The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock"  +/
Сообщение от opennews (??), 31-Мрт-24, 20:10 
В репозитории проекта xz продолжают всплывать изменения, внесённые автором бэкдора для блокирования механизмов защиты. В сборочном сценарии CMakeLists.txt  выявлено изменение, не позволявшее использовать в xz механизм   изоляции приложений Landlock, при его поддержке в системе. В  коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки на наличие Landlock при любых условиях...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60888

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +8 +/
Сообщение от Аноним (1), 31-Мрт-24, 20:10 
Лучше и другие пакеты тоже проверить на таких типов
Ответить | Правка | Наверх | Cообщить модератору

14. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +7 +/
Сообщение от Анонимemail (14), 31-Мрт-24, 20:59 
> Лучше и другие пакеты тоже проверить на таких типов

Каких именно? Эти полорогие-парнокопытные не подписываются ...

Ну и да, судя по бурным обсуждениям на опеннете - походу многие опеннетчики "патчи от Минесотовцев" уже или подзабыли или не сделали совершенно никаких выводов, все еще свято веруя в Великую Силу "Тысячеглаза".


Ответить | Правка | Наверх | Cообщить модератору

53. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +16 +/
Сообщение от uis (??), 31-Мрт-24, 23:54 
А ведь тысячиглаз работают и мы обсуждаем найденную ими закладку
Ответить | Правка | Наверх | Cообщить модератору

57. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +3 +/
Сообщение от Анонимemail (14), 01-Апр-24, 00:18 
> А ведь тысячиглаз работают и мы обсуждаем найденную ими закладку

Угу, но только в какой-то альтернативной реальности.
А тут мы "обсуждаем" (ну, как на опеннете принято, т.е. больше с уклоном в "как нужно было правильно!" и "да я б, да если б встал с дивана, то ух ...!") найденное уже "задним числом" (т.е. когда уже знали, что нужно искать).

И "оригинал" нашел совсем не Тыщиглазовец при проверке коммита или перепаковке-добавлению-обновлению в формат пакета <вставить любой дистр Тысячеглазов>, а "жалкий раб(отник) Маздайцев" - и полез искать он "по симтомам" (тупило при логине и сыпало ошибками в валгринд).

Ответить | Правка | Наверх | Cообщить модератору

59. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +5 +/
Сообщение от Beta Version (ok), 01-Апр-24, 00:30 
По каким критериям он не проходит в ряды Тысячеглазовцев?
Ответить | Правка | Наверх | Cообщить модератору

60. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +8 +/
Сообщение от Анонимemail (14), 01-Апр-24, 01:02 
>> при проверке коммита или перепаковке-добавлению-обновлению в формат пакета <вставить любой дистр Тысячеглазов>, а "жалкий раб(отник) Маздайцев" - и полез искать он "по симтомам" (тупило при логине и сыпало ошибками в валгринд).
> По каким критериям он не проходит в ряды Тысячеглазовцев?

Где-где были Тыщиглазовцы, когда коммитился сначала сам бэкдор, а потом и "фиксы" ошибок в нём (повторюсь еще раз - "кандидат в Тыщиглазовцы" полез искать "что не так" из-за "тупняков" бэкдора)? А, они растаскивали бэкдоры прилежно по дистрам и надеялись на других Тыщиглазовцев?

Я ж не зря Миннесоту упоминал, но вы повторяйте про халву^W силу Тыщеглаз, игнорируя "неудобные" факты ...

Ответить | Правка | Наверх | Cообщить модератору

62. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +4 +/
Сообщение от Beta Version (ok), 01-Апр-24, 01:34 
Ну это так работает - находят не все сразу, а кто-то один первый.
Ответить | Правка | Наверх | Cообщить модератору

80. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +3 +/
Сообщение от Аноним (80), 01-Апр-24, 09:14 
> Где-где были Тыщиглазовцы, когда

Очевидно, искали проблемы в других пакетах. Или вы думаете, что тысячаглаз ищет проблемы только в xz?

А что там про Миннесоту, кстати?

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

102. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Аноним (102), 01-Апр-24, 15:29 
Если быть честным - тысячепользователи, а глаз которые следили за разработкой наверняка на одной руке можно пересчитать.
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

110. Скрыто модератором  +/
Сообщение от Аноним (110), 01-Апр-24, 17:42 
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

115. Скрыто модератором  +/
Сообщение от Beta Version (ok), 02-Апр-24, 03:13 
Ответить | Правка | Наверх | Cообщить модератору

125. Скрыто модератором  +/
Сообщение от пох. (?), 03-Апр-24, 18:32 
Ответить | Правка | Наверх | Cообщить модератору

131. Скрыто модератором  +/
Сообщение от Beta Version (ok), 03-Апр-24, 20:46 
Ответить | Правка | Наверх | Cообщить модератору

132. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от uis (??), 04-Апр-24, 12:38 
Так первый нашедший бывает только один
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

61. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от Аноним (61), 01-Апр-24, 01:13 
Тот, кто нашел уязвимость, сказал, что это была цепь случайностей, что он наткнулся на бяку. А сколько нас ждет ещё открытий чудных, которые оставили для подслеповатых тысячеглаз эти анонимы-мэнтейнеры, нагенерировавшие себе никнеймов и пролезшие в проекты... Остается надеяться на новые "цепочки счастливых случайностей"
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

98. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Аноним (98), 01-Апр-24, 14:34 
А это фундаментальный недостаток всех централизованных репозиториев типа Cargo - какой-нибудь "полезный" пакет типа выравнивания отступов из двух строчек включен в зависимости тысячи других пакетов и тем самым становится желанной целью атакующего. Получить к нему доступ, как мы убедились на примере xz, это дело техники.
Ответить | Правка | Наверх | Cообщить модератору

126. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от пох. (?), 03-Апр-24, 18:34 
> Тот, кто нашел уязвимость, сказал, что это была цепь случайностей,

Угу, цепь счастливых случайностей. Он не "решил проблему" перезапуском контейнера, рестартом виртуалки, линейным скейлингом.... взял и полез... разбираться!

Вот это - и правда неимоверно счастливая случайность.
(а то что этот чувак работает на MS - закономерность)

> никнеймов и пролезшие в проекты... Остается надеяться на новые "цепочки счастливых
> случайностей"

ну, в принципе, в MS еще остались вменяемые кадры. Немного, но держатся.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

89. Скрыто модератором  +/
Сообщение от Аноним (89), 01-Апр-24, 10:23 
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

92. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от bdrbt (ok), 01-Апр-24, 11:58 
Не работает. Мы обсуждаем случайно найденную дыру. Напомню - ее нашли не в результате аудита, а из-за кривого инжекта бэкдора, который слишком много жрал и лагал, а если бы был поптимизированее - никто бы и не мяукнул.
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

107. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +4 +/
Сообщение от Аноним (107), 01-Апр-24, 16:36 
«Тысячи глаз» это не аудит
Ответить | Правка | Наверх | Cообщить модератору

2. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Аноним (2), 31-Мрт-24, 20:13 
bzip2, gzip не могли похакать? Обязательно привычный xz надо коцать.Тьфу,шлеп-шлеп - я ушел от вас.(
Ответить | Правка | Наверх | Cообщить модератору

3. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от lucentcode (ok), 31-Мрт-24, 20:25 
А вы уверены, что их не похакали? Может их просто ещё не дошли руки у кого надо проверить?
Ответить | Правка | Наверх | Cообщить модератору

6. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +8 +/
Сообщение от crypt (ok), 31-Мрт-24, 20:46 
видел твой коммент, что ты теперь будешь начисто переставляться. а я говорил еще пару лет назад, что нарушение принципа KISS и UNIX way в systemd приведут к проблемам безопасности.
Ответить | Правка | Наверх | Cообщить модератору

35. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  –2 +/
Сообщение от Аноним (35), 31-Мрт-24, 22:01 
Вот если по конкретному инциденту. Предлагаешь отказаться от сжимальщиков и архиваторов?
Ответить | Правка | Наверх | Cообщить модератору

42. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  –2 +/
Сообщение от Аноним (-), 31-Мрт-24, 22:26 
Хм... уточни пожалуйста про какие нарушения KISS и UNIX way ты говоришь?
Про то, что очень важную либу пилит какие-то полтора васяна, половина из которых вообше анон взявшийся из ниоткуда?
Или про то, что в это важной либе используются отрыжки из прошлого века в виде м4 скритов?
Или про то, в итоге это вызывает нечитаемое уродство в виде баш-портянок, которые как оказалось попахивают?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

116. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от минона (?), 02-Апр-24, 07:35 
> отрыжки из прошлого века в виде м4 скритов

Ну, вообще-то, в данном топике обсуждается изменение в CMakeLists.txt

Не в M4 дело, а в том, что:

1. Критичные для функционирования системы службы - сложные, со множеством зависимостей от сторонних компонентов и неявными связями.
2. Сторонние компоненты по вполне объективным причинам не имеют собственного унифицированного механизма контроля ("базар" же) и при использовании как 3rd party не проходят внешнего аудита.

Поэтому данная атака - это не пробой какой-то уязвимости, это пробой в целом модели базара

Ответить | Правка | Наверх | Cообщить модератору

85. Скрыто модератором  +1 +/
Сообщение от Пряник (?), 01-Апр-24, 10:09 
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

10. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Аноним (35), 31-Мрт-24, 20:51 
gzip в руках идейных. Хотя, после травли и ухода Столмана туда могли проникнуть сомнительные личности.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. Скрыто модератором  –2 +/
Сообщение от Анонин (-), 31-Мрт-24, 20:47 
Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  +8 +/
Сообщение от Аноним (35), 31-Мрт-24, 20:59 
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +/
Сообщение от Аноним (17), 31-Мрт-24, 21:04 
Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором  +2 +/
Сообщение от Аноним (18), 31-Мрт-24, 21:07 
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

27. Скрыто модератором  +4 +/
Сообщение от qwe (??), 31-Мрт-24, 21:30 
Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором  –1 +/
Сообщение от Стив Балмер (?), 31-Мрт-24, 21:32 
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

127. Скрыто модератором  +/
Сообщение от пох. (?), 03-Апр-24, 18:36 
Ответить | Правка | Наверх | Cообщить модератору

8. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от crypt (ok), 31-Мрт-24, 20:48 
> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка

нравится мне этот парень с тайваня... красиво работает.

Ответить | Правка | Наверх | Cообщить модератору

11. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  –1 +/
Сообщение от Аноним (11), 31-Мрт-24, 20:54 
Программистские тесты не писал,если так по-детски спалился?
Ответить | Правка | Наверх | Cообщить модератору

12. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от pelmaniac (?), 31-Мрт-24, 20:55 
с северной кореи он, зачем тайваню это?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

19. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +5 +/
Сообщение от Аноним (19), 31-Мрт-24, 21:09 
1. В Северной Корее интернета нет.
2. А если он там есть, значит, официальная пропаганда США распространяет недостоверные данные. Такого быть не может, так что см. п. 1.
Ответить | Правка | Наверх | Cообщить модератору

29. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от Аноним (29), 31-Мрт-24, 21:35 
Зато в северной корее есть северные корейцы , которые по заданию партии могут пмжествовать в любой точке мира .
Ответить | Правка | Наверх | Cообщить модератору

64. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +3 +/
Сообщение от Kuromi (ok), 01-Апр-24, 02:31 
Есть там выход в интернет, просто он кого надо выход и все кто по службе выходят делают это в присутствии верных товарищей с табельным оружием. Ну чтоб там порнобаннер не словить например.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

90. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от EULA (?), 01-Апр-24, 10:31 
Фигасе, какие умные северо-корейцы: с ограниченным интернетом имеют такие глубокие знания в программировании, бэкдурописании, вирусописании... Вот игил (запрещенная в России террористическая организация), имея неограниченный выход в интернет таких познаний совсем не имеет. Что же будет с миром, если хотя бы 20% северо-корейцев смогут выходить в интернет???
Ответить | Правка | Наверх | Cообщить модератору

91. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от Аноним (91), 01-Апр-24, 11:14 
В игил не учат математику, а в С.Корее учат - см. Ланькова.
Ответить | Правка | Наверх | Cообщить модератору

119. Скрыто модератором  +/
Сообщение от Аноним (119), 02-Апр-24, 18:33 
Ответить | Правка | Наверх | Cообщить модератору

108. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Kuromi (ok), 01-Апр-24, 16:40 
> Фигасе, какие умные северо-корейцы: с ограниченным интернетом имеют такие глубокие знания
> в программировании, бэкдурописании, вирусописании... Вот игил (запрещенная в России террористическая
> организация), имея неограниченный выход в интернет таких познаний совсем не имеет.
> Что же будет с миром, если хотя бы 20% северо-корейцев смогут
> выходить в интернет???

Нужные книжки и  ресурсы они там потихоньку выкачивают, не волнуйся за них. Даже свой самопальный Линукс сделали, причем с колоритными модификациями.

Ну а то что развлекательное ничего не доступно и даже порно только в  погонах - ну таковы лишения от борьбы с "мировой закулисой".

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

121. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от EULA (?), 03-Апр-24, 10:05 
И все равно получается, что они умные.
Что же будет, если их в сеть выпустят???
Ответить | Правка | Наверх | Cообщить модератору

130. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Kuromi (ok), 03-Апр-24, 18:56 
> И все равно получается, что они умные.
> Что же будет, если их в сеть выпустят???

Советские сумрачные ученые тоже в шарашках клепали супероружие. Запад тоже думал "а что будет если их выпустить в  свет?". Как выяснилось ничего (страшного).

Ответить | Правка | Наверх | Cообщить модератору

133. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от EULA (?), 08-Апр-24, 08:16 
В СССР хакеров не было, даже некоторые компьютеры были подключены к арпанет.
Ответить | Правка | Наверх | Cообщить модератору

118. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (118), 02-Апр-24, 17:45 
>Фигасе, какие умные северо-корейцы

А еще они снарядов могут клепать больше, чем все страны развитого капитализьма во главе в гегемоном вместе взятые. Что-то тут не так.

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

128. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от пох. (?), 03-Апр-24, 18:42 
>>Фигасе, какие умные северо-корейцы
> А еще они снарядов могут клепать больше, чем все страны развитого капитализьма
> во главе в гегемоном вместе взятые. Что-то тут не так.

ну так вместо выращивания нежных личностев и уточнения как к Оно обращаться - там пилят снаряды в четыре смены. Кто плохо пилит - не получает свою пайку риса и волен сдохнуть с голодухи. Новых нарожают! (кто плохо рожовывает - ну ты понял, ага)

Кто хорошо пилит - получает полторы пайки риса, и с голодухи подыхает гораздо медленней.
Поэтому когда ему скажут сдохнуть во имя Кима - он это сделает с радостью и гордостью - ведь так гораздо лучше, чем дальше жить впроголодь.

А эти, в развитом капитализме - очень любят послужить в армии, форма красивая, зарплата нормальная, ништяков сверх нее масса падает... но вот как где-то даже далеко война - так хоть увольняйся.

А уж на заводе работать - ну разумеется только в дневную смену, с перерывом на качалку и медитацию (и еще семь положенных молитв в день, конечно)

Ответить | Правка | Наверх | Cообщить модератору

22. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +11 +/
Сообщение от Аноним (22), 31-Мрт-24, 21:18 
Осталось исправить master на main, и все saboteurs сразу устыдятся содеянного, и сами откатят свои вредности!
Ответить | Правка | Наверх | Cообщить модератору

23. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (23), 31-Мрт-24, 21:21 
А что эта точка значит в CMake?
Ответить | Правка | Наверх | Cообщить модератору

25. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +11 +/
Сообщение от Аноним (25), 31-Мрт-24, 21:28 
возможно сокращение от "вкусно и точка"
Ответить | Правка | Наверх | Cообщить модератору

31. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +3 +/
Сообщение от Аноним (29), 31-Мрт-24, 21:38 
Вот они и спалились .
Ответить | Правка | Наверх | Cообщить модератору

36. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (35), 31-Мрт-24, 22:03 
Точнее, работодатель товарища майора.
Ответить | Правка | Наверх | Cообщить модератору

37. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от topin89 (ok), 31-Мрт-24, 22:06 
Чтобы код внутри check_c_source_compiles("<код>") не скомпилировался. До точки там был код, который не собирается только если в linux-headers в системе сборки нет SYS_landlock_create_ruleset. После точки он вообще никогда не скомпилируется, как если бы landlock вообще ни в одной системе нет
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

56. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Аноним (23), 01-Апр-24, 00:03 
Да это понятно. Я про синтаксис. Что в С/CMake это означает? Почему не летит ошибка синтаксиса и т.д
Ответить | Правка | Наверх | Cообщить модератору

86. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (86), 01-Апр-24, 10:17 
Ничего не значит. Ошибка синтаксиса и код не компилируется... И поэтому проверки отключаются.
Ответить | Правка | Наверх | Cообщить модератору

113. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от ivanpetrov (ok), 01-Апр-24, 23:08 
Это не в CMake точка, он её добавил в C коде, который передаётся в CMake функцию check_c_source_compiles(), то есть (пытаться) конпелировать это будет не CMake, а C компилятор.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

24. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (-), 31-Мрт-24, 21:26 
> что приводило к непрохождению проверки на наличие Landlock при любых условиях.

Интересно, почему не было тестов на данный функционал?
"Механизм изоляции приложений" звучит достаточно важно чтобы быть покрытым тестами.

Так бы хоть у кого-то возникли бы вопросы? Или так такое не принято?

Ответить | Правка | Наверх | Cообщить модератору

103. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  –2 +/
Сообщение от Аноним (103), 01-Апр-24, 15:45 
У Линуса, походу, вообще никаких тестов нет. Фин тянет в свою поделку любую шнягу. Оттого поделка вся дырява насквозь.
Ответить | Правка | Наверх | Cообщить модератору

26. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (-), 31-Мрт-24, 21:30 
> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки

.
А с чего взяли что намеренно?
В программах на СИ постоянно забывают проверять размер буфера или делают double free.
Любой человек может ошибится, это нормально и совершенно не зависти от языка, честно-честно!

Ответить | Правка | Наверх | Cообщить модератору

30. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  –1 +/
Сообщение от Аноним (30), 31-Мрт-24, 21:37 
Надо просто посмотреть, кем. Неужели нельзя вывести список всех изменений, к которым причастен этот аккаунт? А, нельзя, Майкрософт же заметает следы.
Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 31-Мрт-24, 21:52 
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

33. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  –4 +/
Сообщение от Аноним (33), 31-Мрт-24, 21:57 
Вот в таком виде https://git.tukaani.org/?p=xz.git;a=commitdiff;h=f9cf4c05edd... ? и даже с комментарием ?

Вообще ни разу не палево.. хоть бы чтото еще поправил, чтобы оно реально смахивало на случайность.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

40. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +3 +/
Сообщение от sigprof (ok), 31-Мрт-24, 22:13 
Так это удаление ошибки, а добавили код с ошибкой в https://git.tukaani.org/?p=xz.git;a=commitdiff;h=328c52da8a2...
Ответить | Правка | Наверх | Cообщить модератору

72. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  –1 +/
Сообщение от Анонимщик (?), 01-Апр-24, 05:57 
Или я в глаза долблюсь, или тут нет добавления той точки.
Ответить | Правка | Наверх | Cообщить модератору

75. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Аноним (75), 01-Апр-24, 07:30 
почти в самом верху:

+        #include <sys/prctl.h>
+.
+        void my_sandbox(void)

Ответить | Правка | Наверх | Cообщить модератору

79. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (80), 01-Апр-24, 09:11 
Поскольку добавление точки нашлось... не могу не спросить, зачем вы так со своими глазами?
Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

58. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  –1 +/
Сообщение от Аноним (58), 01-Апр-24, 00:22 
Вот все матерятся на паскаль, а там строгая типизация и FastMM/HeapTrc, так что я по сути даже не знаю, что такое искать утечки памяти. Окошко с утечкой выскакивает сразу же, как только я ее допускаю. А это зачастую является сигналом о наличии более серьезных косяков. А ненавидят паскаль наверное те быдлокодеры, которым он не дает свести все типы в программе к int/uint и пропихнуть боинг 747 в функцию, которая ожидает блоху.

C++ кончно мощный и позволяет по сути изобрести свой мета-язык из макросов. Но мне как то неуютно. Вот напишу я прогу на 100500 строк на gcc. Как я потом там буду искать все эти утечки памяти?

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

69. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от iPony129412 (?), 01-Апр-24, 04:26 
Я видел код ужас от студентов.
Текло это жесть как.
И никакой мифический паскаль не спасал
Ответить | Правка | Наверх | Cообщить модератору

70. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от iPony129412 (?), 01-Апр-24, 04:28 
> Вот напишу я прогу на 100500

Вот и сам же написал причину.
Дело не в языке, а в том что hello world-ы пишешь

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

77. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 01-Апр-24, 09:05 
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

106. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от bdrbt (ok), 01-Апр-24, 16:28 
>> В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки
> .
> А с чего взяли что намеренно?
> В программах на СИ постоянно забывают проверять размер буфера или делают double
> free.
> Любой человек может ошибится, это нормально и совершенно не зависти от языка,
> честно-честно!

Потому что эта "ашипка" - одна из череды вредоносных изменений от автора бэкдора

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

41. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (41), 31-Мрт-24, 22:13 
Какой интересный язык. Добавил просто точку - получил изменение логики.
Ответить | Правка | Наверх | Cообщить модератору

51. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от Стив Балмер (?), 31-Мрт-24, 23:37 
а как вам язык где балом правит запятая ?
"Казнить нельзя помиловать"
Ответить | Правка | Наверх | Cообщить модератору

52. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +4 +/
Сообщение от Аноним (52), 31-Мрт-24, 23:49 
Причём тут язык? В CMake функция `check_c_source_compiles` проверяет только то, что переданный в неё сишный код компилируется и линкуется. Добавили в тестовый код лишнюю точку → код стал невалидным → тест на компилируемость перестал проходить → фича, наличие которой определялось попыткой скомпилировать тестовый код, стала считаться отсутствующей.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

117. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от adolfus (ok), 02-Апр-24, 09:37 
> разработчики языка Си не озаботились указать какие размеры имеют char, short, int, long int, long long

Именно потому С можно адаптировать для любой мыслимой архитектуры и платформы. И никогда никому это не мешало, поскольку в языке есть заголовок <stdint.h>, объявляющий типы фиксированной ширины.

Ответить | Правка | Наверх | Cообщить модератору

54. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от uis (??), 31-Мрт-24, 23:59 
Какой из языков и какой логики?
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

66. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от microcoder (ok), 01-Апр-24, 02:57 
> Какой интересный язык.

Одна точка (.) - текущий каталог, две точки (..) - ссылка на каталог выше. Этому "языку" уже сто лет в обед.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

99. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (98), 01-Апр-24, 14:40 
Ты серьезно веришь, что если бы там был check_rust_source_compiles это что-то поменяло бы? Наивный.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

105. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от morphe (?), 01-Апр-24, 16:06 
В Rust не производят проверку наличия фич методом компилируется код с ней или нет)
Всё же не надо отрицать что механизм пробинга в autoconfig - отвратительная дичь, которая была сделана просто потому что разработчики языка Си не озаботились указать какие размеры имеют char, short, int, long int, long long, и стандартизировать механизмы расширения компилятора.
Ответить | Правка | Наверх | Cообщить модератору

43. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (43), 31-Мрт-24, 22:34 
Единственное, чего я не понял из имеющихся на данный момент результатов реверсинга - где именно бэкдор умудряется проводить 0.5 секунды.
Ответить | Правка | Наверх | Cообщить модератору

55. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от uis (??), 01-Апр-24, 00:00 
В поиске строк в таблице
Ответить | Правка | Наверх | Cообщить модератору

87. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (86), 01-Апр-24, 10:19 
То есть там O(n^2) наверно?
Ответить | Правка | Наверх | Cообщить модератору

95. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (43), 01-Апр-24, 13:44 
Там не таблица, а простенький FSA. Даже если бы оно было написано на Python, оно бы не нажрало 0.5 секунд.
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

46. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (46), 31-Мрт-24, 22:57 
>В сборочном сценарии CMakeLists.txt

Я не понял, там autotools или CMake? Или там настолько долбанулись, что им ещё Meson, Basel и Buck не помешали бы? Взять и закопать этот xz.

Ответить | Правка | Наверх | Cообщить модератору

48. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +4 +/
Сообщение от Аноним (46), 31-Мрт-24, 23:06 
>дополнительно вызывающий prctl для проверки.

Сразу ффтопку - машина, на которой производится сборка не является машиной, на которой производится исполнение. Более того, пакеты шарятся между всеми ядрами и хардкодинг использования или неиспользования landlock приведёт лишь к тому, что либо на ядрах без него программа будет падать, либо на ядрах с ним он будет незадействован. Абсолютно непрофессиональная проверка, за которую и так надо гнать вон из профессии.

Ответить | Правка | Наверх | Cообщить модератору

73. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от Аноним (73), 01-Апр-24, 06:32 
Он похоже профессионал в другой области.
Ответить | Правка | Наверх | Cообщить модератору

100. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Серб (ok), 01-Апр-24, 14:50 
> Сразу ффтопку - машина, на которой производится сборка не является машиной, на которой производится исполнение.

А вот это неважно. Эта машина на которой прописываются нужные зависимости.

Если машина будет ставить такой пакет, то зависимости установятся автоматически.

Так что ваши корни выросшие в другой ОС просматриваются.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

114. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (114), 02-Апр-24, 00:06 
Спасибо, мне нафиг не надо, чтобы какой-то xz-utils решал, какой версией ядра мне пользоваться.
Ответить | Правка | Наверх | Cообщить модератору

63. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +3 +/
Сообщение от Kuromi (ok), 01-Апр-24, 02:28 
То есть они только сейчас начали проверять все коммиты данного персонажа и выявляют все новые приколы? Мне казалось очевидным что все сделанное Jia Tan по умолчанию вредоносно.
Ответить | Правка | Наверх | Cообщить модератору

68. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от yet another anonymous (?), 01-Апр-24, 03:23 
Сама идея "проверить наличие пакета X" и на основе этого "включать/не включать функциональность Y" выглядит ... (как бы помягче...) несколько неразумной.
Ответить | Правка | Наверх | Cообщить модератору

74. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +2 +/
Сообщение от Аноним (74), 01-Апр-24, 06:37 
В доках landlock и правда советуют использовать сисколл https://docs.kernel.org/userspace-api/landlock.html#landlock..., потому что действительно, это опциональная фича, которая может быть отключена в коммандлайне ядра. Вот только это относится к запуску программы, а не к ее компиляции. Если при компиляции хедер есть и линковка отрабатывает, то что еще надо-то?

Так что да, весь этот патч изначально запилен с целью отключить landlock. И очевидно что его никто не ревьюил (по крайней мере никто компетентный), потому что как такое можно пропустить?

Ответить | Правка | Наверх | Cообщить модератору

76. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Ivan_83 (ok), 01-Апр-24, 08:26 
Саботажников в опенсорце и так хватает, многие из них не прячутся и не скрываются, а гордятся свой работой.

Тут кто то старался и впиливал бэкдор, а они стараются и не впиливают патчи потому что они им не нужны или не нравятся или они этим не пользуются, или втаскивают всякую хрень нужную только им и мешающую остальным.

Ответить | Правка | Наверх | Cообщить модератору

101. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (98), 01-Апр-24, 15:12 
Если у опенсорца нет денег чтобы заплатить разработчикам за то что нужно придется кушать то что дают и тешить ЧСВ программистов которых бы на другом проекте выгнали тряпками.
Ответить | Правка | Наверх | Cообщить модератору

124. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от пох. (?), 03-Апр-24, 18:30 
ты что - так и не научился до земли кланяться, а не только в пояс?
Ну блин, никто ж не требует от тебя, столетнего деда, молодецкой гибкости! Становись на колени, аккуратненько, коленки старые, повредишь быстро плюхаясь. И из этой позы - лобешником в грязь под ногами гениального "разработчика" - шмяк! Вот! И так три раза! (если дотянешься - можешь еще и поцеловать туфлю! Только не разгибайся, могут принять за нетолерантность, а так ползи!)

И ему удовлетворение, и тебе польза - патч повертят-повертят на ...ую, заставят пару-тройку раз colour на color поменять и обратно - да и примут!

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

78. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +3 +/
Сообщение от Аноним (80), 01-Апр-24, 09:09 
А может кто-нибудь внятно объяснить, почему какая-то сжималка требует доступ к низкоуровневым особенностям ядра и глибц (которые сами по себе уже являются глубоко системными компонентами), но проблемой считается не это, а то, что эти особенности используются неправильно?

Из многочисленных последних тредов про xz так и не понял, почему хелло-ворлд, требующий экзотических системных вызовов, работающих даже на линуксе не на каждой версии, не вызывал никаких подозрений, пока кто-то не открыл глаза и не увидел, что там куча уязвимостей? Ну требует хелло-ворлд подмены функций на уровне глибц и экзотических системных вызовов - ачотакова?

Ответить | Правка | Наверх | Cообщить модератору

82. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (74), 01-Апр-24, 09:44 
ну тебе же это не открыло глаза до выхода новости? Ну вот и остальным то же самое.
Ответить | Правка | Наверх | Cообщить модератору

88. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Пряник (?), 01-Апр-24, 10:21 
Всё так и есть. Но видимо всем просто пофиг на xz. А выкинуть из зависимостей его забыли.
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

83. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (83), 01-Апр-24, 09:59 
Эээ.... Арчлинуху передайте инфу. Они же пакет не откатывали, а только перестроили и про лишнюю точку не в курсе, наверно.
Ответить | Правка | Наверх | Cообщить модератору

94. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +4 +/
Сообщение от Аноним (94), 01-Апр-24, 13:00 
>В сборочном сценарии CMakeLists.txt

Лица кричавших про нечитаемые m4-скрипты в угоду симейку - к осмотру.

Ответить | Правка | Наверх | Cообщить модератору

96. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (96), 01-Апр-24, 14:23 
В автоконфе точно такой же способ сработал бы прекрасно, сюрприз.
Ответить | Правка | Наверх | Cообщить модератору

97. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Аноним (96), 01-Апр-24, 14:25 
Но в автоконфе я бы спрятал через divert, там и в корректном-то коде без поллитры не разберешься
Ответить | Правка | Наверх | Cообщить модератору

129. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от пох. (?), 03-Апр-24, 18:49 
> Но в автоконфе я бы спрятал через divert, там и в корректном-то
> коде без поллитры не разберешься

как будто в Cmake ты разберешься. Не говоря уже про питоноуродцев.

Но вот пропихнуть патч с таким divert - удастся только в том случае, если ты сам и есть тот кто его примет, и не найдется никого кто посмотрит и задаст удивленный вопрос - "какого, собственно?"

Поскольку торчать он будет как х-й во лбу.

(разумеется, исключая сценарий когда ты умеешь что-то кроме вредительства и 99% большого патча реально решают чьи-то проблемы, а эта мелочь идет в довесок. Но здесь совсем иной случай. Товарищ особо даже и не прятался. Пипл схавает.)


Ответить | Правка | Наверх | Cообщить модератору

112. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +1 +/
Сообщение от Аноним (112), 01-Апр-24, 22:48 
> тест всегда завершался неудачей.

И? Код был сломан, тест был сломан. То что это никто не проверял - не проблема языка. В отличие от всяких там убожественных умирающих ЯП, изобилующих спец-символами и где "каждая строка - это валидное выражение".

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

109. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от anonymous (??), 01-Апр-24, 17:27 
Херовая проверка на наличие функций в заголовке. В CMake проверка делается через check_symbol_exists(), а не эту херню с check_c_source_compiles(). Понятно, что этот саботажник сам так и написал, да еще херню придумал, что по хедеру не проверить наличие возможностей.
Ответить | Правка | Наверх | Cообщить модератору

111. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от Прадед (?), 01-Апр-24, 20:58 
Технически красиво конечно сделано со всей этой криптографией и занос скрипта прямо в открытый сырец, прямо музейный экспонат, но удивляет другое. Как методично всё протащили, и даже мантейнера,учитывая что коммиты были не особо нужные. Иные проекты попробуй убеди твой патч принять, если только он не как на ладони багу фиксит, а тут какой-то треш, да ещё и во все дистры сразу... Как бы да, нормального леща прописали.
Однако не спешим хихикать, в закрытый сырец такое бы внесли моментально и никто бы не нашёл никогда.
Ответить | Правка | Наверх | Cообщить модератору

123. "В кодовой базе xz выявлено изменение, мешавшее включению мех..."  +/
Сообщение от пох. (?), 03-Апр-24, 18:24 
> Иные проекты попробуй убеди твой патч принять, если только он не как на ладони багу фиксит,
> а тут какой-то треш, да ещё и во все дистры сразу...

в точности наоборот: почти любые проекты невозможно убедить патч принять, особенно если он багу фиксит - это ж главному разработчику прожекта прям игла в задницу - КАК, У МЕНЯ БАГИ?! И НЕ Я нашел?!

Порежьте помельче и переподайте с тройным поклоном, и не поясным, а земным!

А такую вот дрянь - принимают на ура. Как и наезды на недостаточную толерастность майнтейнера, впрочем. (Смотри не перепутай - наедешь на недостаточность квалификации - самого заканселят! Как можно, он же аутист и ОНО!)


> Однако не спешим хихикать, в закрытый сырец такое бы внесли моментально и никто бы не нашёл
> никогда.

угу, у корпорации-зла  ж ни code review, ни разборов полетов по четвергам, ни раздачи pink slip по пятницам.  Сиди себе, пили бэкдоры, только не увлекайся, чтобы успевать деньги загрести лопатой, пока ими не засыпало с головой.

Ответить | Правка | Наверх | Cообщить модератору

122. Скрыто модератором  +/
Сообщение от Аноним (-), 03-Апр-24, 11:19 
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру