые люди понимают что на практике реализовать это невозможно. Но бОльшинство вменяемых разработчиков задолбалось разхлебывать 70% типично-сишных ошибок и обсуждаемая ошибка к ним не относится и языком ловиться не может и не должна. Ну не впендюривать же тебе автоматически в каждый проект проверку сертификатов, верно?
> Скорее, даже наоборот - способствуют, ведь чем больше гомнонаворотов, тем сложнее вникать в код
скорее наоборот, способствует тому, что ты больше над предметной областью и алгоритмами сконцентрируешься, а не будешь продираться через мешанину кода, разбирая, где тут логика алгоритма, а где проверка на выход за пределы буфера или "правильную ли я здесь арифметику указателями верчу?". Разработчики tor вон говорят что программировать стало быстрее и проще ибо часть проверок и гарантий перешла на плечи языка

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

143. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от деанон (?), 12-Янв-23, 00:16

бОльшинство разработчиков только-только с дерева слезли и решили, что они программисты, не имея понятия, что такое указатель.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (64), 11-Янв-23, 07:47

Просто надо было Cargo на расте писать, а не на этом вашем дырявом C++

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –1 +/–

Сообщение от Аноним (79), 11-Янв-23, 10:40

Просто надо было не заниматься ерундой и писать новый йэзыгъ потому что мы можем. А писать сразу тулинг для C++.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (98), 11-Янв-23, 12:43

Еще один? Это который уже по счету?

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Анонн (?), 11-Янв-23, 10:45

Печально, что ни один язык не может защитить от логических ошибок :( Потому что она может быть даже в модели, по которой проводилась верификация.
Но еще более печально, что тут столько комментаторов, не способных понять какие-то гарантии дает раст. Страшно представить какой код они пишут.

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –1 +/–

Сообщение от freecoder (ok), 11-Янв-23, 11:57

Они не пишут код, в лучшем случае - они собирают пакеты.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (87), 11-Янв-23, 11:32

>Уязвимость устранена в выпуске Rust 1.66.1, в котором была реализована проверка соответствия текущего открытого ключа SSH-сервера ключу, который использовался в прошлых сеансах.
Нужно вообще с Cargo список публичных ключей популярных сервисов поставлять.

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Нанонимус (ok), 11-Янв-23, 12:43

Ну хотя бы не buffer overflow.. Хотя, с обилием unsafe кода в библиотеках это чудо, что растовый код ещё не прославился подобным классом ошибок.
Надеюсь, юные растоманы, всё же, повзрослеют и со временем поймут, что никакая надёжная система не спасает от глупости. К сожалению, многим психологически сложно принимать реальность, поэтому растоманы никогда не кончатся и с них всегда можно будет посмеяться в комментариях, выслушивая их "раст гарантирует защиту от UB" (особенно с повсеместным unsafe, ага..), а так же то, почему для их т.н. "безопасности" весь язык обязательно должен иметь максимально уродский синтаксис. Весело, в общем, если бы не было так грустно..

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (17), 11-Янв-23, 14:01

> с обилием unsafe кода в библиотеках
просто их ещё не дообследовали.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –3 +/–

Сообщение от burjui (ok), 11-Янв-23, 16:32

Надеюсь, пожилые синяки всё же поумнеют и со временем (хотя, сколько уже прошло, а толку ноль) поймут, что Rust никогда не обещал отсутствия логических ошибок, а отсутствие UB он обещал для всего кода, кроме обёрнутого в unsafe, т.е. более 99% кода в типичном проекте. Грустно, в общем, если бы не было так смешно.

Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

121. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (98), 11-Янв-23, 16:49

Сам дернул пол-фразы про safe-код из контекста, сам и посмеялся/поплакал, молодец чо сказать. Синтаксис не сахар - да, но приемлимый(критикуя, предлагай). С unsafe в сообществе стараются бороться тулингом(advisory-db) и донося до всех, что ансейф это про оптимизации и соблюдение контрактов. Естественно раст не защищает от всех проблем, но гарантии компилятора(если в них разобраться) действительно мощные, особенно касательно ссылок(&) и многопоточного кода(Arc/Rc/etc) ценой перегруженного синтаксиса(по началу так кажется, да)

Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

147. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (124), 12-Янв-23, 02:02

Боже, да как же достало этот бред слушать про всякие проверки боров, ссылки и прочую чепуху.
Вот смотри, растофил. Есть у меня программа (допустим ядро), она запускается в Ring0, ей доступна вся память, к-ю видит CPU, а так же регистры устройств, подключенных по PCI, к примеру. И вот зачемм мне твой чекер боровов тут нужен, за какой памятью он тут следить будет, если она ВСЯ моя?
А если мне надо что-то типа такого сделать из этой моей программы?
int *p = (int*)0x56248d1b7139;
*p = 0xffffff;
Твой раст тут обгадится, очевидно.

Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от burjui (ok), 12-Янв-23, 18:03

let p = 0x56248d1b7139 as *mut i32;
unsafe {
    *p = 0xffffff;
}
Иди трусы стирай, ыксперт.

Ответить | Правка | Наверх | Cообщить модератору

158. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (124), 12-Янв-23, 18:59

дак тут же никакие проверка не работают, ыксперт

Ответить | Правка | Наверх | Cообщить модератору

159. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (124), 12-Янв-23, 19:04

дак тут же никакие проверка не работают, ыксперт. И нахер тогда нужен ваш сраст?
Создавался для тормозного браузера, там бы и оставался.

Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

160. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (124), 12-Янв-23, 19:09

Я имел ввиду без unsafe, чтоб почувствовать крутизну раста над сишкой. А ты мне показал какую-то шляпу. Иди сам стирай трусы

Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

161. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от burjui (ok), 12-Янв-23, 20:45

> Я имел ввиду без unsafe
Ой, ну началось, имел он ввиду... детский сад. Компилятору лучше расскажи, что ты имел ввиду, когда словишь очередной сегфолт. Правда, ты же у нас любитель полного контроля, когда вся память - твоя, поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.
> А ты мне показал какую-то шляпу
Давай, чтобы было максимально честно по твоей логике: с тебя миллион строк кода на C, в которых нет ни единого некорректного обращения к памяти, а с меня - запись по произвольному адресу на Rust без unsafe.

Ответить | Правка | Наверх | Cообщить модератору

163. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (124), 12-Янв-23, 21:11

Слушай, перестань уже всех людей судить по себе. Если ты постоянно лажаешь с памятью, это не значит что все тоже ПОСТОЯННО с ней лажают.
То, что ты показал - это шляпа, еще раз повторю. Ты следи за контексом обсуждения. С unsafe я знаю что можно записать данные по произвольному адресу, нахер ты мне это показываешь, Сишка тоже умеет так. Я просил сделать это без unsafe, потому что перед эти я упомянул Ring0. А если это сделать без unsafe нельзя, то нахер мне нужен еще один как-бы С, но с наркоманским синтаксисом?
Ты на вопрос то так и не ответил: нахер мне чекер боровов в ring0?
> поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.
в раст иначе?

> Давай, чтобы было максимально честно по твоей логике: с тебя миллион строк кода на C, в которых нет ни единого некорректного обращения к памяти, а с меня - запись по произвольному адресу на Rust без unsafe.
Ну раз ты предложил, то и первый показывай миллион строк на расте без unsafe, где пишутся данные в регистры какого-нить чипа, а тебе миллион того что ты просил. Вот так будет честно.

Ответить | Правка | Наверх | Cообщить модератору

164. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Анончик (?), 13-Янв-23, 04:43

>А если это сделать без unsafe нельзя, то нахер мне нужен еще один как-бы С, но с наркоманским синтаксисом?
Потому что поддерживать код дорого, когда язык тебя ограничивает меньше вероятность что ты накосячишь.

Ответить | Правка | Наверх | Cообщить модератору

166. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (124), 14-Янв-23, 02:24

> поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю.
Ыксперт, прежде, чем такой бред писать, ты хотя бы почитай (а лучше в универе поучись, а не в ПТУ) как работатет MMU, что такое TLB, ASID и т.п. Сразу видно - глупый растоман ничего не знающий, но мнение имеющий.

Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

162. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (124), 12-Янв-23, 20:47

> Правда, ты же у нас любитель полного контроля, когда вся память - твоя, поэтому тебе светит не сегфолт, а просто кривой код, который ты будешь отлаживать неделю
а как это в расте сделано?

Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

126. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +2 +/–

Сообщение от mos87 (ok), 11-Янв-23, 18:49

пора запилить единый пакето-манагер для всех язычков.

Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (17), 11-Янв-23, 19:44

100500 реализаций уже есть, но растаманы придумали и впилили в компилятор свой, с куртизанками и пасьянсом.

Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –1 +/–

Сообщение от Аноним (133), 11-Янв-23, 19:34

Можно подумать, что вам кто-то мешает взять любую версию Rust и написать своё ПО без внешних зависимостей. Весь вой от макак, которые привыкли халявить на чужих наработках, а сами по себе ни на что не способны.

Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (17), 11-Янв-23, 19:46

> и написать своё ПО без внешних зависимостей
а не получится, там даже рандом - внешний.

Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." –1 +/–

Сообщение от Аноним (30), 11-Янв-23, 21:10

дык напиши свой рандом

Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (17), 11-Янв-23, 22:29

зачем, если есть си?

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +/–

Сообщение от Аноним (98), 12-Янв-23, 01:57

Потому что нет UB и есть борроу-чекер

Ответить | Правка | Наверх | Cообщить модератору

165. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..." +1 +/–

Сообщение от Аноним (165), 13-Янв-23, 17:11

И какое это имеет отношение к отсутствию рандома в расте?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

6. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+14 +/–
Сообщение от Аноним (6), 10-Янв-23, 22:55
Кажется, к "don't roll your own crypto" надо добавить "don't reimplement SSH clients"
Ответить \| Правка \| Наверх \| Cообщить модератору


	101. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+1 +/–
	Сообщение от ivan_erohin (?), 11-Янв-23, 13:31
	"... and git clients too". такой модный язык, а использует наработки старперов. не позорно им ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	149. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (-), 12-Янв-23, 09:31
	Если б они это сами сделали, CVE было бы в 10 раз больше. Вон в матриксе славно похайповали, end-to-end шифрование в дефолтовой их либе вынесли. Такое вот крипто от хипстеров.
	Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
Сообщение от Аноним (9), 10-Янв-23, 22:58
> в выпуске Rust 1.66.1 Очень хороший язык, когда каждую неделю выходит новая версия и ломает совместимость со старой. Наверное, круто держать разные версии компилятора для разных программ.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+1 +/–
	Сообщение от НяшМяш (ok), 10-Янв-23, 23:17
	> выходит новая версия и ломает совместимость со старой Экспертиза от опеннет во всей красе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	–3 +/–
	Сообщение от Деанон (?), 10-Янв-23, 23:20
	Арчеводы тоже
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+2 +/–
	Сообщение от Аноним (17), 10-Янв-23, 23:31
	> теперь также выводится ошибка ... что может повлиять на работу автоматизированных систем сборки
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	86. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+4 +/–
	Сообщение от НяшМяш (ok), 11-Янв-23, 11:16
	А причём тут язык? Так можно и C++ пинать за то что CMake сделал какое-нибудь ломающее изменение.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+1 +/–
	Сообщение от Аноним (88), 11-Янв-23, 11:34
	Это к вопросу как растофилы фиксят баги.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	97. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+2 +/–
	Сообщение от анон (?), 11-Янв-23, 12:25
	Такого вопроса никто никогда не ставил, ты его сам себе придумал.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	105. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+1 +/–
	Сообщение от Аноним (105), 11-Янв-23, 15:04
	CMake не делает ломающих изменений. В CMake есть policy mechanism.
	Ответить \| Правка \| К родителю #86 \| Наверх \| Cообщить модератору


	114. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+1 +/–
	Сообщение от Вы забыли заполнить поле Name (?), 11-Янв-23, 16:27
	> CMake сделал какое-нибудь ломающее изменение Пример можешь привести?
	Ответить \| Правка \| К родителю #86 \| Наверх \| Cообщить модератору


	152. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от НяшМяш (ok), 12-Янв-23, 11:18
	> Пример можешь привести? Пример чисто гипотетический был, но я погуглил - и действительно старое нашлось: https://stackoverflow.com/questions/40915115/cmake-changes-b...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	96. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от freecoder (ok), 11-Янв-23, 12:12
	Ну такое нельзя зафиксить так, чтобы это не коснулось конечных пользователей.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	102. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (102), 11-Янв-23, 13:52
	можно, сейчас опеннет эксперты расскажут как.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	108. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от анон (?), 11-Янв-23, 15:49
	На этот вопрос так часто тут с пруфами отвечают, что его вырезает антиспам еще на этапе поста. Могу порекомендовать почитать мастер ветку с ответами разрабов, в приличном обществе за такие ответы можно потеряться в бочке с бетонном.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	30. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (30), 11-Янв-23, 00:30
	кто тебе мешает не использовать новую версию?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	33. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+7 +/–
	Сообщение от Admino (ok), 11-Янв-23, 01:03
	Дырени.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+7 +/–
	Сообщение от псевдонимус (?), 11-Янв-23, 01:50
	Кто мешает не использовать раст?
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	65. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+2 +/–
	Сообщение от Аноним1212 (?), 11-Янв-23, 07:53
	Там же новое!! Это как на телефоне обновление приложения чтобы о нем помнили
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (88), 11-Янв-23, 01:50
	И сидеть с дырявым карго?
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	131. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Аноним (30), 11-Янв-23, 19:14
	а зачем тебе cargo? люди 20 лет сидят без обновлений на дырявых дельфях, ещё и студентов активно науськивают
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+1 +/–
	Сообщение от Аноним (9), 11-Янв-23, 03:02
	Например, программа Х собирается версией 1.25, но не собирается новой версией. А программа Y собирается только 1.45 и ни 1.25, ни новая версия не поможет. Итого, 3 компилятора одного языка в системе.
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	56. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+5 +/–
	Сообщение от анонимус (??), 11-Янв-23, 04:33
	назови пример такой программы. мне никогда не встречались, хотя я на расте пишу активно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	139. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+1 +/–
	Сообщение от Аноним (17), 11-Янв-23, 22:27
	> я на расте пишу активно хеловорды не считаются за активность.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	151. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+/–
	Сообщение от Советский инженер (?), 12-Янв-23, 10:30
	Т.е. примера нет, да балабольчик?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+1 +/–
	Сообщение от Аноним (52), 11-Янв-23, 03:27
	Погоди лет 10, устаканится, тогда и можно будет посмореть что там за раст.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	128. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+2 +/–
	Сообщение от mos87 (ok), 11-Янв-23, 18:52
	фиг с ним пе*ерастом, браузер 10-летней свежести не поймёт ни слова на нынОшнем жабаскрипте вот где ржака. а какой-нибудь реакт полугодовой давности не совместим со следующим)) вэлкам ту зе джангл.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору

10. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+13 +/–
Сообщение от Аноним (88), 10-Янв-23, 22:58
Не, ну тут ни раст ни его разработчики не винова^W... oh wait, shit
Ответить \| Правка \| Наверх \| Cообщить модератору


	107. "Уязвимость в пакетном менеджере Cargo, применяемом в экосист..."	+3 +/–
	Сообщение от Аноним (107), 11-Янв-23, 15:48
	да, раст не виноват. Раст это язык программирования. Там что, переполнение буфера произошло в safe-режиме? Или язык программирования (сам, без разработчиков) должен был добавить код проверки сертификатов в один из (пусть и ключевых) проектов? А вот разработчики да, начудили. Как и все остальные разработчики на других ЯП периодически чудят. Это представь, что бы эти разработчики наворотили, если бы раст не отобрал у них возможность в дополнение накидать еще типичных ошибок сишных проектов, которых там 70%.
	Ответить \| Правка \| Наверх \| Cообщить модератору