forum.opennet.ru - "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте" (55)

"В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте"	+/–
Сообщение от opennews (??), 14-Янв-25, 23:31
Опубликован релиз утилиты для синхронизации файлов Rsync 3.4.0, в котором устранено шесть уязвимостей. Комбинация уязвимостей CVE-2024-12084 и CVE-2024-12085 позволяет клиенту добиться выполнения своего кода на сервере. Для совершения атаки достаточно анонимного подключения к серверу Rsync с доступом на чтение. Например, атака может быть совершена на зеркала различных дистрибутивов и проектов, предоставляющих возможность загрузки сборок через Rsync. Проблема также затрагивает различные приложения для синхронизации файлов и резервного копирования, использующие Rsync в качестве бэкенда, такие как Rclone, DeltaCopy и ChronoSync... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62557
Ответить \| Правка \| Cообщить модератору

Оглавление

Это чудовищная ошибка Кто когда куда и что добавил мы конечно же никогда не узн, Аноним (4), 23:37 , 14-Янв-25, (4) +1

Потому что проект набисан не на безопасном языке, который не умеет безопасно раб, Аноним (39), 01:22 , 15-Янв-25, (39)

Скрыто модератором, Аноним (-), 01:26 , 15-Янв-25, (41) –2

Гит блейм в руки и всё узнаете, Я (??), 23:43 , 14-Янв-25, (5)

А там JinTan какой-нибудь И где ты его искать будешь Ну или C-ктанты тебе расска, Аноним (8), 23:48 , 14-Янв-25, (8)
Почему никто это не сделает и не опубликует результаты Или кому то не выгодно ч, Аноним (4), 23:51 , 14-Янв-25, (10)

Скрыто модератором, Фнон (-), 23:54 , 14-Янв-25, (13)

Скрыто модератором, Аноним (4), 00:01 , 15-Янв-25, (16) +2

Скрыто модератором, Аноним (-), 00:25 , 15-Янв-25, (30)

Ух, список Классный Наверное кто-то расстроится, раз такие бекдоры закрыли Или , Ayjy (?), 23:51 , 14-Янв-25, (11) –1

Уязвимость протухла Можно её выкидывать Там ещё столько же и таких же осталось, Аноним (4), 23:52 , 14-Янв-25, (12)

Ахаха, т е мяу Отличная новость Как раз расставляет все точки над i в споре из, Анонимусс (?), 23:57 , 14-Янв-25, (14) –2

Чего ты на раст то не переписал Почему за тебя всё должны делать диды , Аноним (4), 00:00 , 15-Янв-25, (15) +4

Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖDа , чатжпт (?), 00:05 , 15-Янв-25, (17) –1

Переписывай что угодно ты просто результат покажи и всё А то только вопли и нет, Аноним (4), 00:07 , 15-Янв-25, (18)
Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом , Аноним (4), 00:08 , 15-Янв-25, (19) +1

Галочка, ты не поверишь с github com your-tools rusync - Rust 99 1 И еще куча , Фнон (-), 00:10 , 15-Янв-25, (20) –1

Половины функционала нет , Аноним (4), 00:16 , 15-Янв-25, (23) +2

На мотив бардовской песни есть только C0C - за него и держись - , _ (??), 02:13 , 15-Янв-25, (47)

rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела , Ivan_83 (ok), 03:15 , 15-Янв-25, (56) +1

А раст тут причем Зачем вы его приплетаете в тему про Rsync, который на си напис, Аноним (-), 00:11 , 15-Янв-25, (22)

Зачем приплетать дыряшечность Которой нет , Аноним (4), 00:17 , 15-Янв-25, (24) +1

В смысле нет Уязвимости есть Есть Исполнение кода злоумышленника есть Есть п, Аноним (-), 00:21 , 15-Янв-25, (26) –1

Никакой связи уязвимость есть уязвимость она может быть где угодно , Аноним (4), 00:24 , 15-Янв-25, (27) –1

запись за пределы выделенного буфера не может быть где угодно, чатжпт (?), 00:34 , 15-Янв-25, (31) +1

Если очень захотеть, то можно всё https github com Speykious cve-rs Обозначу , АнонимичныйАноним (?), 06:49 , 15-Янв-25, (60)

Вы так старались, но у вас никогда нет ответа сколько ущерба это принесло Мне э, Ivan_83 (ok), 03:07 , 15-Янв-25, (51)
А исправления вида поменять open на openat тебя радуют Или гниль с крестами , Ivan_83 (ok), 03:50 , 15-Янв-25, (58)

И почему люди настолько упрямые, ака ослики, что не хотят просто использовать но, Фнон (-), 00:19 , 15-Янв-25, (25)

В любой язык вставят точно такую же уязвимость причем тут язык , Аноним (4), 00:25 , 15-Янв-25, (28) –1

А ты уверен1 что эту уязвимость встроили2 что в любом другом языке она была та, Фнон (-), 00:38 , 15-Янв-25, (33)

хз сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами зак, 12yoexpert (ok), 00:53 , 15-Янв-25, (35)

Тьфуй Если тебе нужен ЯП высокого уровня а не Си , ну там - прилады какие наср, _ (??), 02:17 , 15-Янв-25, (48)
Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно , Ivan_83 (ok), 03:18 , 15-Янв-25, (57)

А если включать голову и проверять код всякими там анализаторами то и уязвимост, An (??), 07:02 , 15-Янв-25, (61)

Не надо анализаторов и ничего включать, достаточно следовать простому правилу в, Ivan_83 (ok), 08:08 , 15-Янв-25, (65)

Потому что кресты не нормальный язык, а очень перегруженный По сути вы предлагае, Ivan_83 (ok), 03:08 , 15-Янв-25, (52)

Я уже говорил тебе, что такое безумие Безумие - это точное повторение одного и, Аноним (-), 00:25 , 15-Янв-25, (29)

пхпшники и сишники - одного поля ягоды, только могила исправит, чатжпт (?), 00:37 , 15-Янв-25, (32) –2
Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, OpenEcho (?), 01:23 , 15-Янв-25, (40)

Вот только воткнуть не смог ты Какое отношение имеет имеющаяся кодовая база , Аноним (-), 01:29 , 15-Янв-25, (42)

Да, сделать его полностью безопасным, значит сломать совместимость А так его ул, Noname (??), 02:03 , 15-Янв-25, (46)
Ты сам то понял, что сейчас сказал Кодовая база на языке, на котором написа, OpenEcho (?), 02:27 , 15-Янв-25, (49) –1

Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, Ivan_83 (ok), 03:10 , 15-Янв-25, (53)

На ржавом наверное уже переписали Хотя подождите, нужно же сначала написать к, Нуину (?), 00:45 , 15-Янв-25, (34) +2

а эмодзи для ридми кто будет выбирать , 12yoexpert (ok), 00:54 , 15-Янв-25, (36)

Напрягает, что автор этих ляпов rsync попутно является лидером Samba А в том ко, Аноним (37), 01:05 , 15-Янв-25, (37) +1

Ваще ни разу не удивлен opennet ru opennews art shtml num 56615 Удалённая root-, Аноним (-), 01:22 , 15-Янв-25, (38)

А т е типикал сишник-омнокодер решил одаривать людей своими выдающимися тал, Аноним (-), 01:31 , 15-Янв-25, (44)

Напрягает - не пользутесь , Ivan_83 (ok), 03:10 , 15-Янв-25, (54)

Имеются сомнения в чистоте релиза Andrew Tridgell последние 20 лет не релизил rs, Аноним (45), 01:49 , 15-Янв-25, (45) +3

Это то, о чем я твержу второе деятилетие, что подписи GPG PGP - это как страус п, OpenEcho (?), 02:41 , 15-Янв-25, (50)

Так и что дальше Ходить в интернет по паспорту , Ivan_83 (ok), 03:12 , 15-Янв-25, (55)

Заверять ЭЦП microsoft или apple жи Что вы все в коротких штанишках-то бегаете , User (??), 07:47 , 15-Янв-25, (64)

Всё нормально, весной прошлого года Tridgell вернулся в проект https www open, Аноним (62), 07:04 , 15-Янв-25, (62)

Сообщения [Сортировка по времени | RSS]

4. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (4), 14-Янв-25, 23:37

Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.

Ответить | Правка | Наверх | Cообщить модератору

39. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (39), 15-Янв-25, 01:22

Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!

Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором –2 +/–

Сообщение от Аноним (-), 15-Янв-25, 01:26

> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
Идите в пень со своим "безопасным языком", для вас есть соседняя тема.
Тут хватило бы писать не ногами, а руками.
А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.

Ответить | Правка | Наверх | Cообщить модератору

5. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Я (??), 14-Янв-25, 23:43

Гит блейм в руки и всё узнаете

Ответить | Правка | Наверх | Cообщить модератору

8. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (8), 14-Янв-25, 23:48

> Гит блейм в руки и всё узнаете
А там JinTan какой-нибудь.
И где ты его искать будешь?
Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"

Ответить | Правка | Наверх | Cообщить модератору

10. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 14-Янв-25, 23:51

Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. Скрыто модератором +/–

Сообщение от Фнон (-), 14-Янв-25, 23:54

> Почему никто это не сделает и не опубликует результаты?
Потому что:
1. люди ленивые
2. всем пофиг
Но ты можешь поработать на благо общества.
>  Или кому то не выгодно чтобы мы узнали правду?
Все так привыкли к тому, что проект с содержанием "дыряшки в 82%" будет рассадником уязвимостей и багов.
Поэтьому никто не удивляется.

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором +2 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:01

О почему на Jia Tan все возбудились, а тут всем пофиг? Не думал что кому-то выгодно управлять фокусом внимания?

Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором +/–

Сообщение от Аноним (-), 15-Янв-25, 00:25

> О почему на Jia Tan все возбудились, а тут всем пофиг?
Предположу, что там был уже обнаруженный совершенный взлом.
И пострадавшие были заинтересованы в максимальной огласке.
А тут ХЗ, может было, может нет.
> Не думал что кому-то выгодно управлять фокусом внимания?
Естественно думал. Но уязвимостей так много, что если кричать "волк-волк" каждый раз, то разработчики просто разбегутся.
Т.к никто не захочет забесплатно писать код, а потом рисковать получить обвинения во внедрении какой-то бяки.
Я этой штукой не пользуюсь, так что точно не буду подымать волну.

Ответить | Правка | Наверх | Cообщить модератору

11. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Ayjy (?), 14-Янв-25, 23:51

Ух, список! Классный.
Наверное кто-то расстроится, раз такие бекдоры закрыли.
Или нет, если они уже не нужны))
ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.

Ответить | Правка | Наверх | Cообщить модератору

12. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 14-Янв-25, 23:52

Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.

Ответить | Правка | Наверх | Cообщить модератору

14. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –2 +/–

Сообщение от Анонимусс (?), 14-Янв-25, 23:57

Ахаха, т.е. мяу)
Отличная новость! Как раз расставляет все точки над i в споре из соседней темы))
"Запись за пределы выделенного буфера"
"Утечка содержимого неинициализированных данных из стека"
"Состояние гонки при работе с символическими ссылками"
Так это же... просто классическое дыряшечное бинго!
Особо радуют исправления вида:
- #define sum2_at(s, i)  ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len))
+ #define sum2_at(s, i)  ((s)->sum2_array + ((size_t)(i) * xfer_sum_len))
- s->sum2_array = new_array(char, s->count * xfer_sum_len);
+ s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len);
Бедняги, опять не запутались в типах и буферах!
Гениально! Оказывается нужно чистить память за собой!

+ // prevent possible memory leaks
+ memset(sum2, 0, sizeof sum2);

Ответить | Правка | Наверх | Cообщить модератору

15. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +4 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:00

Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?

Ответить | Правка | Наверх | Cообщить модератору

17. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:05

Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD
а мифические диды как писали дырявый код так и продолжают

Ответить | Правка | Наверх | Cообщить модератору

18. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 15-Янв-25, 00:07

Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.

Ответить | Правка | Наверх | Cообщить модератору

19. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:08

Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

20. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Фнон (-), 15-Янв-25, 00:10

Галочка, ты не поверишь! (с)
github.com/your-tools/rusync - Rust 99.1%
И еще куча других.
Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

23. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:16

Половины функционала нет?

Ответить | Правка | Наверх | Cообщить модератору

47. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от _ (??), 15-Янв-25, 02:13

На мотив бардовской песни:
... есть только C0C - за него и держись
;-)

Ответить | Правка | Наверх | Cообщить модератору

56. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:15

rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты.
Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

22. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 00:11

> Чего ты на раст то не переписал?
А раст тут причем?
Зачем вы его приплетаете в тему про Rsync, который на си написан?
И как наличие или отсутствие раста оправдывает такие глупые ошибки?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

24. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:17

Зачем приплетать дыряшечность? Которой нет.

Ответить | Правка | Наверх | Cообщить модератору

26. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (-), 15-Янв-25, 00:21

В смысле нет?
Уязвимости есть? Есть.
Исполнение кода злоумышленника есть? Есть!
"позволяет добиться выполнения своего кода на сервере"
Вот тебе и дырявость, как у шерета.

Ответить | Правка | Наверх | Cообщить модератору

27. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:24

Никакой связи уязвимость есть уязвимость она может быть где угодно.

Ответить | Правка | Наверх | Cообщить модератору

31. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:34

"запись за пределы выделенного буфера" не может быть где угодно

Ответить | Правка | Наверх | Cообщить модератору

60. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от АнонимичныйАноним (?), 15-Янв-25, 06:49

Если очень захотеть, то можно всё!
https://github.com/Speykious/cve-rs
;)
Обозначу сразу, что я не занимаю какую либо позицию в дискуссии, а просто прикалываюсь
Тем более, что в основном я пишу на (языкк (скобочек))

Ответить | Правка | Наверх | Cообщить модератору

51. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:07

Вы так старались, но у вас никогда нет ответа: сколько ущерба это принесло.
Мне это принесло скорее всего 0 ущерба, хоть у меня rsync и торчит наружу доступный для чтения уже лет 15.
Но я так и быть подумаю на досуге над тем чтобы возможно порезать возможности демона rsync по доступу к файлам, а пока просто потушил его пока обновления не прилетят.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

58. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:50

А исправления вида поменять open() на openat() тебя радуют?
Или гниль с крестами сами такое делают, магически угадывая заранее?
https://github.com/RsyncProject/rsync/commit/b4a27ca25d0abb6...

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Фнон (-), 15-Янв-25, 00:19

И почему люди настолько упрямые, ака ослики, что не хотят просто использовать нормальные языки программирования.
Например С++.
Там есть и RAII, и умные указатели, и range-based for (в последних редакциях).
Но нет "будем использовать кривую эскопету и продолжать овнокодить" ((

Ответить | Правка | Наверх | Cообщить модератору

28. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:25

В любой язык вставят точно такую же уязвимость причем тут язык?

Ответить | Правка | Наверх | Cообщить модератору

33. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Фнон (-), 15-Янв-25, 00:38

> В любой язык вставят точно такую же уязвимость причем тут язык?
А ты уверен
1. что эту уязвимость встроили
2. что в любом другом языке она была такой же незаметной
?
Мне оно больше кажется банальной ошибкой.
И если использовать нормальные инструменты: ЯП, стат.анализаторы, санитайзеры и тд, то их появление можно значительно уменьшить.

Ответить | Правка | Наверх | Cообщить модератору

35. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от 12yoexpert (ok), 15-Янв-25, 00:53

хз. сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами заканчиваются

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

48. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от _ (??), 15-Янв-25, 02:17

Тьфуй! Если тебе нужен ЯП высокого уровня (а не Си), ну там - прилады какие насрябать ... то и бери высокоуровневый, а не смесь бульдога с удавам! :)

Ответить | Правка | Наверх | Cообщить модератору

57. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:18

Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно быстро.
По крайней мере этого умения будет хватать чтобы прочитать и понять код, а так же внести простые правки в него.
В крестовом месиве такое и близко не прокатывает.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

61. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от An (??), 15-Янв-25, 07:02

+
А если включать голову и проверять код всякими там анализаторами то и уязвимостей таких не будет.

Ответить | Правка | Наверх | Cообщить модератору

65. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 08:08

Не надо анализаторов и ничего включать, достаточно следовать простому правилу: везде где имя файла/папки принимается по сети или от потенциально враждебного источника нужно использовать openat() вместо open() и прочие ***at() функции для работы с файлами и папками.
Этому правилу уже лет 15 как минимум, все вебсервера прошлись по этому, как и сервера некоторых других протоколов.

Ответить | Правка | Наверх | Cообщить модератору

52. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:08

Потому что кресты не нормальный язык, а очень перегруженный.
По сути вы предлагаете заменить английский на китайский.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

29. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 00:25

"Я уже говорил тебе, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение."
Раз за разом повторяя одни и те же ошибки в мириадах вариаций, они продолжат писать также уже больше 30 лет. Почему?
"Вот я точно такую не допущу"?
"Это в не настоящие программисты, а вот я"?
Или может есть какие-то другие оправдания?
Почему они не хотят изменить свой же инструмент, чтобы перестать делать ошибки раз за разом? Почему они при этом так сильно противятся появлению других инструментов?

Ответить | Правка | Наверх | Cообщить модератору

32. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –2 +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:37

пхпшники и сишники - одного поля ягоды, только могила исправит

Ответить | Правка | Наверх | Cообщить модератору

40. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от OpenEcho (?), 15-Янв-25, 01:23

> Почему они не хотят изменить свой же инструмент
Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Не балоболы написали с нуля rclone, а другие только указывают на каком "правильном" языке надо переписать, но сами при этом - потребители...

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

42. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 01:29

> Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Вот только "воткнуть" не смог ты(((
Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Они не в состоянии улучшать язык без слома обратной совместимости?
> а другие только указывают
А другие уже написали аналог на нужном языке. И не на одном.
> но сами при этом - потребители...
Но-но, ЭТИМ я не пользуюсь!

Ответить | Правка | Наверх | Cообщить модератору

46. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Noname (??), 15-Янв-25, 02:03

> Они не в состоянии улучшать язык без слома обратной совместимости
Да, сделать его полностью безопасным, значит сломать совместимость. А так его улучшают, как могут.

Ответить | Правка | Наверх | Cообщить модератору

49. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от OpenEcho (?), 15-Янв-25, 02:27

> Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Ты сам то понял, что сейчас сказал? :)))
Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?

> Они не в состоянии улучшать язык без слома обратной совместимости?
А ты поробуй, - улучши то, что являестя дефакто стандартом почти пол столетия низкоуровнего ЯП. Его не надо улучшать. С должен именно оставаться таким, как он есть, - скальпелем, микроскопом,  чтобы можно было выкручивать на нем все, что только может ЛЮБАЯ хардварь и любая ОСЬ (а то и вообще без ОСи), без ограничений со стороны языка, типа мы лучше знаем что вам надо и сделаем за вас.
Если ты не заметил, то С уже улушили, С++ называется, в котором достаточно таких же плюшек как и в новомодном расте, а также улучшатели подняли планку чтоб воткнуть в язык и знать наизусть 1000+ страниц спецификации языка, чтоб его изпользовать на всю задуманную мощь.
Странно, что столько народу здесь не могут воткнуть в простую вещь - что во время написания rsync, тогда не было таких заморочек с секьюрностью, достаточно было дописать в конец .ехе или .сом файла пэйлоад, запатчить старт и вперед вирусня. И "С" был единоличным королем среди языков на то время и для той задачи что он выполняет - это был самый правильный выбор, т.к. С++ только стандартизировался. "С" и сейчас остается одним самых эффективных и сливает разве что только ассемблеру и в лоб опкодам. Да, требует однозначно большого внимания и наказывает сильно за ошибки, но микроскопом и не надо гвозди забывать... сейчас, а не 30 лет назад.
Сейчас есть новые инструменты, которые можно и нужно изпользовать, если не надо докапываться слишком далеко до сердца (привет ракетостроителям и всем кто в ring0).
Но тогда, когда появился rsync,  - этого  не было, поэтому не надо гнать на "С" дедушку, - он дал жизнь молодежи и это будет хамством гнать на родителей сейчас ...

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

53. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:10

Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, всё остальное интересно мало.
Только фрикам интересен не функционал программы а язык на котором оно написано и чтобы обновление было сегодняшнее, потому что недельной давно уже жуткое легаси и там страшные уязвимости сами по себе завелись.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

34. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Нуину (?), 15-Янв-25, 00:45

На ржавом наверное уже переписали... Хотя подождите, нужно же сначала написать конкурентый прогрессбар и раскраску для консоли, а это подождет. Бонусом можно будет стебать си.

Ответить | Правка | Наверх | Cообщить модератору

36. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от 12yoexpert (ok), 15-Янв-25, 00:54

а эмодзи для ридми кто будет выбирать?

Ответить | Правка | Наверх | Cообщить модератору

37. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (37), 15-Янв-25, 01:05

Напрягает, что автор этих ляпов rsync попутно является лидером Samba. А в том коде черт ногу сломит.

Ответить | Правка | Наверх | Cообщить модератору

38. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 01:22

> Напрягает, что автор этих ляпов rsync попутно является лидером Samba.
Ваще ни разу не удивлен.
opennet.ru/opennews/art.shtml?num=56615
"Удалённая root-уязвимость в Samba"
CVE-2021-44142 позволяет удалённому атакующему выполнить произвольный код с правами root на системе с уязвимой версией Samba. Проблеме присвоен уровень опасности 9.9 из 10.
opennet.ru/opennews/art.shtml?num=57978
"Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога"
CVE-2022-3437 - переполнение буфера в функциях unwrap_des() и unwrap_des3()
CVE-2022-3592 - возможность выхода за границы экспортируемого каталога ... через манипуляции с символическими ссылками.
"Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера"
opennet.ru/opennews/art.shtml?num=58135
"Уязвимость в модуле ksmbd ядра Linux, позволяющая удалённо выполнить свой код"
https://www.opennet.me/opennews/art.shtml?num=58377

Ответить | Правка | Наверх | Cообщить модератору

44. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 01:31

А... т.е. типикал сишник-омнокодер решил одаривать людей своими выдающимися "талантами" не в одном проекте, а сразу в нескольких?
Похвально, похвально!
Наверное у АНБ расценки упали, ну или может все дело в инфляции и госдолге, раз ему приходится в поте лица трудиться на благо всего сообщества)))

Ответить | Правка | Наверх | Cообщить модератору

54. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:10

Напрягает - не пользутесь.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

45. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +3 +/–

Сообщение от Аноним (45), 15-Янв-25, 01:49

Имеются сомнения в чистоте релиза.
Andrew Tridgell последние 20 лет не релизил rsync, а ключ, которым подписан релизный коммит нигде не опубликован.
Есть и другие нестыковки, которые напоминают ситуацию с xz.
https://bugs.gentoo.org/948106#c2

Ответить | Правка | Наверх | Cообщить модератору

50. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от OpenEcho (?), 15-Янв-25, 02:41

> а ключ, которым подписан релизный коммит нигде не опубликован.
Это то, о чем я твержу второе деятилетие, что подписи GPG/PGP - это как страус прячется в песок.
Абсолютно любой, может пойти и выпустить свой ключ под чужим именем. Нет верификации - нет доверия, хоть чем подписывай. Даже очень крупные проекты не имееют кросс подписей на ключах, типа - "верьте нам все на слово, что это правда те за кого мы себя выдаем", мы ж там на сайтике ХЗ выложили подписи, вот и верьте. Веботраст как не работал так и не работает, для цивилизованных, а вот засранцы-вредители, очень даже верифицируют друга друга, при личной встречи и из рук в руки.

Ответить | Правка | Наверх | Cообщить модератору

55. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:12

Так и что дальше?
Ходить в интернет по паспорту?

Ответить | Правка | Наверх | Cообщить модератору

64. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от User (??), 15-Янв-25, 07:47

Заверять ЭЦП microsoft или apple жи! Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...

Ответить | Правка | Наверх | Cообщить модератору

62. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (62), 15-Янв-25, 07:04

Всё нормально, весной прошлого года Tridgell  вернулся в проект https://www.opennet.me/60941 Это его первый релиз, после возвращение в сопровождающие, поэтому и ключ новый.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
Сообщение от Аноним (4), 14-Янв-25, 23:37
Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (39), 15-Янв-25, 01:22
	Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. Скрыто модератором	–2 +/–
	Сообщение от Аноним (-), 15-Янв-25, 01:26
	> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью! Идите в пень со своим "безопасным языком", для вас есть соседняя тема. Тут хватило бы писать не ногами, а руками. А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
Сообщение от Я (??), 14-Янв-25, 23:43
Гит блейм в руки и всё узнаете
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (8), 14-Янв-25, 23:48
	> Гит блейм в руки и всё узнаете А там JinTan какой-нибудь. И где ты его искать будешь? Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (4), 14-Янв-25, 23:51
	Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	13. Скрыто модератором	+/–
	Сообщение от Фнон (-), 14-Янв-25, 23:54
	> Почему никто это не сделает и не опубликует результаты? Потому что: 1. люди ленивые 2. всем пофиг Но ты можешь поработать на благо общества. > Или кому то не выгодно чтобы мы узнали правду? Все так привыкли к тому, что проект с содержанием "дыряшки в 82%" будет рассадником уязвимостей и багов. Поэтьому никто не удивляется.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. Скрыто модератором	+2 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:01
	О почему на Jia Tan все возбудились, а тут всем пофиг? Не думал что кому-то выгодно управлять фокусом внимания?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. Скрыто модератором	+/–
	Сообщение от Аноним (-), 15-Янв-25, 00:25
	> О почему на Jia Tan все возбудились, а тут всем пофиг? Предположу, что там был уже обнаруженный совершенный взлом. И пострадавшие были заинтересованы в максимальной огласке. А тут ХЗ, может было, может нет. > Не думал что кому-то выгодно управлять фокусом внимания? Естественно думал. Но уязвимостей так много, что если кричать "волк-волк" каждый раз, то разработчики просто разбегутся. Т.к никто не захочет забесплатно писать код, а потом рисковать получить обвинения во внедрении какой-то бяки. Я этой штукой не пользуюсь, так что точно не буду подымать волну.
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
Сообщение от Ayjy (?), 14-Янв-25, 23:51
Ух, список! Классный. Наверное кто-то расстроится, раз такие бекдоры закрыли. Или нет, если они уже не нужны)) ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (4), 14-Янв-25, 23:52
	Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–2 +/–
Сообщение от Анонимусс (?), 14-Янв-25, 23:57
Ахаха, т.е. мяу) Отличная новость! Как раз расставляет все точки над i в споре из соседней темы)) "Запись за пределы выделенного буфера" "Утечка содержимого неинициализированных данных из стека" "Состояние гонки при работе с символическими ссылками" Так это же... просто классическое дыряшечное бинго! Особо радуют исправления вида: - #define sum2_at(s, i) ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len)) + #define sum2_at(s, i) ((s)->sum2_array + ((size_t)(i) * xfer_sum_len)) - s->sum2_array = new_array(char, s->count * xfer_sum_len); + s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len); Бедняги, опять не запутались в типах и буферах! Гениально! Оказывается нужно чистить память за собой! + // prevent possible memory leaks + memset(sum2, 0, sizeof sum2);
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+4 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:00
	Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от чатжпт (?), 15-Янв-25, 00:05
	Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD а мифические диды как писали дырявый код так и продолжают
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (4), 15-Янв-25, 00:07
	Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:08
	Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	20. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Фнон (-), 15-Янв-25, 00:10
	Галочка, ты не поверишь! (с) github.com/your-tools/rusync - Rust 99.1% И еще куча других. Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	23. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+2 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:16
	Половины функционала нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от _ (??), 15-Янв-25, 02:13
	На мотив бардовской песни: ... есть только C0C - за него и держись ;-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Ivan_83 (ok), 15-Янв-25, 03:15
	rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты. Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	22. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (-), 15-Янв-25, 00:11
	> Чего ты на раст то не переписал? А раст тут причем? Зачем вы его приплетаете в тему про Rsync, который на си написан? И как наличие или отсутствие раста оправдывает такие глупые ошибки?
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	24. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:17
	Зачем приплетать дыряшечность? Которой нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Аноним (-), 15-Янв-25, 00:21
	В смысле нет? Уязвимости есть? Есть. Исполнение кода злоумышленника есть? Есть! "позволяет добиться выполнения своего кода на сервере" Вот тебе и дырявость, как у шерета.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:24
	Никакой связи уязвимость есть уязвимость она может быть где угодно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от чатжпт (?), 15-Янв-25, 00:34
	"запись за пределы выделенного буфера" не может быть где угодно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от АнонимичныйАноним (?), 15-Янв-25, 06:49
	Если очень захотеть, то можно всё! https://github.com/Speykious/cve-rs ;) Обозначу сразу, что я не занимаю какую либо позицию в дискуссии, а просто прикалываюсь Тем более, что в основном я пишу на (языкк (скобочек))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Ivan_83 (ok), 15-Янв-25, 03:07
	Вы так старались, но у вас никогда нет ответа: сколько ущерба это принесло. Мне это принесло скорее всего 0 ущерба, хоть у меня rsync и торчит наружу доступный для чтения уже лет 15. Но я так и быть подумаю на досуге над тем чтобы возможно порезать возможности демона rsync по доступу к файлам, а пока просто потушил его пока обновления не прилетят.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	58. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Ivan_83 (ok), 15-Янв-25, 03:50
	А исправления вида поменять open() на openat() тебя радуют? Или гниль с крестами сами такое делают, магически угадывая заранее? https://github.com/RsyncProject/rsync/commit/b4a27ca25d0abb6...
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору

25. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
Сообщение от Фнон (-), 15-Янв-25, 00:19
И почему люди настолько упрямые, ака ослики, что не хотят просто использовать нормальные языки программирования. Например С++. Там есть и RAII, и умные указатели, и range-based for (в последних редакциях). Но нет "будем использовать кривую эскопету и продолжать овнокодить" ((
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:25
	В любой язык вставят точно такую же уязвимость причем тут язык?
	Ответить \| Правка \| Наверх \| Cообщить модератору