The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Разбор логики активации и работы бэкдора в пакете xz"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от opennews (ok), 31-Мрт-24, 10:48 
Доступны предварительные результаты обратного инжиниринга вредоносного объектного файла, встроенного в liblzma в результате кампании по продвижению бэкдора в пакет xz. Изначально предполагалось, что бэкдор позволяет обойти аутентификацию в sshd и получить доступ к системе через SSH. Более детальный анализ показал, что это не так и бэкдор предоставляет возможность выполнить произвольный код в системе, не оставляя следов в логах sshd...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60885

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Разбор логики активации и работы бэкдора в пакете xz"  +48 +/
Сообщение от IdeaFix (ok), 31-Мрт-24, 10:48 
Так то красиво.... не васян делал, контора
Ответить | Правка | Наверх | Cообщить модератору

4. "Разбор логики активации и работы бэкдора в пакете xz"  +10 +/
Сообщение от аннаним (?), 31-Мрт-24, 10:54 
Очень сильно повезло что тормозило и стали копать.

Как понимаю, дистры будут закручивать гайки после такого.

Ответить | Правка | Наверх | Cообщить модератору

16. "Разбор логики активации и работы бэкдора в пакете xz"  +7 +/
Сообщение от Аноним (16), 31-Мрт-24, 11:24 
Интересно, как именно они будут это делать. Требовать паспорт с каждого разраба каждого пакета? Типа KYC идентификация.
Ответить | Правка | Наверх | Cообщить модератору

29. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от аннаним (?), 31-Мрт-24, 11:46 
Такая бюрократия не спасёт от криптопаяльника
Ответить | Правка | Наверх | Cообщить модератору

75. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Аноним (75), 31-Мрт-24, 15:20 
Пришлось испытать на себе
Ответить | Правка | Наверх | Cообщить модератору

37. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (37), 31-Мрт-24, 12:15 
KYC уже есть. Debian идентифицирует личности участников проекта, большое число проектов уже давно требуют DCO и/или CLA. Чтобы если с ними кто судиться вздумает — стрелки на автора патча перевести, это не проект нарушил ворох патентов, а автор патча!
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

155. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (155), 01-Апр-24, 17:28 
Что интересно, это не помогло им протащить дырень в дистрибутив) Суть дебиана в бумажной работе.
Ответить | Правка | Наверх | Cообщить модератору

187. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (187), 02-Апр-24, 15:40 
OpenPGP ключи: https://www.opennet.me/openforum/vsluhforumID3/133256.html#47
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

35. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (35), 31-Мрт-24, 12:12 
Нельзя исключать, что тормозило вот в том блоке, где  while ( 1 ), намеренно. Это позволило убрать бэкдор после того, как кого надо поломали. Вроде-бы невыгодно, гораздо выгоднее убрать по-тихому, не привлекая лишнего внимания и не паля технику ... но кто знает, может весь этот шум ради чего-то затевался, напр. ради паралича опенсорс-экосистемы из-за закручивания гаек.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

101. "Разбор логики активации и работы бэкдора в пакете xz"  +4 +/
Сообщение от Аноним (101), 31-Мрт-24, 17:39 
Цель явно была протащить это в стабильный ветки дистров, т.е. это было только начало.
Ответить | Правка | Наверх | Cообщить модератору

112. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (112), 31-Мрт-24, 19:55 
Ну так АНБ вроде не просто так опубликовало документ о нулевой терпимости к анонимам. У них там целая стратегия как разных людей идентифицировать. В их идеале вообще неидентфицированных не останется.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

113. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (113), 31-Мрт-24, 20:05 
А если за идентифицируемым можно следить и влиять на такого человека, так это вообще заявка на бога.
Ответить | Правка | Наверх | Cообщить модератору

160. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от crypt (ok), 01-Апр-24, 18:12 
> Очень сильно повезло что тормозило и стали копать.

а где описаны подробности, как спалили?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

195. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от anonymous (??), 02-Апр-24, 18:58 
https://www.opennet.me/opennews/art.shtml?num=60877
https://habr.com/ru/news/804163/
Ответить | Правка | Наверх | Cообщить модератору

7. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (7), 31-Мрт-24, 10:58 
У этого кода была куча проблем, потому и нашли. Не особо и качественный, получается. Профессионалы таких косяков не допускают. А ведь достаточно было проверять исходники на соответствие и сканировать их на предмет мутных eval.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

104. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от X512 (?), 31-Мрт-24, 18:17 
Скрипт расшифровки и запуска payload был спрятан в архиве с исходниками, в репозитории его не было. Так что это можно было распознать автоматическим сравнением коммита репозитория и архива с исходниками. GitHub и так делает архив со снимком исходников для каждого релиза, но любители системы сборки Autotools стремятся засунуть в архив с исходниками сгенерированный скрипт "configure" якобы для упрощения процеса сборки что в результате создаёт вектор атаки и упрощает сокрытие вредоносного кода.
Ответить | Правка | Наверх | Cообщить модератору

20. "Разбор логики активации и работы бэкдора в пакете xz"  +8 +/
Сообщение от Максим (??), 31-Мрт-24, 11:30 
Ну почему? В 90-х, например, были очень красивые полиморфные и шифрующиеся вирусы под MS-DOS, так что не стоит недооценивать силу Васянов)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (7), 31-Мрт-24, 11:39 
Да и сейчас такое есть. Экзешник немного модифицируется и ни один антивирь его не палит, а если не палит, можно уже устраивать атаки уже на него. Единственная проблема доставка пользователю.
Ответить | Правка | Наверх | Cообщить модератору

52. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (52), 31-Мрт-24, 13:31 
наоборот, у антивирусов это первая проверка по базе md5 (контрольных сумм) чистых экзе^W бинарников.
Ответить | Правка | Наверх | Cообщить модератору

81. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (7), 31-Мрт-24, 15:38 
Одно другому не мешает, не то чтобы можно не проверять уже известный бинарь и не то чтобы можно было проанализировать все миллиарды новых присылаемых бинарей каждый день.
Ответить | Правка | Наверх | Cообщить модератору

44. "Разбор логики активации и работы бэкдора в пакете xz"  +5 +/
Сообщение от mumu (ok), 31-Мрт-24, 12:35 
На борьбе с которыми поднялись конторы вроде кашперовского и теперь в каждом стандарте по ИБ значится, что их продукты (с закрытым проприетарным кодом) должны стоять на каждой машине каждого периметра всех объектов КИИ.
Никакого заговора, просто васяновщина...
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

45. "Разбор логики активации и работы бэкдора в пакете xz"  +9 +/
Сообщение от mumu (ok), 31-Мрт-24, 12:40 
Настроил такой идеальный, абсолютно защищенный сервер. Все запатчено, весь код просмотрен, подписан и верифицирован, все файрволы настроены. В общем идеал идеалович.
И тут приходит безопасник и говорит, что я обязан поставить на этот сервак антивирус (и это не только наши фсб-шные хотелки, это и nist и pci), который будет на регулярной обязательной основе скачивать какой-то код из интернета, который невозможно никак проверить, и исполнять этот код внутри себя каким-то своим особым образом. И никакого заговора, чистая васяновщина, да.
Довольный-лысый-мужик-потирает-щёчки.jpg
Ответить | Правка | Наверх | Cообщить модератору

46. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (-), 31-Мрт-24, 12:53 
На рабочий ставьте, только пусть безопасник это не говорит, а напишет приказ.
Ответить | Правка | Наверх | Cообщить модератору

61. "Разбор логики активации и работы бэкдора в пакете xz"  +4 +/
Сообщение от Lui Kang (?), 31-Мрт-24, 14:22 
Приходилось ставить Касперского одному заказчику по требованию их безопасников.
Касперский в Linux, модульно работает. В нём есть разные модули, например сканнер сетевого трафика, который режет пакеты и ломает сеть. Пришлось отключить соответствующий модуль.
На серверах БД, часто возникала проблема, что активно работающие БД сильно тормозил Касперский своими сканированиями, пришлось задать в специальное  исключение пути и процессы БД, чтобы он оставил их в покое.
Таким образом мы фактически свели на нет его работу, он как бы и установлен по требованию безопасников, но толку от него нет, ему выкрутили максимально руки.
Видел Linux сервера, где Касперский установлен, но из его модулей работает только модуль проверки его лицензии, все другие модули отключены...
Зато безопасники спокойны, что соблюли требования какие то :)
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

73. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (-), 31-Мрт-24, 15:06 
Если вы устанавливаете этот антивирус на сервер, вы (какая ирония!) открываете его для дополнительных бэкдоров, созданных благодаря Антивирусу Касперского. Смех, да и только!
Ответить | Правка | Наверх | Cообщить модератору

99. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Lui Kang (?), 31-Мрт-24, 17:06 
Тут главное, что это всех устраивает, бекдор никого не волнует.  

Это стандартная практика, когда security софт ставят не сами безопасники, они, как правило, не хотят сами ничего такого делать. Им важен отчёт для галочки, больше ничего.  Хотя, если к безопасности подходить по уму надо вообще кардинально по другому всё делать, антивируса недостаточно, нужно систему максимально хардерить (о слова Hardening), а безопасники на это положить... если они вообще знают, что это такое.

Ответить | Правка | Наверх | Cообщить модератору

111. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (111), 31-Мрт-24, 19:53 
Тут главное иметь письменный приказ безопасника, чтобы не быть виноватым.
Ответить | Правка | Наверх | Cообщить модератору

116. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от anonymous (??), 31-Мрт-24, 20:49 
Ну у современных безопасников часто бывает "для галочки". Порой эти введения больше мешают работать, чем реально добавляют безопасности.

Всё потому что безопасностью никто не хочет заниматься. Это скучная и неблагодарная работа, которую незаметно на первый взгляд. Поэтому туда и идут только специалисты второго сорта, которых не взяли в разрабы/девопсы или вовсе бывшие чекисты.

Хотелось бы переломить эту ситуацию, но пока имеем что имеем.

Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

137. "кто такие безопасники на самом деле"  +1 +/
Сообщение от vthwf.obq (-), 01-Апр-24, 07:33 
> безопасники, они, как правило, не хотят сами ничего такого делать

О, как это знакомо! В нашей конторе отдел безопасников это искусственное инордное образофание, внедренное для дополнительного контроля ИТ-направления и мал-мала махинаций с госзакупками; состоит из гебешников, у них такая  командировка называется, кажется, "Аппарат прикомандированных сотрудников" (АПС) или "Офицеры действующего резерва" (ОДР) - типа, "мы тожа кагбэ Штирлицы, но на родной скотобазе", плюс несколько спецов-айтишников, которые тянут на себе всю работу. Квалификация такого отдела в целом, конечно, ниже плинтуса. Думаю, в РФ везде такое же.

Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

139. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от User (??), 01-Апр-24, 08:26 
В большинстве мест, где я работал - безопасники выдавали требования (Вида чрезвычайно расплывчатого, полученные путем выкопировки из мутных документов госорганов) под которые можно было подтянуть примерно все, что угодно - и "Контрольные функции оставляю за собой".
Вы там эта... сделайте все хорошее против всего плохого - а если что, то мы вас накажем(Ц)
Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

102. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Sw00p aka Jerom (?), 31-Мрт-24, 17:39 
> Таким образом мы фактически свели на нет его работу, он как бы и установлен по требованию безопасников, но толку от него нет, ему выкрутили максимально руки.

Могу вас поздравить, вы "стрелочник", когда будет ЧП, к вам в дверь стучать будут.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

123. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Lui Kang (?), 31-Мрт-24, 23:02 
> Могу вас поздравить, вы "стрелочник", когда будет ЧП, к вам в дверь стучать будут.

Не, я "прохаваный". Разумеется, я все аппрувы на эти действия получил от всех и ответственность не на мне.

Ответить | Правка | Наверх | Cообщить модератору

128. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Sw00p aka Jerom (?), 01-Апр-24, 00:19 
> Не, я "прохаваный".

Ну "спите спокойно", а шо там с "безопасТностью" дело последнее.

Ответить | Правка | Наверх | Cообщить модератору

121. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (121), 31-Мрт-24, 22:25 
А нельзя ли безопасникам донести что лучше удалить бесполезный антивирь? Или до руководства что толку от такой безопасности не много. Ну или работу поменять. Зачем так жить?
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

127. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Sw00p aka Jerom (?), 01-Апр-24, 00:18 
> Ну или работу поменять. Зачем так жить?

ну да в место настройщика стать безопасТником :)


Ответить | Правка | Наверх | Cообщить модератору

100. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Sw00p aka Jerom (?), 31-Мрт-24, 17:36 
> Настроил такой идеальный, абсолютно защищенный сервер. В общем идеал идеалович.

Так вы настройщик или идеал-идеалович безопасТник?

> И тут приходит безопасник и говорит

И с какого бодуна, усли вы настройщик-идеал-идеалович безопасник.

пс: Настройщик ведь исполняет требования, в том числе и требования безопасников.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

130. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от mumu (ok), 01-Апр-24, 02:11 
Ну кроме крутилок гаек и любителей копипаст с консультант.ру есть ещё там всякие профессионалы, эксперты, аналитики, просто хорошие умные люди.
Даже не все бесполезники плохие, они часто транслируют не своё мнение, а то что написано в принятых на высшем уровне стандартах. Одно "импортозамещение" чего стоит. Когда-нибудь видели счастливого от импортозамещения безопасника? Рыдают от счастья просто.
Ответить | Правка | Наверх | Cообщить модератору

141. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Sw00p aka Jerom (?), 01-Апр-24, 10:05 
>Когда-нибудь видели счастливого от импортозамещения безопасника?

а вы видели когда-нибудь сытого африканца?

>Одно "импортозамещение" чего стоит.

Самодурство, есть такое прекрасное слово.

пс: В лес беги, когда дурак свалился с печи!

Ответить | Правка | Наверх | Cообщить модератору

120. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (120), 31-Мрт-24, 22:13 
сколько себя помню, clamav'ом затыкали бюрократическую дыру в pci dss.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

129. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Sw00p aka Jerom (?), 01-Апр-24, 00:20 
> сколько себя помню, clamav'ом затыкали бюрократическую дыру в pci dss.

а шо есть псиай дсс апрувед антивири?

Ответить | Правка | Наверх | Cообщить модератору

133. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (120), 01-Апр-24, 02:57 
>> сколько себя помню, clamav'ом затыкали бюрократическую дыру в pci dss.
> а шо есть псиай дсс апрувед антивири?

нет. а шо?

Ответить | Правка | Наверх | Cообщить модератору

142. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Sw00p aka Jerom (?), 01-Апр-24, 10:06 
а то, вспомнилась шутка про жвачку и дырку на МКС :)
Ответить | Правка | Наверх | Cообщить модератору

202. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (120), 04-Апр-24, 01:58 
> а то, вспомнилась шутка про жвачку и дырку на МКС :)

это больше говорит о вашем (не)понимании предмета. требования сертификации пишут одни люди, имплементируют другие. огороженому unix-серверу антивирус как пятая нога, поэтому аудиторам замазывают глаза для галочки кламавом на каком-нибудь майлсервере уже хз сколько лет, везде, все.
Про каких-нибудь, прости господи, виндузятников не говорю. У них там своя кухня. Жвачка это или нет - опять же, ваше непонимание предмета. Объяснять почему не буду, не в коня лопата. :)

Ответить | Правка | Наверх | Cообщить модератору

203. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Sw00p aka Jerom (?), 04-Апр-24, 02:22 
> поэтому аудиторам замазывают глаза для галочки

аа вот оно что, я то думал они с "залитыми" уже приходят :)


Ответить | Правка | Наверх | Cообщить модератору

204. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (120), 04-Апр-24, 02:30 
>> поэтому аудиторам замазывают глаза для галочки
> аа вот оно что, я то думал они с "залитыми" уже приходят
> :)

зависит от страны, наверное) я пахал на загнивающем в основном. трудно обмылить всё до аудита, если аудит заказывают сами инвесторы, причем с двумя разными инфосек компаниями. Это если я тя правильно понял. :-D

Ответить | Правка | Наверх | Cообщить модератору

2. "Разбор логики активации и работы бэкдора в пакете xz"  +23 +/
Сообщение от Аноним (2), 31-Мрт-24, 10:49 
Т.е. я правильно понимаю ситуацию - какой-то ноунейм пришёл и без проблем напросился мейнтейнером в проект, используемый в практически любом дистре, подмял его под себя, засунул туда бекдор и ни у кого не возникало никаких вопросов? При этом выяснилось все благодаря чистой случайности. Ноунейм накосячил в своём бекдоре, что привлекло внимание чела из майкрософта и он со скуки таки раскопал что к чему. А если бы не накосячил, или тот чел из майкрософта решил пойти попить пива вместо ковыряния в коде xz, то никто ничего не обнаружил бы.
Страшно представить, сколько таких ноунеймов сидят во всей этих тысячах опенсорсных проектов и ждут своего часа выкатить вредоносный патч.
Ответить | Правка | Наверх | Cообщить модератору

5. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (5), 31-Мрт-24, 10:55 
Разумеется, без проблем. Потому что под дурака косить — это обно из любимых самооправданий злоумышленников.
Ответить | Правка | Наверх | Cообщить модератору

6. "Разбор логики активации и работы бэкдора в пакете xz"  +4 +/
Сообщение от Аноним (6), 31-Мрт-24, 10:56 
А прикинь сколько таких бекдоров уже зашито? Не все же неудачники как он
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

14. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (16), 31-Мрт-24, 11:19 
Ну и не факт, что он только в одном проекте сидел. Может у него ещё десяток таких, где он пока не спалился. А если там ещё и целая компания таких бекдорщиков...
Ответить | Правка | Наверх | Cообщить модератору

9. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (7), 31-Мрт-24, 11:02 
А если это акция МС? Вон и в венде libarchive с бэкдорами нашли уже, они либо совсем поехавшие эту дрянь кривую тянуть вообще куда-то, либо целенаправленно выбирают максимально грязный опенсорс.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

38. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (38), 31-Мрт-24, 12:17 
по-моему не кривая и удобная либа.
Ответить | Правка | Наверх | Cообщить модератору

83. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (7), 31-Мрт-24, 15:41 
> по-моему не кривая и удобная либа.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=libarchive

М это только малая часть творящегося в ней ужаса, волосы стоят дыбом когда видишь как её пихают повсюду. А ещё она битые файлы собственного формата продуцирует.

Ответить | Правка | Наверх | Cообщить модератору

11. "Разбор логики активации и работы бэкдора в пакете xz"  –5 +/
Сообщение от Аноним (11), 31-Мрт-24, 11:04 
Тысячи дистрибутивов, сотни мейнтейнеров, весь исходный код доступен и открыт и при этом вообще никто не проверяет НИЧЕГО. Тысячи глаз... скорее 1 случайность. За что они вообще пожертвования получают?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

12. "Разбор логики активации и работы бэкдора в пакете xz"  +4 +/
Сообщение от Аноним (16), 31-Мрт-24, 11:17 
Всё так. Мантра про опенсорс открытый значит кто угодно может прочитать и потому там не может быть уязвимостей - не более чем буллшит. Никто ничего не читает, и открытость кода гарантирует ровно ничего.
Ответить | Правка | Наверх | Cообщить модератору

19. "Разбор логики активации и работы бэкдора в пакете xz"  +15 +/
Сообщение от Аноним (19), 31-Мрт-24, 11:26 
И всё равно это лучше, чем проприетарщина.
Ответить | Правка | Наверх | Cообщить модератору

180. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от This Misaka (?), 02-Апр-24, 11:19 
Разарбов проприетарщины ты хоть, в большинстве случаев, к юридической ответственности принудить можешь, особенно если они продают свое поделие легальными способами

А что ты можешь сказать условному человеку, который мало того что через 3 впна сидит, так еще и успел создать трех твинков что бы стравить прошлого мейнттейнера?

Ответить | Правка | Наверх | Cообщить модератору

23. "Разбор логики активации и работы бэкдора в пакете xz"  +11 +/
Сообщение от Аноним (23), 31-Мрт-24, 11:32 
> Никто ничего не читает

Это правда

> и открытость кода гарантирует ровно ничего.

А это ложь. Открытость кода гарантирует, что код открыт. В закрытом коде даже прятать и извращаться с шелл-скриптами не пришлось бы

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

34. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от ProfessorNavigator (ok), 31-Мрт-24, 12:10 
> Никто ничего не читает, и открытость кода гарантирует ровно ничего.

Ответьте на один простой вопрос: зачем код закрывать?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

40. "Разбор логики активации и работы бэкдора в пакете xz"  –2 +/
Сообщение от Аноним (40), 31-Мрт-24, 12:27 
Чтобы продать. Не все же воздухом свободы питаются.
Ответить | Правка | Наверх | Cообщить модератору

48. "Разбор логики активации и работы бэкдора в пакете xz"  –4 +/
Сообщение от ProfessorNavigator (ok), 31-Мрт-24, 12:57 
> Чтобы продать. Не все же воздухом свободы питаются.

Во-от. О том и речь. Код закрывается исключительно для получения личной наживы, больше ни для чего. И это на самом деле - воровство. В любом случае. Потому что вы берёте всё, что было создано людьми за всё время их существования и говорите: "Это моё, и только моё!" Но оно ведь не ваше - в этом мире нет вообще ничего вашего. Даже то, к чему вы приложили свой труд - не ваше. По одной простой причине - чтобы вы могли прилагать свой труд, вас сначала нужно вырастить, воспитать и обучить. А также предоставить вам необходимые инструменты - компьютер, язык программирования, компилятор/интерпретатор, операционную систему, еду, воду, жильё, рабочее место, электроэнергию. Всё это сделано, произведено и доставлено вам, но не лично вами. А значит и всё, что вы производите - уже не только ваше. Потому что без перечисленного выше списка предоставленных вам обществом ресурсов вы ничего создать не сможете.

Теперь касательно оплаты. Действительно, никто ни "воздухом свободы", ни святым духом питаться не может. Т.е. в обмен на ваш труд вы должны от общества получать необходимые для вашего существования ресурсы. В каком объёме? А пропорционально затраченному вами на труд времени. Кто будет платить? Вопрос чуть сложнее - с одной стороны по идее это должны делать непосредственно пользователи вашей программы. С другой - а сколько конкретно каждый будет платить? Вы затратили на создание программы n часов, и, допустим, первый же пользователь оплачивает ваш труд полностью. Тогда получается, что все затраты ложатся только на него. Но ведь могут быть и другие. В таком случае нужно распределять вашу зарплату и на них. Однако это сделать невозможно - мы не знаем, сколько всего их будет. Каков же выход? А он очень простой на самом деле - распределить вашу зарплату на всё общество целиком. Потому что, создав программу, вы помогаете не только её непосредственным пользователям, но и всему обществу в целом - пользователи ведь создадут свою продукцию с помощью вашей программы, она пригодится кому-то ещё, и т.д. Как создать такую экономическую систему, чтобы всё сказанное работало - подумайте сами, будет полезно.

Ответить | Правка | Наверх | Cообщить модератору

54. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (40), 31-Мрт-24, 13:49 
> Даже то, к чему вы приложили свой труд - не ваше.

Молодец. Номер карты, фио, дату и cvc напишите, пожалуйста. Ведь деньги на ней всё равно ваши...

Ответить | Правка | Наверх | Cообщить модератору

56. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (40), 31-Мрт-24, 13:52 
"Не ваши", хотел написать. Яндекс клавиатура в сравнении с Xperia - ужас.
Ответить | Правка | Наверх | Cообщить модератору

69. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от ProfessorNavigator (ok), 31-Мрт-24, 14:38 
> "Не ваши", хотел написать. Яндекс клавиатура в сравнении с Xperia - ужас.

Да, не мои. Но. Что такое деньги? Это средства обмена ресурсами (если коротко, подробней - смотрите здесь: http://samlib.ru/editors/b/bobylew_j_w/society.shtml#TOC_id2...). Что показывают деньги в моих руках (на карте/в кошельке - неважно)? Что я осуществил некий общественно полезный труд и теперь имею право получить от общества определённое количество ресурсов для поддержания собственного существования. Это в идеале. Однако здесь нужно учитывать современный механизм ценообразования - цена отражает не объективные трудозатраты на производство товара, а лишь то, что мы думаем о его ценности для нас. Тогда как значение имеют именно трудозатраты, а точнее - рабочее время, потраченное на производство чего-либо. И именно за него мы платим на самом деле. Но это я немного в сторону отклонился.

Так вот - деньги не мои, но общество должно выделить мне необходимые для моего существования ресурсы. Потому что я трудился, внёс свой вклад в "общую" копилку, и теперь мне нужно скомпенсировать мои трудозатраты. Иначе я тупо сдохну. А это уже не в интересах общества - чем больше людей, тем больше они производят, тем больше прибавочный продукт, а значит - тем больше количество материальных и не материальных благ, доступных каждому члену общества. Т.е. я имею право на получение денег, а также на их трату по своему усмотрению. Но при этом они моей собственностью не являются.

Ответить | Правка | Наверх | Cообщить модератору

70. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (40), 31-Мрт-24, 14:47 
А какой
> некий общественно полезный труд

Осуществили и прочие лица, у которых "средств обмена ресурсами" больше, чем у всех нас?

Ответить | Правка | Наверх | Cообщить модератору

71. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (40), 31-Мрт-24, 14:48 
* Олигархи и прочие лица...
Ответить | Правка | Наверх | Cообщить модератору

78. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 31-Мрт-24, 15:35 
> * Олигархи и прочие лица...

Не в бровь, а в глаз. Я не зря написал выше про механизм ценообразования. Именно он позволяет получить в личный доступ человека ресурсов гораздо больше, чем было произведено им ранее (по эквиваленту). И это ни что иное, как паразитизм. Обсуждение того, что с этим делать и как, сегодня осуждается УК большинства стран мира (про все утверждать не возьмусь - кто его знает, что там и где понаписано). Но один вариант известен - поинтересуйтесь историей за 1917 год (это ответ на вопрос "Как?"). Не обязательно точь-в-точь, но, боюсь, в текущих реалиях чего-то подобного происходившему тогда уже не избежать никак.

"Правильный" же вариант ответа на вопрос "Что должно получиться в итоге?": сколько отработал человек, столько и получил. Независимо от занимаемой должности, или от чего-либо ещё. Количество отработанного измеряется рабочим временем. Там также нужно учитывать производительность труда, чтобы всё нормально работало, но это вы, если интересно, можете найти по ссылке из предыдущего моего поста - мне в десятый раз одно и то же переписывать лень.

Ответить | Правка | Наверх | Cообщить модератору

84. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (40), 31-Мрт-24, 15:48 
> Количество отработанного измеряется рабочим временем.

шахтёр вкалывал неделю в забое, потом спустил почти всё заработанное на час возни с красивой бабой. равноценный обмен?

Ответить | Правка | Наверх | Cообщить модератору

154. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 01-Апр-24, 17:26 
> шахтёр вкалывал неделю в забое, потом спустил почти всё заработанное на час
> возни с красивой бабой. равноценный обмен?

Во-первых, пример неудачный. Потому что если будет реализовано всё предложенное, и как надо реализовано, то у женщины не возникнет необходимости продавать себя за деньги.
Во-вторых, нет - не равноценный. Мадам работала один час, значит и должна получить столько же, сколько получает шахтер за час, а не за неделю.

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

169. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (169), 01-Апр-24, 20:17 
> я осуществил некий общественно полезный труд и теперь имею право получить от общества определённое количество ресурсов для поддержания собственного существования

Права тоже не имеешь. Может быть ты сможешь меня убедить продать тебе хлеб за рупь. А может и не сможешь, и купишь за пять. А может и вовсе вот тебе лично не продам, и попробуй меня заставить. И другим тоже скажу чтобы тебе не продавали. Они как и я, сами себе на уме, но иногда мы прислушиваемся к советам друг друга, особенно когда дело касается таких вот как ты, любителей посчитать чужое.

Ответить | Правка | Наверх | Cообщить модератору

170. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от ProfessorNavigator (ok), 01-Апр-24, 20:34 
> Права тоже не имеешь.

Почему вдруг не имею? Покупать что-либо я ведь буду у государства, а не у вас лично. И продавать тоже - государству. И зарплату мне тоже будет платить государство. Как и вам за ваш хлеб. И заставлять мне никого не придётся. Вам комбайн нужен, чтобы зерно для изготовления хлеба получить? Нужен. А я (гипотетически) рабочий на заводе, который эти комбайны изготавливает. И без меня никакого комбайна не будет - гайки крутить кто-то должен.

Если хотите подробней - смотрите здесь: http://samlib.ru/editors/b/bobylew_j_w/society.shtml


Ответить | Правка | К родителю #169 | Наверх | Cообщить модератору

188. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 02-Апр-24, 15:51 
"Профессор" разрешите спросить: что было первым, курица или яйцо??
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

192. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 02-Апр-24, 17:09 
> "Профессор" разрешите спросить: что было первым, курица или яйцо??

Вы как-то слишком издалека заходите. Говорите прямо, чего хотите сказать, или не морочьте всем голову.

PS
Первой однозначно была курица (при этом она был не совсем курица) - эволюционная биология вам в помощь.

Ответить | Правка | Наверх | Cообщить модератору

207. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 04-Апр-24, 23:15 
>> "Профессор" разрешите спросить: что было первым, курица или яйцо??
> Вы как-то слишком издалека заходите. Говорите прямо, чего хотите сказать, или не
> морочьте всем голову.
> PS
> Первой однозначно была курица (при этом она был не совсем курица) -
> эволюционная биология вам в помощь.

"профессор" а откуда взялась ПЕРВАЯ курица?? Я к тому что теория эволюции - дьявольская ложь.
Если человек произошел от обезьяны (а они не скрещиваются) то укажите от кого произошли шимпанзе??
И, будьте любезны - укажите предков дельфинов и китов - тоже МЛЕКОПИТАЮЩИХ...Что посеешь - то и пожнешь

Ответить | Правка | Наверх | Cообщить модератору

209. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 05-Апр-24, 00:23 
> "профессор" а откуда взялась ПЕРВАЯ курица?? Я к тому что теория эволюции
> - дьявольская ложь.
> Если человек произошел от обезьяны (а они не скрещиваются) то укажите от
> кого произошли шимпанзе??
> И, будьте любезны - укажите предков дельфинов и китов - тоже МЛЕКОПИТАЮЩИХ...Что
> посеешь - то и пожнешь

И бог(боги), и дьявол существуют лишь у вас в голове. По остальному - почитайте учебники (рекомендую начать со школьных, затем перейти к вузовским, также рекомендую почитать Достающее звено С.В. Дробышевского). И да, на сколько мне известно, человек не происходил от обезьяны. У нас были общие предки, но обезьянами в строгом смысли они не являются. С шимпанзе наши дорожки "разошлись", если опять же правильно помню, порядка десяти миллионов лет назад. Всё это известно уже не одно десятилетие, подтверждено многочисленными находками. Разница может быть только в деталях - за давностью лет и из-за особенностей эволюционного процесса точные даты вряд ли когда-то станут известны. Ну и по мере накопления научных данных кое-что уточняется. Но сам принцип и так сказать схема процесса никаких сомнений не вызывают. Если кто-то утверждает обратное, он либо мошенник, либо невежда, либо сумасшедший.


Ответить | Правка | Наверх | Cообщить модератору

211. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 05-Апр-24, 01:52 
>[оверквотинг удален]
> также рекомендую почитать Достающее звено С.В. Дробышевского). И да, на сколько
> мне известно, человек не происходил от обезьяны. У нас были общие
> предки, но обезьянами в строгом смысли они не являются. С шимпанзе
> наши дорожки "разошлись", если опять же правильно помню, порядка десяти миллионов
> лет назад. Всё это известно уже не одно десятилетие, подтверждено многочисленными
> находками. Разница может быть только в деталях - за давностью лет
> и из-за особенностей эволюционного процесса точные даты вряд ли когда-то станут
> известны. Ну и по мере накопления научных данных кое-что уточняется. Но
> сам принцип и так сказать схема процесса никаких сомнений не вызывают.
> Если кто-то утверждает обратное, он либо мошенник, либо невежда, либо сумасшедший.

"профессор" по существу ответьте - не уходите в сторону. Для справки - у меня высшее образование. Вы и воздуха не видите: что же его не существует?? Так как первокурица появилась??
Проблема: чтобы появилась ДНК нужна другая ДНК. Вопрос: как возникли первоДНК??(Ведь когда-то вселенной не было - то что мы подразумеваем под вселенной - четырехмерный пространственно-временной континуум. Когда-то и планеты Земля и Солнца не было...) Ответьте?? И еще: живое зарождается ТОЛЬКО от живого (опыты Пастера - это после выхода книжонки Дарвина доказано).
Таких фактов вагон и телега. Посмотрите фильм Яхья - Крах теории эволюции (стамбульский УНИВЕРСИТЕТ)


Ответить | Правка | К родителю #209 | Наверх | Cообщить модератору

212. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 05-Апр-24, 02:00 
> "профессор" по существу ответьте - не уходите в сторону.

Уже ответил - учебники вам в помощь. Или психиатр. Я бы на всякий случай сходил сначала ко второму. Если всё в порядке, тогда занялся бы первым. Если ни то, ни другое не поможет, то у меня для вас плохие новости...

Ответить | Правка | К родителю #211 | Наверх | Cообщить модератору

214. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 05-Апр-24, 02:07 
>> "профессор" по существу ответьте - не уходите в сторону.
> Уже ответил - учебники вам в помощь. Или психиатр. Я бы на
> всякий случай сходил сначала ко второму. Если всё в порядке, тогда
> занялся бы первым. Если ни то, ни другое не поможет, то
> у меня для вас плохие новости...

Значит пишем: по существу не ответил, позволял себе оскорбительные намеки...

Ответить | Правка | К родителю #212 | Наверх | Cообщить модератору

215. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 05-Апр-24, 02:14 
> Значит пишем: по существу не ответил, позволял себе оскорбительные намеки...

Да я не намекаю, я практически открытым текстом говорю)) А по остальному - попробуйте М. Никитина "Происхождение жизни. От туманности до клетки". Но лучше всё же для начала учебники - там достаточно сложная биохимия, без подготовки не разберётесь.

Ответить | Правка | К родителю #214 | Наверх | Cообщить модератору

216. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 05-Апр-24, 02:16 
>> Значит пишем: по существу не ответил, позволял себе оскорбительные намеки...
> Да я не намекаю, я практически открытым текстом говорю)) А по остальному
> - попробуйте М. Никитина "Происхождение жизни. От туманности до клетки". Но
> лучше всё же для начала учебники - там достаточно сложная биохимия,
> без подготовки не разберётесь.

хорошо просмотрю - при условии что и вы посмотрите УНИВЕРСИТЕТСКИЙ фильм Харун Яхья - Крах теории эволюции. Устроит??

Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору

218. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 05-Апр-24, 02:25 
> хорошо просмотрю - при условии что и вы посмотрите УНИВЕРСИТЕТСКИЙ фильм Харун
> Яхья - Крах теории эволюции. Устроит??

Забавно)) Мы не на торге, не хотите читать - не читайте. Мне всё равно - это вам надо, а не мне.


Ответить | Правка | К родителю #216 | Наверх | Cообщить модератору

217. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 05-Апр-24, 02:20 
>> Значит пишем: по существу не ответил, позволял себе оскорбительные намеки...
> Да я не намекаю, я практически открытым текстом говорю)) А по остальному
> - попробуйте М. Никитина "Происхождение жизни. От туманности до клетки". Но
> лучше всё же для начала учебники - там достаточно сложная биохимия,
> без подготовки не разберётесь.

Для справки: я - победитель районки по биологии и республики по физике

Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору

219. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 05-Апр-24, 02:29 
> Для справки: я - победитель районки по биологии и республики по физике

И это ровно ни о чём не говорит. Всё течёт, всё изменяется.


Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору

189. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 02-Апр-24, 15:51 
"Профессор" разрешите спросить: что было первым, курица или яйцо??
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

57. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от ProfessorNavigator (ok), 31-Мрт-24, 13:54 
> Молодец. Номер карты, фио, дату и cvc напишите, пожалуйста. Ведь деньги на
> ней всё равно ваши...

Что сказать то хотели, уважаемый?


Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

76. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от WE (?), 31-Мрт-24, 15:22 
говорит, что похоже на рассуждения грязных хиппи.
Ответить | Правка | Наверх | Cообщить модератору

80. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 31-Мрт-24, 15:37 
> говорит, что похоже на рассуждения грязных хиппи.

А какая разница - чьи рассуждения? Как это влияет на их истинность/ложность?

Ответить | Правка | Наверх | Cообщить модератору

87. Скрыто модератором  +/
Сообщение от Аноним (87), 31-Мрт-24, 15:53 
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

90. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (-), 31-Мрт-24, 16:10 
Надеюсь ты всю жизнь работал бесплатно.
И от пенсии тоже отказался, тк ты апросто взял "всё, что было создано людьми за всё время их существования" и возможно добавиль чуть-чуть сверху.
И то не факт, что оно было полезное.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

156. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 01-Апр-24, 17:28 
> Надеюсь ты всю жизнь работал бесплатно.
> И от пенсии тоже отказался, тк ты апросто взял "всё, что было
> создано людьми за всё время их существования" и возможно добавиль чуть-чуть
> сверху.

А это всё здесь причём?

> И то не факт, что оно было полезное.

Это не мне решать))


Ответить | Правка | Наверх | Cообщить модератору

163. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (-), 01-Апр-24, 18:47 
> А это всё здесь причём?

А при том, что ты обвиняешь людей, которые создают что-то новое (да, на фундаменте, но все равно новое) в воровстве.
> Код закрывается исключительно для получения личной наживы, больше ни для чего. И это на самом деле - воровство.

И я надеюсь что такой честный человек как вы, ничего не украли, и работали исключительно бесплатно всю жизнь.

> Потому что вы берёте всё, что было создано людьми за всё время их существования и говорите: "Это моё, и только моё!" Но оно ведь не ваше - в этом мире нет вообще ничего вашего.

Я беру фундамент старого дома и строю на нем новый.
А иногда приходится и сам фундамент выкорчевывать, тк его строили плохо.

> Даже то, к чему вы приложили свой труд - не ваше.

А тут я могу просто и без зазрений совести постать тебя на Хурд, к прочим коммунякам.
Т.к я свой труд ценю. Я много учился чтобы делать качественно. А тут такие заявления.

Ответить | Правка | Наверх | Cообщить модератору

166. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 01-Апр-24, 19:32 
> А при том, что ты обвиняешь людей, которые создают что-то новое (да,
> на фундаменте, но все равно новое) в воровстве.

Если они не закрывают код - нет не обвиняю. В противном случае - это именно воровство. Можете опровергнуть - опровергайте. Пока никаких аргументов против этого утверждения вы так и не привели.

> И я надеюсь что такой честный человек как вы, ничего не украли,
> и работали исключительно бесплатно всю жизнь.

Воровать - не воровал никогда. А вот насчёт работать бесплатно - с чего бы вдруг? По-моему я довольно наглядно описал, почему каждый трудящийся имеет право на получение ресурсов за свой труд. И в каком именно количестве.

> Я беру фундамент старого дома и строю на нем новый.
> А иногда приходится и сам фундамент выкорчевывать, тк его строили плохо.

И что? Вы всё равно базируетесь на знаниях, накопленных за всю историю человечества. И дом вы строите не с нуля. Вы же сами глину не добываете? Разработав перед этим все необходимые инструменты и изготовив их? Или быть может вы строите дом голышом? Или всё же в одежде? Которую для вас кто-то сшил?

> А тут я могу просто и без зазрений совести постать тебя на
> Хурд, к прочим коммунякам.
> Т.к я свой труд ценю. Я много учился чтобы делать качественно. А
> тут такие заявления.

Да, конечный продукт вашего труда - не ваш. Если быть до конца точным - он принадлежит обществу. Членом которого вы являетесь, т.е. - и ваш тоже. Но полностью вам он принадлежать не может. Общество может доверить вам распоряжаться им по своему усмотрению, но при этом он отнюдь не переходит в вашу собственность.

В остальном - вы можете посылать меня куда угодно, от меня не убудет. Или обвинять коммунистов в чём угодно - от них тоже. Суть от этого не поменяется: коммунисты дали людям космос, ГОЭЛРО, мирный атом, города. А такие, как вы - множество войн, нацизм, фашизм, разруху и вымирание целых народов.


Ответить | Правка | Наверх | Cообщить модератору

184. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (-), 02-Апр-24, 13:09 
> Если они не закрывают код - нет не обвиняю. В противном случае - это именно воровство. Можете опровергнуть - опровергайте. Пока никаких аргументов против этого утверждения вы так и не привели.

Бремя доказательства лежит на обвиняющем. Вы обвиняете меня и прочих людей в воровстве.
Ладно если бы в нежелании делиться, но нет, именно в воровстве.
Может у вас свое "особенное" определение воровства, которое отличается от всего что мне попадалось что в УК, что в религиозных книгах.
Так докажите, что это воровство!

> Воровать - не воровал никогда. А вот насчёт работать бесплатно - с чего бы вдруг? По-моему я довольно наглядно описал, почему каждый трудящийся имеет право на получение ресурсов за свой труд. И в каком именно количестве.

То что было написано "В каком объёме? А пропорционально затраченному вами на труд времени." это реально 'тут мерилом работы считают усталость')).
Возьмем 2 рабочих. Один из них будет 10 часов носить кирпичи, а второй возьмет тачку и сделает работу за 2 часа и лежит книжки читает. По вашей логике больше "ресурсов" должен первый.
Или взять меня, который для того чтобы делать работу быстро и качественно учился 10 лет. А мой сокурсник тоже учился 10 лет, но работает продавцом на рынке.
Как определить сколько "ресурсов" должен получать каждый?

> И что? Вы всё равно базируетесь на знаниях, накопленных за всю историю человечества. И дом вы строите не с нуля. Вы же сами глину не добываете? Разработав перед этим все необходимые инструменты и изготовив их? Или быть может вы строите дом голышом? Или всё же в одежде? Которую для вас кто-то сшил?

И? Это не делает дом достоянием общественности.

> Да, конечный продукт вашего труда - не ваш.

Звучит как бред)

> Если быть до конца точным - он принадлежит обществу. Членом которого вы являетесь, т.е. - и ваш тоже. Но полностью вам он принадлежать не может.

Я могу приготовить пирожок и сьесть в одно лицо.
И обществу достанутся только отходы моей жизнедеятельности (это конечно тоже удобрение, но я бы его за пирожок не считал).

> Общество может доверить вам распоряжаться им по своему усмотрению, но при этом он отнюдь не переходит в вашу собственность.

Еще как переходит. Я сделал себе палку копалку, и никому ее просто так не отдам.

> Суть от этого не поменяется: коммунисты дали людям космос, ГОЭЛРО, мирный атом, города. А такие, как вы - множество войн, нацизм, фашизм, разруху и вымирание целых народов.

Так коммми и шашики это братья!
Кто был союзником с 39 по 41год? С кем делили полльяков? Кто и с кем проводил парад в Бресте?
А массовые уббийства и терррор? Лагеря смерти гуллагга?
Шарашки, где убивали лучших людей типа Королева? Насильственное переселение целых народов?
Я уже молчу, что коммми хватило только на земную орбиту, а капитализм доставил человека на луну.

Ответить | Правка | Наверх | Cообщить модератору

185. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от ProfessorNavigator (ok), 02-Апр-24, 13:58 
> Так докажите, что это воровство!

Уже доказал (если нужно ещё подробней, то читайте здесь: http://samlib.ru/editors/b/bobylew_j_w/society.shtml#TOC_id2...). А вот вы никаких контраргументов так и не привели.

> То что было написано "В каком объёме? А пропорционально затраченному вами на
> труд времени." это реально 'тут мерилом работы считают усталость')).
> Возьмем 2 рабочих. Один из них будет 10 часов носить кирпичи, а
> второй возьмет тачку и сделает работу за 2 часа и лежит
> книжки читает.

2 часа работал - получит за два часа. Или мне нужно очевидные вещи объяснять? Тогда это уже не ко мне - я к сфере медицины и к психиатрии никакого отношения не имею, с такими людьми работать не обучен.

> И? Это не делает дом достоянием общественности.

Ещё как делает. Потому что без "общественности" не было бы вас и ресурсов, необходимых для постройки, а значит и дома.

> Звучит как бред)

Обоснуйте. Иначе это просто попытка оскорбить собеседника. Оскорбление - признание собственно неправоты. В общем-то на этом можно было бы и закончить, однако мне скучно, поэтому - продолжим.

> Я могу приготовить пирожок и сьесть в одно лицо.
> И обществу достанутся только отходы моей жизнедеятельности (это конечно тоже удобрение,
> но я бы его за пирожок не считал).

И что? Я разве не написал выше, что общество должно выделять вам ресурсы для поддержания вашего существования? Это в его же интересах.

> Еще как переходит. Я сделал себе палку копалку, и никому ее просто
> так не отдам.

Если вы живёте один - никаких проблем. А если в группе, понадобится - заберут, и ничего спрашивать не будут. Если так решит группа. Почему так - тоже не вариант, читайте здесь: http://samlib.ru/editors/b/bobylew_j_w/cap.shtml.

> Так коммми и шашики это братья!

Да что вы говорите)) "Вот ты и попался, гад ползучий". А если серьёзно - дайте определение фашизму и коммунизму, потом поговорим.

> Кто был союзником с 39 по 41год? С кем делили полльяков? Кто
> и с кем проводил парад в Бресте?

Союзником, серьёзно? Садитесь - по истории у вас кол, оставляем на второй год. И это уже почти не шутка - почитайте, что реально тогда происходило, потом поговорим. Заодно потом друзьям объясните разницу между союзом и пактом о ненападении.

> А массовые уббийства и терррор? Лагеря смерти гуллагга?

Этот бред разобран уже сотни раз, с научными обоснованиями и документальными свидетельствами. Поэтому я даже ничего писать тут не буду - захотите, сами найдёте, нет - жизнь всё равно рано или поздно покажет кто был прав, а кто - нет. Правда, не факт, что все ученики доживут до момента осмысления полученных уроков - жизнь очень жестокий учитель.

> Шарашки, где убивали лучших людей типа Королева? Насильственное переселение целых народов?

Прям убивали)) Так, что Солженицына аж от рака зачем-то вылечили. Наверное, чтобы удовольствие растянуть. А переселение народов - да, было. И на мой взгляд - это ошибка и трагедия. Но судить я никого не возьмусь - я тогда не жил, и не видел, что происходило. А также читал например "Стратегический очерк Великой Отечественной войны 1941-1945 гг.", подготовленный для Генштаба. И у меня волосы на голове шевелились. А ведь там ничего такого, просто сухое изложение событий и фактов. Если же потом послушать рассказы, например людей, переживших блокаду Ленинграда... Честно - таких, как вы, удавить хочется. Но я этого не делаю, потому что понимаю, что состояние вашей головы - это не только ваша вина.  

> Я уже молчу, что коммми хватило только на земную орбиту, а капитализм
> доставил человека на луну.

"Луна" - пишется с большой буквы. Если вы конечно имели ввиду спутник Земли. А по сути вопроса: если не дурак, ответ найдёте сами, почему получилось именно так, а не иначе. Нет - да мне в общем без разницы, что вы об этом думаете. В конце концов поговорка "Жизнь дураков ничему не учит" - вполне верная.


Ответить | Правка | Наверх | Cообщить модератору

186. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (-), 02-Апр-24, 15:00 
>> Так докажите, что это воровство!
> Уже доказал (если нужно ещё подробней, то читайте здесь: http://samlib.ru/editors/b/bobylew_j_w/society.shtml#TOC_id2...).
> А вот вы никаких контраргументов так и не привели.

Разве?
Я могу приверсти как аргумент статью 158 УК РФ, или даже библию (чего мне делать не хотелось бы).
Там четко написано что такое воровство, а что такое нет.
Считать доказательством какую-то книжку в интернете - это слишком круто.

> 2 часа работал - получит за два часа. Или мне нужно очевидные вещи объяснять? Тогда это уже не ко мне - я к сфере медицины и к психиатрии никакого отношения не имею, с такими людьми работать не обучен.

Понятно.
Т.е мы будем награждать не за объем выполенного труда, а за просиживание штанов.
Штож, медицина тут бессильна, боюсь даже психиатрия не поможет.
Зато становится ясно, почему совок развалился)

> Ещё как делает. Потому что без "общественности" не было бы вас и ресурсов, необходимых для постройки, а значит и дома.

А если я попал на необитаемый остров в одних драных труселях и пострил дом там?
Что ж вы крутителсь как уж на сковородке? Боитесь признать что я, постороивший дом, ничего этому обществу не должен?

>> Звучит как бред)
> Обоснуйте. Иначе это просто попытка оскорбить собеседника. Оскорбление - признание собственно неправоты.

А не это же самое вы написали чуть выше? Попытка принизить собеседника: "Или мне нужно очевидные вещи объяснять? Тогда это уже не ко мне - я к сфере медицины и к психиатрии никакого отношения не имею"
Я построил дом, своими руками.
Ресурсы на его постройку я зарабатывал сам или получил от моих родителей.
С какого перепугу он теперь общественный?

> И что? Я разве не написал выше, что общество должно выделять вам ресурсы для поддержания вашего существования? Это в его же интересах.

А кто будет определять кол-во ресурсов? А кто будет их распределять?
Уже проходили страшные дни, когда рабочий люд получает клеб с опилками, а ЧКшник получает мясо.
Возможно вы жили в какой-то идеальной стране и вам не приходилось стоять в очередях часами за дефицитом, договариваться за товары "из-под-полы" или стоять в очереди за автомобилем 8 лет.
Что ж, я могу позавидовать вашей сытой жизни!

>> Еще как переходит. Я сделал себе палку копалку, и никому ее просто > так не отдам.
> Если вы живёте один - никаких проблем. А если в группе, понадобится - заберут, и ничего спрашивать не будут. Если так решит группа.

А если группа решила "каждый себе сделавший копалку, ею обладает и никто не може у него ее забрать, а то его всей группой бить будем" ?
Что в общем-то подпадает под свод законов и правил.

>> Так коммми и шашики это братья!
> Да что вы говорите)) "Вот ты и попался, гад ползучий". А если серьёзно - дайте определение фашизму и коммунизму, потом поговорим.

Так поэтому и братья, а не знак равенства!
А общего у них довольно много.
Например если посмотреть на фашизм Муссолини, то он начинал с социализма, но когда пришел к фашизму, то програма его партии включала в частности: "создание органов власти, управляемых представителями рабочих", "принуждение землевладельцев обрабатывать свои земли либо экспроприация земель с последующей передачей кооперативам фермеров", "установление прогрессивного налога на капитал, эквивалентного одноразовой частичной экспроприации всех богатств".
Что-то напоминает, не правда ли?

Если говорить про нацизм гитлеровской германии, то тут тоже есть довольно интересные пересечения: например, отец нации который почти бог, единая партия, единая официальная идеология, поиск врагов внешних и внутренних, политика террора, широтое использование лагерей (в частности лагерей смерти).

>> Кто был союзником с 39 по 41год? С кем делили полльяков? Кто и с кем проводил парад в Бресте?
> Союзником, серьёзно? Садитесь - по истории у вас кол, оставляем на второй год. И это уже почти не шутка - почитайте, что реально тогда происходило, потом поговорим.

Хм.. давайте посмотрим.
Есть два стула, т.е два государства.
Они заключают пакт, в секретных протоколах договариваются о разделе третего государства.
Договариваются напасть одновременно (одни в силу безалаберности опаздывают на 17 дней, а может делает специально).
После этого они захватывают страну, немцы передают советам бресткую крепость и проводят, под предводительством генералов Хайнца Гудериана и Семёна Кривошеина совместный германо-советскоий военный парад в Брест-Литовске.
Очевидно что они не были союзниками, и все произошедшее это просто случайность! (сарказм если что).

> Заодно потом друзьям объясните разницу между союзом и пактом о ненападении.

А протоколы к пакту вы учитываете или нет?

>> А массовые уббийства и терррор? Лагеря смерти гуллагга?
> Этот бред разобран уже сотни раз, с научными обоснованиями и документальными свидетельствами.
> Поэтому я даже ничего писать тут не буду - захотите, сами найдёте, нет - жизнь всё равно рано или поздно покажет кто был прав, а кто - нет.

Да, конечно никаких лагерей не было. И массовых убийств тоже не было.
Так просто откуда-то появились братские могилы с черепами застрелиеными в затылок.

> Правда, не факт, что все ученики доживут до момента осмысления полученных уроков - жизнь очень жестокий учитель.

Согласен, к сожалению многие ничему не научились.
И теперь уже новый фашизм напал на соседнюю страну рано утром, как завещал фюррер.

> Прям убивали)) А переселение народов - да, было. И на мой взгляд - это ошибка и трагедия. Но судить я никого не возьмусь - я тогда не жил, и не видел, что происходило.

О, эталонное "всей правды мы никтогда не узнаем" помноженное на "на верху знают что делают"

> А также читал например "Стратегический очерк Великой Отечественной войны 1941-1945 гг.", подготовленный для Генштаба. И у меня волосы на голове шевелились. А ведь там ничего такого, просто сухое изложение событий и фактов.

Это вы про то как в начале войны массово сдавались в плен?
Или как потом заваливали мясов окопы врага? Без обмундирования и оружия?

> Если же потом послушать рассказы, например людей, переживших блокаду Ленинграда... Честно -
> таких, как вы, удавить хочется. Но я этого не делаю, потому что понимаю, что состояние вашей головы - это не только ваша вина.

А там было про меню в столовой Смольного? Или это неудобная правда)?
Я уже молчу что на нюрнбергском процессе прокурорам СССР не удалось доказать вину немцев.
Неужели вы их обвините в предвзятости или халатности?
Или будете отрицать результаты Нюрнбергского процесса?

А вот в начале 50х было "Ленинградское дело", может вы о нем слышали. Где оказалось что куча народу работавших во время блокады секретарями райкомов партии, председателями райисполкомов и даже более высокие должности оказались предателями.
Какая неожиданность.
(Это я к распределению ресурсов за труд и то кто и как будет их распределять)
Правда буквально через 4 года, после смерти усцатого тирана в своей же луже, оказалось что признания из них добавались пытками...

> Нет - да мне в общем без разницы, что вы об этом думаете.

А чего так много написали?))
> В конце концов поговорка "Жизнь дураков ничему не учит" - вполне верная.

Согласен, а у нас на руси их на 100 лет вперед припасено.
Сейчас они удобряют соседские черноземы, я а не знаю как буду друзьям в глаза смотреть. Если они доживут до момента, когда мы наконец-то сможем встретиться.


Ответить | Правка | Наверх | Cообщить модератору

108. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (169), 31-Мрт-24, 19:01 
А что, есть много желающих купить _код_? На ум приходят примерно 3,5 проекта типа Винды, у которых исходники представляют какой-то интерес, да и то больше с целью поиска уязвимостей, нежели пересборки для последующей перепродажи. Код как таковой давно уже никому не интересен, интересно только оптимальное решение бизнес-задач при имеющихся ограничениях. Поэтому Azure и O365 приносят за год Майкрософту больше денег, чем весь остальной их бизнес вместе взятый.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

124. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (124), 31-Мрт-24, 23:03 
> А что, есть много желающих купить _код_?

а эту вот страницу тебе _код_ рисует? исходный? или всё-таки сделанный из него *продукт* (браузер называется)?
понятно, что на ланете "Опенсорс" эти понятия почти тождественны (как мука и хлеб из неё), но Вселенная Софта всё же пошире вашей планеты...
так вот, вне вашейесли у тебя нет муки, хлеб ты сможешь изпечь разве что из спор грибов. но всегда можешь купить готовый хлеб да...

Ответить | Правка | Наверх | Cообщить модератору

125. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (124), 31-Мрт-24, 23:07 
да что ж такое...

* вне вашей планеты

а если кому-то хлеб покажется особенно вкусным - можно ему продать весь хлебозавод...

Ответить | Правка | Наверх | Cообщить модератору

148. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от aname (?), 01-Апр-24, 11:29 
Поставьте нормальную клавиатуру
Ответить | Правка | Наверх | Cообщить модератору

171. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (169), 01-Апр-24, 20:36 
Плохой аргумент про муку и хлеб: код не является физическим объектом, как и созданные из него артефакты. Так что да, эту страницу мне рисует код. Исходный. После обработки другим исходным кодом, и так до самого ALU, где можно наконец-то впервые разглядеть какое-то физическое явление, да и то происходящее в микромире, в котором понятия «мука» и «хлеб» определить невозможно.
Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

64. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (64), 31-Мрт-24, 14:28 
> За что они вообще пожертвования получают?

А сколько Ваших пожертвований они получили?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

97. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (97), 31-Мрт-24, 17:00 
ну а кто должен за тебя проверять. ты же не стал
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

79. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (75), 31-Мрт-24, 15:36 
>какой-то ноунейм пришёл и без проблем напросился мейнтейнером в проект, используемый в практически любом дистре, подмял его под себя

Убедл предшествующего мейнтейнера в его некомпетентности и неспособности руководить проектом. Тот безропотно согласился и добровольно ушёл.
Вот в чём сила CoC, брат!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

91. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (-), 31-Мрт-24, 16:13 
Если мейнтейнер тряпка, то что с CoCом, что без CoCа он бы свой проект отдал.

А может человек просто устал и ему проект просто надоел, но врожденная обязательность не позволяла бросить.

Но это уже не важно, тк это просто показало, как супер-важный-пакет пилится двумя васянами, один из которых аноним, да еще и засланец.

Ответить | Правка | Наверх | Cообщить модератору

115. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от YetAnotherOnanym (ok), 31-Мрт-24, 20:31 
> мейнтейнер тряпка

Он просто устал и мухожук.

Ответить | Правка | Наверх | Cообщить модератору

179. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от минона (?), 02-Апр-24, 11:10 
> Если мейнтейнер тряпка

У него проблемы со здоровьем:

"... I haven't lost interest but my ability to care has been fairly limited mostly due to longterm mental health issues but also due to some other things. Recently I've worked off-list a bit with Jia Tan on XZ Utils and perhaps he will have a bigger role in the future, we'll see.

It's also good to keep in mind that this is an unpaid hobby project..."

В целом, это атака не на конкретного ментейнера или конкретный код, а на модель bazaar как таковую. Опенсорс — он весь построен из таких кубиков, которые берутся в расчёте на добросовестность изготовителей этих кубиков.

Впрочем, нынче количество опенсорсных библиотек таково, что в самой лютой проприетарщине они используются.

Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

3. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (3), 31-Мрт-24, 10:50 
>JavaScript Required

Нифига не доступны.

Ответить | Правка | Наверх | Cообщить модератору

8. "Разбор логики активации и работы бэкдора в пакете xz"  –10 +/
Сообщение от Аноним (40), 31-Мрт-24, 10:59 
> shell-скрипт
> grep head tail tr sed awk

может, пора уже выпилить этот колхоз из системы?

Ответить | Правка | Наверх | Cообщить модератору

10. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (7), 31-Мрт-24, 11:04 
Согласен, одно баша было бы достаточно, а пользователи устаревших шеллов пусть страдают.
Ответить | Правка | Наверх | Cообщить модератору

175. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от mos87 (ok), 02-Апр-24, 07:53 
>Согласен, одно bat было бы достаточно
Ответить | Правка | Наверх | Cообщить модератору

194. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Аноним (194), 02-Апр-24, 18:42 
Хм, придумал для троллинга: там где сделали Sed, Мелкомягких хватило только на Bat. Когда Билл Г. понял бесповоротность случившегося плохого, то отошёл от дел и крупно занялся благотворительностью.

Вот так вот: Венда - это трагедия неудачи. ;)))))))))))))))))

Ответить | Правка | Наверх | Cообщить модератору

60. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (60), 31-Мрт-24, 14:03 
Подсказать систему без этого колхоза? Там, правда, сделали аналог и туда сунули сразу дотнет, чтоб неповадно было.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

193. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (194), 02-Апр-24, 18:37 
> может, пора уже выпилить этот колхоз из системы

Нет, не пора.

Этими инструментами работы с текстами пользуются талантливые разработчики. Остальным _кажутся_ не нужным.

Ещё это функционал API администрирования. Утилиты текстом сообшают в std. out. и std. err., а эти утилиты служат для разбора ответа.

Что точно пора, так это перестать программировать на шелл и идти учить саму систему и язык системы Си и Раст.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от vitalif (ok), 31-Мрт-24, 11:17 
PLOT TWIST

Выясняется что это АНБ, оно отправляет зондеркоманду к исходному автору ХЗ, и он впиливает обратно более лучшую версию бэкдора :DD

Ответить | Правка | Наверх | Cообщить модератору

22. Скрыто модератором  +/
Сообщение от Аноним (22), 31-Мрт-24, 11:31 
Ответить | Правка | Наверх | Cообщить модератору

24. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (7), 31-Мрт-24, 11:34 
А в принципе вообще лишняя зависимость (и неоправданно тормозная), везде где было lzma вместо deflate, сейчас заменяется на zstandard. Если так смотреть, то в основном помойные пакеты завязаны, вроде гнома и гномолиб на расте (вместе с самим растом). Пара околосистемных либ тоже правда.


  app-arch/xz-utils-5.4.2 pulled in by:
    @system requires app-arch/xz-utils
    app-accessibility/at-spi2-core-2.50.2 requires app-arch/xz-utils
    app-arch/libarchive-3.7.2-r2 requires >=app-arch/xz-utils-5.2.5-r1[abi_x86_64(-)]
    app-misc/mc-4.8.30-r2 requires app-arch/xz-utils
    app-portage/eix-0.36.7-r1 requires app-arch/xz-utils
    app-portage/elt-patches-20240324 requires app-arch/xz-utils
    cross-i686-linux-musl/linux-headers-6.6-r1 requires app-arch/xz-utils
    cross-x86_64-linux-musl/linux-headers-6.6-r1 requires app-arch/xz-utils
    dev-build/gtk-doc-am-1.33.2 requires app-arch/xz-utils
    dev-debug/gdb-14.2 requires app-arch/xz-utils
    dev-lang/python-3.11.8_p1 requires app-arch/xz-utils:=, app-arch/xz-utils:0/0=
    dev-lang/rust-1.76.0-r1 requires >=app-arch/xz-utils-5.2
    dev-libs/boost-1.84.0-r3 requires app-arch/xz-utils:0/0=[abi_x86_64(-)], app-arch/xz-utils:=[abi_x86_64(-)]
    dev-libs/elfutils-0.191 requires >=app-arch/xz-utils-5.0.5-r1[abi_x86_64(-)]
    dev-libs/glib-2.78.4-r1 requires app-arch/xz-utils
    dev-libs/gmp-6.3.0-r1 requires app-arch/xz-utils
    dev-libs/gobject-introspection-1.78.1 requires app-arch/xz-utils
    dev-libs/gobject-introspection-common-1.78.1 requires app-arch/xz-utils
    dev-libs/isl-0.26 requires app-arch/xz-utils
    dev-libs/json-glib-1.8.0 requires app-arch/xz-utils
    dev-libs/libltdl-2.4.7-r1 requires app-arch/xz-utils
    dev-libs/libxml2-2.12.6 requires app-arch/xz-utils
    dev-libs/libxslt-1.1.39 requires app-arch/xz-utils
    dev-libs/libzip-1.9.2 requires app-arch/xz-utils
    dev-perl/Compress-Raw-Lzma-2.206.0 requires app-arch/xz-utils
    dev-python/pygobject-3.46.0 requires app-arch/xz-utils
    dev-util/desktop-file-utils-0.27-r1 requires app-arch/xz-utils
    dev-util/diffball-1.0.1-r2 requires app-arch/xz-utils
    dev-util/gdbus-codegen-2.78.4-r1 requires app-arch/xz-utils
    dev-util/glib-utils-2.78.4 requires app-arch/xz-utils
    dev-util/perf-6.8 requires app-arch/xz-utils
    dev-util/rizin-0.7.1 requires app-arch/xz-utils
    dev-util/xdelta-3.0.11-r1 requires app-arch/xz-utils:=, app-arch/xz-utils:0/0=
    games-emulation/pcsx2-1.7.5312 requires app-arch/xz-utils
    games-simulation/openttd-13.4 requires app-arch/xz-utils
    gnome-base/gsettings-desktop-schemas-45.0 requires app-arch/xz-utils
    gnome-base/librsvg-2.57.3 requires app-arch/xz-utils
    kde-frameworks/karchive-5.115.0 requires app-arch/xz-utils
    media-gfx/gimp-2.10.36-r2 requires app-arch/xz-utils
    media-gfx/imagemagick-7.1.1.25 requires app-arch/xz-utils
    media-gfx/pngcrush-1.8.13 requires app-arch/xz-utils
    media-libs/flac-1.4.3 requires app-arch/xz-utils
    media-libs/gexiv2-0.14.2 requires app-arch/xz-utils
    media-libs/libcanberra-0.30-r7 requires app-arch/xz-utils
    media-libs/tiff-4.6.0 requires >=app-arch/xz-utils-5.0.5-r1[abi_x86_64(-)]
    media-sound/moc-2.6_alpha3-r6 requires app-arch/xz-utils
    net-irc/hexchat-2.16.2 requires app-arch/xz-utils
    net-libs/glib-networking-2.78.1 requires app-arch/xz-utils
    net-libs/libtirpc-1.3.4-r2 requires app-arch/xz-utils
    net-misc/aria2-1.37.0 requires app-arch/xz-utils
    net-misc/wget-1.21.4 requires app-arch/xz-utils
    net-misc/whois-5.5.21 requires app-arch/xz-utils
    sci-libs/mkl-2023.0.0.25398 requires app-arch/xz-utils[extra-filters]
    sys-apps/coreutils-9.5 requires app-arch/xz-utils
    sys-apps/ethtool-6.7 requires app-arch/xz-utils
    sys-apps/file-5.45-r4 requires app-arch/xz-utils[abi_x86_64(-)]
    sys-apps/iproute2-6.6.0-r3 requires app-arch/xz-utils
    sys-apps/kmod-32-r1 requires >=app-arch/xz-utils-5.0.4-r1
    sys-apps/man-db-2.12.0 requires app-arch/xz-utils
    sys-apps/net-tools-2.10 requires app-arch/xz-utils
    sys-apps/sandbox-2.38 requires app-arch/xz-utils
    sys-apps/shadow-4.14.6 requires app-arch/xz-utils
    sys-devel/crossdev-20240209 requires app-arch/xz-utils
    sys-devel/m4-1.4.19-r2 requires app-arch/xz-utils
    sys-fs/ddrescue-1.27 requires >=app-arch/xz-utils-5.4.0
    sys-kernel/linux-headers-6.6-r1 requires app-arch/xz-utils
    sys-libs/gpm-1.20.7-r6 requires app-arch/xz-utils
    x11-libs/gdk-pixbuf-2.42.10-r1 requires app-arch/xz-utils
    x11-libs/gtk+-2.24.33-r3 requires app-arch/xz-utils
    x11-libs/gtk+-3.24.41 requires app-arch/xz-utils
    x11-libs/wxGTK-3.2.2.1-r3 requires app-arch/xz-utils
    x11-themes/gnome-themes-standard-3.28 requires app-arch/xz-utils
    x11-themes/gtk-engines-adwaita-3.28 requires app-arch/xz-utils
    x11-themes/hicolor-icon-theme-0.17 requires app-arch/xz-utils


И шлак вроде Ark зависит от liarchive, значит, сабж не удалить:

  app-arch/libarchive-3.7.2-r2 pulled in by:
    dev-build/cmake-3.29.0 requires >=app-arch/libarchive-3.3.3:0/13=, >=app-arch/libarchive-3.3.3:=
    dev-libs/appstream-glib-0.8.2 requires app-arch/libarchive:=, app-arch/libarchive:0/13=
    dev-qt/qtbase-6.6.3 requires app-arch/libarchive[zstd]
    kde-apps/ark-23.08.5 requires >=app-arch/libarchive-3.5.3:0/13=[bzip2,lzma], >=app-arch/libarchive-3.5.3:=[bzip2,lzma]
    kde-apps/kbackup-23.08.5 requires app-arch/libarchive:0/13=, app-arch/libarchive:=
    kde-frameworks/extra-cmake-modules-5.115.0 requires app-arch/libarchive[bzip2]
    media-sound/hydrogen-1.2.2-r1 requires app-arch/libarchive

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

42. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (40), 31-Мрт-24, 12:31 
Код же открыт, возьми да исправь (на zstd)
Ответить | Правка | Наверх | Cообщить модератору

88. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (88), 31-Мрт-24, 15:55 
> И шлак вроде Ark зависит от liarchive

Почему шлак? Распаковывать архивы - это его задача.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

89. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (7), 31-Мрт-24, 16:02 
К примеру, не поддерживает "забавные" имена файлов, это позор. Часто даже не может распаковать zip, приходится распаковывать 7z.
Ответить | Правка | Наверх | Cообщить модератору

15. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (15), 31-Мрт-24, 11:22 
Это только начало. По умолчанию можно считать весь opensource скомпрометированным. Привет китайским и северокорейским друзьям.
Ответить | Правка | Наверх | Cообщить модератору

51. "Разбор логики активации и работы бэкдора в пакете xz"  +6 +/
Сообщение от Аноним (51), 31-Мрт-24, 13:07 
> Привет китайским и северокорейским друзьям.

И европейским. И американским.

Ответить | Правка | Наверх | Cообщить модератору

109. "Разбор логики активации и работы бэкдора в пакете xz"  –5 +/
Сообщение от Уволить ПОНАБа (?), 31-Мрт-24, 19:35 
О! А вот и представитель КН(Д)Р нарисовался))) Позвольте с вами не согласиться, т.к. коммунизм - однозначно лютое зло и должен подохнуть в любом его проявлении, а демократия - хоть как-то отстаивает права и свободы своих граждан. И не надо мне втирать дичь про вселенское зло и загнивающий запад... Жил в СССР, на собственной шкуре ощутил все "прелести" коммунизма, которые (не будем тыкать пальцами кто) хотят выпустить на свободу и т.д. мне этого кала нафиг не нужно, закапывайте обратно.
Ответить | Правка | Наверх | Cообщить модератору

114. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (113), 31-Мрт-24, 20:24 
Это вы из телевизора взяли? Жить в виртуальном мире вредно. Реальность такова что при власти демократов вы даже и не пискнете о своём недовольствии. Я от уже третий год живу в селе и дальше дома выйти не могу. А те кто особо против и выражают недовольство — запугали или вывозят в поле, а там винтовка судит.
Господа живущие в Америке имеют неплохой уровень жизни, тем не менее и там не все всем довольны, а никто даже и не пикнет. Поэтому со временем некоторые особо хитрые начинают говорить о том что выражать свой негатив по отношению к своему государству — дурной тон. Так-что вы в этой демократии просто можете не прижиться, поэтому будете лишний. Их логика такова, поэтому маленькое количество людей туда могут уехать и жить, а большое они стараются уничтожить. Вы для них все-равно чужой.
Ответить | Правка | Наверх | Cообщить модератору

161. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (161), 01-Апр-24, 18:22 
Переезжай в Беларусь.
Ответить | Правка | Наверх | Cообщить модератору

162. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (-), 01-Апр-24, 18:42 
> Реальность такова что при власти демократов вы даже и не пискнете о своём недовольствии.

Это тебе телевизер рассказал?

> Я от уже третий год живу в селе и дальше дома выйти не могу. А те кто особо против и выражают
> недовольство — запугали или вывозят в поле, а там винтовка судит.

Даже не представляют где ты живешь. А может ты просто сочиняешь. Или живешь под власть главного либерала.
Но возможно у тебя никакой демократии нету, а просто власть военных.

> Господа живущие в Америке имеют неплохой уровень жизни, тем не менее и там не все всем довольны, а никто даже и не пикнет.

Вранье. Когда людям что-то не нравится, то они выходят на улицы и об этом сообщают власти.
Такое было и штатах, и в европе, и в израиле.
Даже в Иране и Ираке народные протесты это практически обыженноя явление.

> Так-что вы в этой демократии просто можете не прижиться, поэтому будете лишний. Их логика такова, поэтому маленькое количество людей туда могут уехать и жить, а большое они стараются уничтожить. Вы для них все-равно чужой.

Что-то я живу в демократии. И меня никто винтовкой не пугает.
И лишним себя не чувствую)


Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

146. Скрыто модератором  +1 +/
Сообщение от Аноним (146), 01-Апр-24, 10:24 
Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

145. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Аноним (145), 01-Апр-24, 10:17 
*Весь софт.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

17. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (17), 31-Мрт-24, 11:25 
Добавьте ко всем ссылкам на Mastodon /embed в конец, чтобы открывалось без JS. За метод спасибо https://news.ycombinator.com/item?id=35885621
Ответить | Правка | Наверх | Cообщить модератору

21. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Максим (??), 31-Мрт-24, 11:31 
Не должно быть блобов в СПО. Блоб == закладка.
Ответить | Правка | Наверх | Cообщить модератору

27. "Разбор логики активации и работы бэкдора в пакете xz"  +6 +/
Сообщение от Аноним (27), 31-Мрт-24, 11:40 
Аккуратненький выход за границы буфера и вот тебе зонд о котором знаешь только ты. А найдут его только через миллион лет археологи безопасники. Пусть даже твой код пишут на билбордах по всему городу. Если не хочешь эксплуатировать продай кому-нибудь они на конкурсе безопасников выиграют денежный приз.
Ответить | Правка | Наверх | Cообщить модератору

50. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (-), 31-Мрт-24, 13:06 
Многие языки программирования, например, Groovy, Hack, Mojo и Nim, управляют выделением памяти автоматически, что делает ошибки, связанные с переполнением буфера, маловероятными или невозможными.
Ответить | Правка | Наверх | Cообщить модератору

55. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (55), 31-Мрт-24, 13:49 
Да, главное в это верить и никогда-никогда не искать какие-нибудь "JVM memory corruption" в базе CVE.
Ответить | Правка | Наверх | Cообщить модератору

63. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (88), 31-Мрт-24, 14:28 
> Да, главное в это верить

Ну так покажи мне выход за пределы буфера на Java.

> и никогда-никогда не искать какие-нибудь "JVM memory corruption" в базе CVE.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=JVM+memory+...

Ну, и?

А понял: опеннетный эксперт уверен, что Java рантайм написан на Java, правильно?

Ответить | Правка | Наверх | Cообщить модератору

92. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (27), 31-Мрт-24, 16:30 
Напомни зачем тебе писать уязвимость по выходу за границу буфера на языке в котором "нельзя" выйти да границу буфера? Когда можно сразу писать на языке в котором можно выйти за границу буфера. Или это какой то телевизорный прикол самому себе палки в колеса ставить?  
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

144. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Sw00p aka Jerom (?), 01-Апр-24, 10:13 
СПО не должно быть :)
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

30. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (-), 31-Мрт-24, 11:47 
Произвольный код, если он не ограничен SELinux.
Ответить | Правка | Наверх | Cообщить модератору

86. Скрыто модератором  +/
Сообщение от Mr. Major (?), 31-Мрт-24, 15:51 
Ответить | Правка | Наверх | Cообщить модератору

107. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от scriptkiddis (?), 31-Мрт-24, 19:00 
А чем и как в данном случае помог бы селялекс?
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

176. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от mos87 (ok), 02-Апр-24, 07:56 
селинух не ограничивает код. Он для дачи доп возможностей юзерам без выдачи оным рута.
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

31. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (31), 31-Мрт-24, 11:50 
Хорошо бы добавить в этот анализ упоминание, что все изложенное не имеет отношения к исходному openssh и применимо *исключительно* к патченой (systemd-notify) версии.
Ответить | Правка | Наверх | Cообщить модератору

47. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (47), 31-Мрт-24, 12:57 
Легче не становится от этого. sshd выбран похоже чисто как транспорт для shell-кода, а по факту скомпрометированна вся система: 1) sshd запущен в 99% случаев от root, бэкдор мог бы накуралесить чего-то ещё в системе при загрузке liblzma; 2) systemd по сути тоже скомпрометирован, и он в 100% случаев запущен от root; 3) liblzma может пользоваться и другими программами, и все они могли быть скомпрометированы. Единственное, что подозрительно (если читать только статью с опеннета) - это что в бекдоре не было запасного метода получения команд, только sshd и только при определённых обстоятельствах.
Ответить | Правка | Наверх | Cообщить модератору

65. "Разбор логики активации и работы бэкдора в пакете xz"  +9 +/
Сообщение от Аноним (31), 31-Мрт-24, 14:30 
>sshd выбран похоже чисто как транспорт для shell-кода

Вовсе не "чисто как транспорт". Вся эта исторяи стала возможна исключителько благодаря патчу systemd-notify.
В самом openssh тщательно продуманная с точки зрения security архитектура и алгоритмы: pre-auth - chroot - privelege separation - auth. Тут появляются распальцованные "васяны" (другого слова не нахожу) и вкрячивают в эту цепочку libsystemd.
Зависимости openssh (libcrypto, libkrb5) все относятся к категории high security и их действительно мониторят тысячи глаз. В то время как архиваторы, прилинкованные к systemd, - на переферии внимания.
ИМХО, не было бы патча systemd-notify, ни кто не стал бы тратить годы на liblzma, потому как незачем.

Ответить | Правка | Наверх | Cообщить модератору

94. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Аноним (27), 31-Мрт-24, 16:43 
Так его выявили не тысячи глаз читающие код. Бекдор выявил жор ресурсов https://mastodon.social/@AndresFreundTec/11218040614269... нет Жора нет бекдора, народная мудрость.
Ответить | Правка | Наверх | Cообщить модератору

147. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (146), 01-Апр-24, 10:28 
Вспоминается вирус для Deplhi который кучу времени никто не находил похожим образом. При запуске программ с вирусом он заражал Deplhi на компьютере и все программы которые Delphi были с таким же вирусом, и больше ничего не делал. Никто ничего не замечал, обнаружили случайно так как вроде появились баги в скомпилированных программах поражённые вирусом.
Ответить | Правка | Наверх | Cообщить модератору

164. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (164), 01-Апр-24, 19:28 
Вообще то это они как раз и есть.
Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

168. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Аноним (169), 01-Апр-24, 20:09 
> В самом openssh тщательно продуманная с точки зрения security архитектура

Бывает правда, ложь, наглая ложь, статистика и комментарии на опеннет. Не, в OpenSSH нет тщательно продуманной архитектуры. С любой точки зрения.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

32. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (32), 31-Мрт-24, 12:05 
>os.path.isfile

Сразу видно лудита.

Ответить | Правка | Наверх | Cообщить модератору

39. "Разбор логики активации и работы бэкдора в пакете xz"  +9 +/
Сообщение от Аноним (39), 31-Мрт-24, 12:20 
Во всем виноват чертов системд комбайн. Если бы там не было всё так связано в одно месиво из сервисов, а каждый компонент был отдельно, то таких проблем бы не было. Слишком много прав - слишком много потенциальных проблем и уязвимостей. Рано закопали принцип Кисс в линуксах, а зря.
Ответить | Правка | Наверх | Cообщить модератору

53. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (53), 31-Мрт-24, 13:31 
Systemd точно так же состоит из кучи отдельных процессов и утилит, как какая-нибудь *BSD. И точно так же как и в *BSD весь код этих отдельных системных компонентов собран в одном месте по причине тесной интеграции на уровне интерфейсов взаимодействия. В *BSD в эту кучу ещё и ядро входит. Только про *BSD никто не бегает и не кричит, что это не юникс-вей и нарушение принципов KISS, а про systemd кричат.
Ответить | Правка | Наверх | Cообщить модератору

157. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от crypt (ok), 01-Апр-24, 17:36 
это совершенно неверно. systemd нарушает KISS, в то время как BSD нет. и тебе на практике показали, что это не так. по списку линковки ты можешь посмотреть, с чем слинкованы UNIX утилиты, а потом сравнить, с чем слинкованы systemd утилиты.
Ответить | Правка | Наверх | Cообщить модератору

62. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от 1 (??), 31-Мрт-24, 14:26 
тут Лёня Поттеринг высказался в ответ на критику своего любимого детища:

Uh. systemd documents the protocol at various places and the protocol is trivial: a single text datagram sent to am AF_UNIX socket whose path you get via the NOTIFY_SOCKET. That's trivial to implement for any one with some basic unix programming knowledge. And i tell pretty much anyone who wants to listen that they should just implement the proto on their own if thats rhe only reason for a libsystemd dep otherwise. In particular non-C environments really should do their own native impl and not botjer wrapping libsystemd just for this.
But let me stress two other things:
Libselinux pulls in liblzma too and gets linked into tons more programs than libsystemd. And will end up in sshd too (at the very least via libpam/pam_selinux). And most of the really big distros tend do support selinux at least to some level. Hence systemd or not, sshd remains vulnerable by this specific attack.

https://news.ycombinator.com/item?id=39867126

libselinux тоже прекрасный вектор для этой атаки -- тоже связан с liblzma

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

72. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (72), 31-Мрт-24, 15:01 
>systemd documents the protocol at various places and the protocol is trivial

До тех пор пока какой-нибудь конкурент Редхата не завяжется на него, тогда, конечно, stable API is nonsense.
Уже все давно наигрались в эти игры с протоколами, голосованием сообщества и free as in freedom. Ментально сильные деды постепенно вымирают, а им на смену приходят кокоугодные, крикливые наёмники, готовые перегрызть глотку любому на кого укажет партия/корпорация.

Ответить | Правка | Наверх | Cообщить модератору

158. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от crypt (ok), 01-Апр-24, 17:39 
> тут Лёня Поттеринг высказался в ответ на критику своего любимого детища:

NOTABUG, ес-но! мы и так знаем, что он скажет. справедливости ради, когда переходишь на FreeBSD, избавляешься сразу и от systemd, и от selinux.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

68. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (68), 31-Мрт-24, 14:35 
В принципе, нет никаких сомнений, зачем его внедряли сразу во все дистрибутивы. Вот именно для этого самого!
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

82. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (82), 31-Мрт-24, 15:41 
В чем проблема встроить такой же  бекдор в sysvinit? В 1000 строчную портянку для сервиса.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

122. "Разбор логики активации и работы бэкдора в пакете xz"  +2 +/
Сообщение от Аноним (120), 31-Мрт-24, 22:26 
>В чем проблема встроить такой же  бекдор в sysvinit?

в этом:


$ ldd /sbin/init
        linux-vdso.so.1 (0x00007ffc0b74b000)
        libc.so.6 => /lib/libc.so.6 (0x00007f28fec0c000)
        /lib/ld-linux-x86-64.so.2 => /lib64/ld-linux-x86-64.so.2 (0x00007f28fee0e000)

>В 1000 строчную портянку для сервиса.

ты вообще понимаешь о чем речь? какие портянки, бешеный? :-D

Ответить | Правка | Наверх | Cообщить модератору

106. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (106), 31-Мрт-24, 18:43 
SystemD всё равно лучше!
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

41. "Разбор логики активации и работы бэкдора в пакете xz"  +7 +/
Сообщение от Геймер (?), 31-Мрт-24, 12:27 
Проблема  в отходе от unixway и в тотальном enshittification в современном ПО, от которого не спасает даже opensource. Когда фичи добавляются ради абстрактного прогресса. А в enshittification всегда рано или поздно заведутся паразиты.
Ответить | Правка | Наверх | Cообщить модератору

85. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (88), 31-Мрт-24, 15:51 
> Проблема  в отходе от unixway

Можешь раскрыть тему? При чем здесь Unix way?

Ответить | Правка | Наверх | Cообщить модератору

126. "Разбор логики активации и работы бэкдора в пакете xz"  –1 +/
Сообщение от Геймер (?), 01-Апр-24, 00:05 
Windows-way - это давно уже обязательный антивирус в системе. Линуксоиды пока ещё обходятся без обязательного антивируса.
Ответить | Правка | Наверх | Cообщить модератору

150. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (88), 01-Апр-24, 13:16 
>> При чем здесь Unix way?
> Линуксоиды пока ещё обходятся без обязательного антивируса.

Чел, с тобой все хорошо? Как Винда и ее антивирусы относятся  к вопросу и теме новости?

Ответить | Правка | Наверх | Cообщить модератору

159. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от crypt (ok), 01-Апр-24, 17:41 
>> Проблема  в отходе от unixway
> Можешь раскрыть тему? При чем здесь Unix way?

у UNIX утилит функционал поделен очень узко и они линкуются с очень малым числом библиотек.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

95. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (95), 31-Мрт-24, 16:58 
Именно! Во времена Unix не было ни интернета, ни lzma. А теперь они есть и используются, вместо простых локальных систем с вводом через перфокарты/телетайпы. lzma и Интернет — две большие ошибки, приведшие к отходу от Unix Way!
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

49. "Разбор логики активации и работы бэкдора в пакете xz"  +6 +/
Сообщение от Аноним (47), 31-Мрт-24, 13:03 
Кажется, этот случай - самый лучший пример того, что сборщик вашего проекта должен выглядеть как один Makefile, один shell скрипт или ещё что-то однофайловое, что можно открыть и прочитать, что должно происходить, перед тем как вообще запускать сборку. Если это выглядит как cmake поверх autoconf поверх ещё целой папки с скриптами и в конце генерится нечитаемый Makefile - всю систему сборки можно отправлять в топку и переписывать начисто так, чтобы всё, что происходило - это билдились нужные elf-файлики запуском cc. Сами исходники xz по-факту чистые, бекдор весь в тестах лежал.
Ответить | Правка | Наверх | Cообщить модератору

58. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (40), 31-Мрт-24, 13:59 
А прикинь, оно так и было в годах этак 80х... Да и сейчас так же — в разных консольных хеллоувордах. Но как только хочется чего-то большего, чем пялиться в святую консоль — оно почему-то не работает...
Ответить | Правка | Наверх | Cообщить модератору

59. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Самый умный аноним (?), 31-Мрт-24, 14:01 
Тогда мы засунем бэкдор в make
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

77. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Some Anon (?), 31-Мрт-24, 15:29 
Ну и пиши свои хэллоуворлды так.
Зачем других заставлять копать яму ложкой вместо экскаватора ?
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

103. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (7), 31-Мрт-24, 18:13 
Глупости. Однофайловое сложнее читать, сложнее управлять, сложнее сопровождать. И это никак не избавит от подобных проблем, зато серьёзно понизит переносимость и универсальность. К тому же, в исходниках была ослаблена куча защит и проверок, что позволяет целый перечень атак, не сказал бы, что они чистые.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

117. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (72), 31-Мрт-24, 20:51 
Всё к линуксу/системд прибито уже давно. О какой переносимости идет речь? Куда переносить?
Ответить | Правка | Наверх | Cообщить модератору

119. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (7), 31-Мрт-24, 21:21 
> Всё к линуксу/системд прибито уже давно. О какой переносимости идет речь? Куда
> переносить?

Линукс это только ядро. И нет, не прибито.

Ответить | Правка | Наверх | Cообщить модератору

66. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 31-Мрт-24, 14:31 
Ответить | Правка | Наверх | Cообщить модератору

93. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (93), 31-Мрт-24, 16:42 
Практика умышленного внедрения дыры под уже заготовленный эксплоит - рабочий метод. Чем тратить силы на поиски потенциальных уязвимостей в популярных пакетах, как оказалось проще, намного проще добавить в исходники.
Ответить | Правка | Наверх | Cообщить модератору

98. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (97), 31-Мрт-24, 17:01 
кто бы сомневался
Ответить | Правка | Наверх | Cообщить модератору

138. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Ivan_83 (ok), 01-Апр-24, 07:50 
Потому что autotools.
Никто не хочет читать что там на m4 понаписано, потому что оно всё выглядит одинакого крипово.
Ответить | Правка | Наверх | Cообщить модератору

165. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (164), 01-Апр-24, 19:31 
В cmake тоже самое
Ответить | Правка | Наверх | Cообщить модератору

199. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Ivan_83 (ok), 02-Апр-24, 22:43 
Тогда проект обречён :)
Во фряхе взяли только нужные для сборки файлы и написали свои make файлы, как чувствовали :))))
Ответить | Правка | Наверх | Cообщить модератору

140. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от darkshvein (ok), 01-Апр-24, 09:20 
ещё один довод за дебиан (олд)стейбл
Ответить | Правка | Наверх | Cообщить модератору

143. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (143), 01-Апр-24, 10:11 
>ещё один довод за дебиан (олд)стейбл

Ага, довод за дикую фрагментацию пакетов и за кривые патчи.

Ответить | Правка | Наверх | Cообщить модератору

172. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним 80_уровня (ok), 02-Апр-24, 00:56 
За Devuan.
Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

153. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от almanah (??), 01-Апр-24, 17:08 
А если нейронки пустить анализировать актуальный код и те перелопатят это все, так и хакером не нужно быть
Ответить | Правка | Наверх | Cообщить модератору

174. "Разбор логики активации и работы бэкдора в пакете xz"  +1 +/
Сообщение от Аноним (174), 02-Апр-24, 07:28 
У меня только один вопрос к коллегам. В Astra Linux попало?
Ответить | Правка | Наверх | Cообщить модератору

182. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним12345 (?), 02-Апр-24, 11:54 
Конечно
Ответить | Правка | Наверх | Cообщить модератору

201. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Dexter (??), 03-Апр-24, 22:37 
В 1.7.5 SE не попало.
В репозиториях версия 5.2.4
Ответить | Правка | К родителю #174 | Наверх | Cообщить модератору

205. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (174), 04-Апр-24, 12:07 
Интересует только 1.7.3 SE. Причина - это последняя версия, в которой работает клиент 1С. Во всех более новых версиях, начиная с 1.7.4, не работает (к тому же в новых версиях битый установщик). На Альт не хотелось бы переходить (хотя в Альте все в порядке), т.к. за лицензионную Астру уже уплачены немалые деньги.
Ответить | Правка | Наверх | Cообщить модератору

190. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 02-Апр-24, 15:57 
Зато в Базальте ПОКА Нет (слава в Троице славивому Богу)
выкладываю apt-cache show xz
Version: 5.2.5-alt2
УЯЗВИМЫЕ - 5.6.0 и 5.6.1
https://xakep.ru/2024/04/01/xz-utils-backdoor/
Ответить | Правка | Наверх | Cообщить модератору

206. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Аноним (174), 04-Апр-24, 12:09 
Похоже, на Альт 10 надо переходить (не дома - в конторе, естественно).
Ответить | Правка | Наверх | Cообщить модератору

208. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от Алексийemail (ok), 04-Апр-24, 23:18 
> Похоже, на Альт 10 надо переходить (не дома - в конторе, естественно).

Я у них не работаю. Но техподдержка на ФОРУМЕ Базальта лучше аналогичной у Астры: быстрее откликаются, больше сообщество АКТИВНЫХ волонтеров

Ответить | Правка | Наверх | Cообщить модератору

198. "Разбор логики активации и работы бэкдора в пакете xz"  +/
Сообщение от fuggy (ok), 02-Апр-24, 22:43 
После появления подробного анализа действительно очень подготовленная атака. И цепочка случайностей, почти отвязали liblzma от libsystemd, спалились на valgrind, которая чуть не загубила весь план, но в итоге случилась другая случайность, которая и раскрыла план.
Можно отметить что первый коммит в m4 сам по себе довольно странный. grep, tr и eval сразу намекает на обфускацию, но для остальных m4 сборок это видимо норма. Во-вторых как не обнаружили что tar архив с файлами для сборки отличается от того, что находится в репозитории. Подумаешь несколько файлов добавилось и изменилось, где контрольные суммы, где подписанные коммиты, если можно в tar положить левые файлы.
И главное о чём не упомянуто в новости, в конце скрипта бекдор подчищал Makefile от следов, после того как произошло внедрение в скомпилированный объектный файл.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру