Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В ядре Linux выявлены эксплуатируемые уязвимости в POSIX CPU timer, cls_route и nf_tables"	+/–
Сообщение от opennews (??), 10-Авг-22, 21:30
В ядре Linux выявлено несколько уязвимостей, вызванных обращением к уже освобождённым областям памяти и позволяющих локальному пользователю повысить свои привилегии в системе. Для всех рассматриваемых проблем созданы рабочие прототипы эксплоитов, которые будут опубликованы через неделю после публикации информации об уявзимостях. Патчи с устранением проблем отправлены разработчикам ядра Linux... Подробнее: https://www.opennet.me/opennews/art.shtml?num=57622
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 10-Авг-22, 21:30	–16 +/–
А если бы Линус послушал Таненбаума и сделал микроядро, этих уязвимостей бы не было?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от marten (ok), 10-Авг-22, 21:32	+19 +/–
Ага, и линукса тоже не было бы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от ТвойОтец (?), 10-Авг-22, 21:36	–7 +/–
Был бы православный Hurd. А Linux все равно подстилка корпораций и нинужОн.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #18

4. Сообщение от Шарп (ok), 10-Авг-22, 21:39	+1 +/–
>позволяющих локальному пользователю повысить свои привилегии в системе Когда критикуют systemd, то обычно ссылаются на его огромность, которая якобы приводит к большому числу уязвимостей. Только вот эти товарищи у себя под боком не замечают более жирненький источник уязвимостей - монолитное ядро linux. Что не день, так новая порция уязвимостей. Systemd на фоне ядра - бастион безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #9, #24

6. Сообщение от истина в последней инстанции (?), 10-Авг-22, 21:46	+1 +/–
> Когда критикуют systemd, то обычно ссылаются на его огромность systemd критикуют не за это
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10, #13

9. Сообщение от Анонист (?), 10-Авг-22, 21:50	+3 +/–
Правда проблема не в монолитности, модули netfilter/nf_tables даже не загружены в ядро, если не пользуешься фаерволом. А если пользуешься, то на любой оси даже абсолютно сторонний дырявый драйвер может позволить получить доступ к ядру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11, #34, #158

10. Сообщение от Ананимус (?), 10-Авг-22, 22:05	–2 +/–
Не, есть куча сектантов, которые орут ололо небезопасно же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #29

11. Сообщение от Ананимус (?), 10-Авг-22, 22:05	–3 +/–
А вот был бы netfilter на Rust...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12, #31

12. Сообщение от Аноним (12), 10-Авг-22, 22:11	+/–
А вот были бы комментаторы на Rust...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19

13. Сообщение от Аноним (18), 10-Авг-22, 22:12	+9 +/–
Вы слово «критикуют» со словом «обсирают» не путайте. Критикует один из десяти разве что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #40

15. Сообщение от Аноним (145), 10-Авг-22, 22:15	+5 +/–
> вызванных обращением к уже освобождённым областям памяти Опять ненастоящие программисты на Си в ядро прокрались и накоммитили там?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #27, #78

16. Сообщение от Анончик (?), 10-Авг-22, 22:24	+/–
интересно, какое медианное время жизни уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 10-Авг-22, 22:27	+3 +/–
Запомните, программисты на Си не могут ошибаться по определению. Они не какие-нибудь смузихлебы на расте. Поэтому если находят уязвимость в Си коде, то оставлена она там СПЕЦИАЛЬНО.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

18. Сообщение от Аноним (18), 10-Авг-22, 22:32	+8 +/–
У HURD всегда Linux виноват. Вот если бы не Linux, ухх развернулись бы! Правда, хурд на год раньше линукса родился, но этот неудобный факт не афишируется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #39, #61

19. Сообщение от НяшМяш (ok), 10-Авг-22, 22:47	+2 +/–
Взаимоисключающие понятия. Они тогда не были бы комментаторами, ибо им было бы некогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #73

20. Сообщение от Аноним (20), 10-Авг-22, 22:56	+/–
Я специально не убираю структуры из списка, даже если освободил всё, что было по адресам указателей в этой структуре. Так веселее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

22. Сообщение от Аноним (22), 10-Авг-22, 23:07	–4 +/–
Уязвимости, потому что код не написан на Carbon.
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Аноним (112), 10-Авг-22, 23:13	+/–
> созданы рабочие прототипы эксплоитов, которые будут опубликованы через неделю А зачем, ©, - пометить дерево, так сказать?
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (-), 11-Авг-22, 00:25	–4 +/–
Подобное раздутое ПО лишает свободное ПО смысла ведь, нпапример, крайне трудно проводить аудит кода. Продвинутые люди критикой systemd не ограничиваются и уже смотря на негативные тенденции в полном серьезе рассматривают OpenBSD, seL4, Plan9. А в systemd было крайне много уязвимостей за историю, а если считать его не вирусом, а системой инициализации, то поразительно много, там уязвимостей быть вообще не должно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #25, #52

25. Сообщение от Аноним (137), 11-Авг-22, 00:31	+2 +/–
> Продвинутые люди критикой systemd не ограничиваются и уже смотря на негативные тенденции в полном серьезе рассматривают OpenBSD, seL4, Plan9. Очень продвинуто, особенно учитывая, что "безопасность" опёнка держится в основном на громких заявления Тео и отсутствии аудита.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #91

27. Сообщение от Аноним (137), 11-Авг-22, 00:37	+1 +/–
> Опять ненастоящие программисты на Си в ядро прокрались и накоммитили там? А настоящие программисты на Си, которые не делают дуршлаг из всего, к чему прикасаются - вообще бывают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #37, #38, #66, #94, #148, #150

28. Сообщение от Аноним (28), 11-Авг-22, 03:28	+3 +/–
Ре Ше То. Сишники 30 лет не могут научиться с памятью работать. Зато rust критикуют профессионально.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #81

29. Сообщение от Аноним (29), 11-Авг-22, 04:17	+2 +/–
http://skarnet.org/software/systemd.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #71, #145

30. Сообщение от Аноним (30), 11-Авг-22, 05:07	+1 +/–
Опять закладки спалили и приходится выдавать их за ошибки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #58

31. Сообщение от EULA (?), 11-Авг-22, 05:11	+/–
Тогда бы нетфильтр вообще бы не работал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #83

32. Сообщение от Аноним (29), 11-Авг-22, 05:11	+1 +/–
Готовые майнеры битка есть, которые можно подвесить к этой уязвимости есть?
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (33), 11-Авг-22, 05:46	+4 +/–
Код сишников 30 лет работает и проработает ещё немало, а растаманы, складывается впечатление, больше щёки надувают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #51

34. Сообщение от Аноним (34), 11-Авг-22, 05:56	+1 +/–
Вопрос надо ставить по другому: Если netfilter/nf_tables были в юзерспейсе...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #86

35. Сообщение от Бывалый смузихлёб (?), 11-Авг-22, 06:19	–1 +/–
> Уязвимость присутствует начиная с выпуска 2.6.12-rc2 > Уязвимость присутствует начиная с выпуска 3.16-rc1 > Уязвимость присутствует начиная с выпуска 3.16-rc1 Но ведь.. но тысячеглаз же
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36, #41

36. Сообщение от Ann (??), 11-Авг-22, 06:51	+4 +/–
Но ведь в итоге нашли
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

37. Сообщение от Ann (??), 11-Авг-22, 06:54	+3 +/–
Ну и не пользуйся всем, что написано на С и не используй сишные либы. Развивай redox. А потом сравним оси по быстродействию, жору ресурсов и дырявости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #49

38. Сообщение от Sw00p aka Jerom (?), 11-Авг-22, 07:08	+2 +/–
когда черпак с дырочками, не надо грешить на то, что вода слишком текучая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

39. Сообщение от Аноним (39), 11-Авг-22, 07:50	+1 +/–
А Рамблер появился на 2 года раньше Гугла. А Яндекс на 1 год раньше Гугла. И чего?  Какая вообще разница кто когда появился?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #45, #47

40. Сообщение от Аноним (39), 11-Авг-22, 07:51	+2 +/–
В основном тут системдишники обсираются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

41. Сообщение от Аноним (39), 11-Авг-22, 07:52	+/–
А в NT ядре даже и не искали.  Они пишут сразу без ошибок, нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #60, #75

42. Сообщение от Аноним (39), 11-Авг-22, 07:53	+/–
Таков Путь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

43. Сообщение от лютый ж.... (?), 11-Авг-22, 08:15	+1 +/–
Нет доцкера, нет проблем. CAP_NET_ADMIN им ещё подавай
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (44), 11-Авг-22, 08:37	+1 +/–
И опять в двух случаях из трех без включенного namespace не обошлось.
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Аноним (18), 11-Авг-22, 08:45	+6 +/–
Сравнивать русскоязычные поисковики с гуглом вообще некорректно. А рамблер vs яндекс — как раз очень показательно: как, имея всё, всё просрать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #50

46. Сообщение от freecoder (ok), 11-Авг-22, 09:24	–4 +/–
Rust не нужен, говорили они.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

47. Сообщение от Аноним (47), 11-Авг-22, 09:24	+3 +/–
А АльтаВиста - на 3 года раньше Гугла. Но без ранжирования Пейджа не взлетело бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #59

48. Сообщение от Аноним (50), 11-Авг-22, 09:33	+3 +/–
Зачем он нужен болезный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #54

49. Сообщение от Аноним (50), 11-Авг-22, 09:34	+1 +/–
А это же сишники виноваты в том то на расте ничего не написано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #76

50. Сообщение от Аноним (50), 11-Авг-22, 09:36	+3 +/–
Yahoo search на 3 года раньше Гугла и заграничный. Давай вещай свой бред дальше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #64

51. Сообщение от Аноним (51), 11-Авг-22, 09:42	+/–
Угу, проработает... Видим мы как оно "работает"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #74

52. Сообщение от яналим (?), 11-Авг-22, 09:43	+/–
Раздувание ПО это беда не только культуры opensource, но и айти в целом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

53. Сообщение от Аноним (51), 11-Авг-22, 09:49	+4 +/–
Офигеть... 3.16-rc1 - Jun 2014 2.6.12-rc2 - Apr 2005 Три древнючих уязвимости и все из-за рукожопства с памятью. И ведь не спихнешь на всяких смузихлебов, тогда еще ядро диды писали. Но и они нешмогли.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #103

54. Сообщение от Анонн (?), 11-Авг-22, 09:53	+/–
Чтобы хоть как-то заставить сишников перестать дважды очищать память?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #88, #98

55. Сообщение от uchiya (ok), 11-Авг-22, 09:54	+/–
Комментаторы про микроядра от бога. Да, если поделить функционал ядра на 100, то получим 1 ядро и 99 других мест с теми же уязвимостями. Но стоп. Главное в ядре которое само по себе ничего не может будет меньше проблем. Просто интересно, они понимают, что повторение похожего функционала и всех подсистем это +\-  тот же объём кода, и  даже почти того же самого, просто в пространстве пользователя или прилепленного с боку.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #82, #100

56. Сообщение от Да ну нахер (?), 11-Авг-22, 10:00	+1 +/–
Мдауш. Вот тебе и безопасность, вот тебе и надёжность. Даже таймер за двадцать лет написать без ошибок не смогли.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

57. Сообщение от Анонн (?), 11-Авг-22, 10:15	+/–
Но при этом каждый из кирпичиков был бы меньше по объему кода, с существенно меньшей связностью и описывался бы только протоколами взаимодействия. Для них можно было бы сделать доп защиты вроде своих участков памяти, что бы исправило много проблем описанных в статье. Или написать свой использую предоставленный протокол. Плата за это - накладные расходы на трансляцию объектов между отдельными подсистемами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #90

58. Сообщение от Аноним (58), 11-Авг-22, 10:33	+/–
Шо вы таки понимаете в бизнесе? Сначала встраиваем уязвимости и получаем за это $, потом находим уязвимости и получаем ещё $, потом устраняем уязвимости и получаем ещё немножко, а потом уже можно и новые встраивать. Ничего личного! 😈
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

59. Сообщение от Аноним (-), 11-Авг-22, 10:37	–1 +/–
> А АльтаВиста - на 3 года раньше Гугла. Но без ранжирования Пейджа > не взлетело бы. Да и в нормальное масштабирование на глобальные масштабы только гугл и сумел. Остальные слились на индексировании. Нет, знаете, индекс протухший на месяц это не очень ценно, полно 404 или наоборот не может найти актуальное. Только гугол и смог всю планету оперативно сканировать своими ботами. Остальные где-то сильно позади.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #112

60. Сообщение от Аноним (-), 11-Авг-22, 10:38	–1 +/–
> А в NT ядре даже и не искали.  Они пишут сразу без ошибок, нет. Прикольно это выдать после вторника патчей :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

61. Сообщение от ТвойОтец (?), 11-Авг-22, 10:42	–1 +/–
Какая разница, кто и когда родился? Факт в том, что неоплачиваемые недоучки-джастфофаны пошли писать, что попроще. Ешьте теперь свои двадцатилетние дыры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #65, #85

62. Сообщение от Аноним (-), 11-Авг-22, 10:43	+/–
> Мдауш. Вот тебе и безопасность, вот тебе и надёжность. Даже таймер за > двадцать лет написать без ошибок не смогли. Вообще-то смогли, НО потом народу контейнеры захотелось. В изначальной логике этого не было, ну их и прикрутили на спички и изоленту. Не переписывать же ради 1 фичи ядро с ноля, потому что на моммент начала кодинга 0.чтототам о контейнерах и близко не задумывались?! А за вот это вот - воздается довольно развеселыми логическими факапами, когда логика деланая под "одноголовое" ядро - при попытке косить под змейгорыныча с независимыми головами начинает отъезжать. И даже на хрусте в этом допущении гамна, имхо, покушали бы. Сложная это затея, многопоточное, нафиченое нечто перепилить под совсем другие допущения на ходу. Сишники лажают? А покажите как вы такие номера сделаете. А, вы такими масштабами вообще не ворочаете а в хелловорлде так при всем желании не обгадишься? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #63

63. Сообщение от Анонн (?), 11-Авг-22, 10:53	+/–
> при обработке нулевого дескриптора старый фильтр не удалялся из хэш-таблицы до очистки памяти > приводит к обращению к освобождённой области памяти после удаления данной таблицы > остаётся в списке, несмотря на очистку выделенной для хранения памяти Пока что амна покушали сишники. Добавление контейнеров, как и изменение любой логики, никак не должно влиять на такое. Это же классические проблемы с памятью. Они написали г0внокод и он просто не выстреливал им в ногу до поры до времени. Но день настал)) В расте оно бы или просто не дало бы дважды обратиться к области памяти или бы запаниковало с выводом трейса (и эта паника скорее всего была бы перехвачена ядром чтобы не падать, а дальше залогированно и напр. перезапущен упавший сервис) Что легко бы нашли во время тестирования или уже у юзеров (прям как сейчас))). Только на много лет раньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #69, #93, #153

64. Сообщение от Аноним (18), 11-Авг-22, 10:58	+2 +/–
Та же самая ситуация. Появились раньше и всё проср-ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

65. Сообщение от Аноним (18), 11-Авг-22, 11:00	+/–
А маэстро программирования тем временем чем занимались?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #67, #68

66. Сообщение от Аноним (18), 11-Авг-22, 11:08	+/–
Нет. Писать на Си — всё равно что работать на крыше без страховки. Каким ты ни будь альпинистом, рано или поздно наипнёшься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #87

67. Сообщение от Аноним (50), 11-Авг-22, 11:11	+2 +/–
Сидит эникеет в протухшем НИИ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #146

68. Сообщение от Аноним (68), 11-Авг-22, 11:13	–1 +/–
Изобретали швятой Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #157

69. Сообщение от Аноним (50), 11-Авг-22, 11:14	–1 +/–
В расте оно бы никогда не было написано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #101

70. Сообщение от Аноним (70), 11-Авг-22, 11:14	+/–
> CVE-2022-2585 - уязвимость в POSIX CPU timer, вызванная тем, что при вызове из не лидирующей нити структура таймера остаётся в списке, несмотря на очистку выделенной для хранения памяти. Уязвимость присутствует начиная с выпуска 3.16-rc1. а по линку в баге "This bug was introduced by commit 55e8c8eb2c7b ("posix-cpu-timers: Store a reference to a pid not a task"), which is present since v5.7-rc1."
Ответить | Правка | Наверх | Cообщить модератору

71. Сообщение от Аноним (68), 11-Авг-22, 11:20	+/–
>Cross-platform compatibility. BSD is not dead, Solaris is not dead, but systemd ignores Unix. А что, бздуны мечтают прикрутить себе systemd?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #79

72. Сообщение от Аноним (72), 11-Авг-22, 11:20	+1 +/–
Вы не поняли. Ядро это не баг, ядро это фитча. Но с таймером конечно засада. Тупенький баг.
Ответить | Правка | Наверх | Cообщить модератору

73. Сообщение от Аноним (68), 11-Авг-22, 11:22	+1 +/–
Самопереписывались бы на Rust?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

74. Сообщение от Аноним (68), 11-Авг-22, 11:24	+/–
Так код на Rust вообще не работает, за отсутствием оного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #97

75. Сообщение от Аноним (68), 11-Авг-22, 11:27	+/–
Наверное, кто-то да нашёл по утекшим исходникам. Но публично не скажет, ибо низзя - раскрытие интеллектульной собственности MS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

76. Сообщение от Аноним (68), 11-Авг-22, 11:33	+1 +/–
Точно, на Опеннетике Rust хейтят, тем самым, пейсателям Redox мешают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

77. Сообщение от birdie (ok), 11-Авг-22, 11:51	+1 +/–
Что-то я не понял, а где патчи? В каких ядрах пофикшено? Текущие уже "старые":     5.19     2022-07-31     5.18.16    2022-08-03
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #102

78. Сообщение от Аноним (78), 11-Авг-22, 11:52	+/–
>Опять ненастоящие программисты на Си в ядро прокрались и накоммитили там? Накоммитил - убери за собой!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #140

79. Сообщение от Ананимус (?), 11-Авг-22, 11:54	+/–
>>Cross-platform compatibility. BSD is not dead, Solaris is not dead, but systemd ignores Unix. > А что, бздуны мечтают прикрутить себе systemd? Не знаю. Скарнет вообще странный слегка, Solaris именн что dead.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #154

81. Сообщение от Аноним (81), 11-Авг-22, 12:04	+/–
>>> Сишники 30 лет не могут научиться с памятью работать<<< А чего вы ожидали?, учитывая тот факт, что изо всех щелей, до сих пор рекомендуют книгу K&R. Кто-нибудь, скажите уже им, что этого недостаточно чтобы писать production code🤦 Нужно ещё как минимум обязательно прочитать CERT C Coding Standard, а также познакомиться с таким понятием как тестирование, а то складывается впечатление, что Сишники вообще не знают что это такое, а если и знают то не понимают какие входные данные нужно использовать. ПС: Помню, в своё время, когда изучал libc и ковырялся в open source проектах, в частности в pico libc например, то в функции strrchr наткнулся на типичный баг, который связан с некачественным тестированеим (подбором входных данных). Лично я никогда не репортю баги:), так иногда пишу то здесь то там (в частности писал здесь в комментариях) Так вот гуру с опеннета пытался мне доказать, что ну да, мол программист типа опечатался, типа бывает (уже не помню, что он там мне лечил), на моё замечание, что при должном тестировании данную ошибку стразу бы легко обнаружили, - он разумеется снова ответил что-то столь же полезное:), ну хоть не поленился и зарепортил баг на github:)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #96

82. Сообщение от Аноним (82), 11-Авг-22, 12:32	+1 +/–
> Но стоп. Главное в ядре которое само по себе ничего не может будет меньше проблем. Ага. А локализация проблемы при ошибке? В монолите драйвер какой-нибудь звкуковухи, USB или вайфая (не важно, какой-нибудь относительно некритичный для системы в целом), особенно редкого железа, из-за ошибки полез не в свою память, переписал структуры драйвера файловой системы, блочных устройств или какой-нибудь подсистемы безопасности или менеджера памяти, те в свою очередь еще успели поработать по рандомным данным, наворотили что-то страшное и только потом всё это навернулось медным тазом. В микроядре же - такой драйвер USB "полез не в свою память" (т.е. по несуществующему адресу, он же как обычный процесс в своей выделенной памяти работает) - сразу же аппаратное исключение, микроядро и дальше уже как настроено будет или как требуется по логике - просто снос процесса драйвера или перезапуск, если допустимо (драйвер усб или звуковухи часто обычно не так чтобы очень важны и критичны). Ну конечно если драйвер супер-дупер важный и перезапуск ничего не решает, то тогда только перезапуск всей системы. Устойчивость системы выше, конечно всё это за счет производительности (переключений контекстов задач значительно больше). Компромиссы и кому что важнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #152

83. Сообщение от Ананимус (?), 11-Авг-22, 12:52	–1 +/–
discord же работает. А он уже на Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #137

85. Сообщение от Аноним (85), 11-Авг-22, 13:03	+/–
Есть другой вариант. Занятся HURD'ом и лет триста отлавливать баги и уязвимости внутренних интерфейсов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #107

86. Сообщение от Аноним (85), 11-Авг-22, 13:06	+/–
То были бы жесткие тормоза.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

87. Сообщение от Аноним (85), 11-Авг-22, 13:09	+/–
Вы с бригадами молдован общались? Сколько у них в бригадах наипнулось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #95, #139

88. Сообщение от Аноним (85), 11-Авг-22, 13:13	–1 +/–
Это с учетом того, что сложные связные структуры в расте надо в unsafe делать, а в ядре практически все структуры сложные и связные?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #104

90. Сообщение от Аноним (85), 11-Авг-22, 13:18	+/–
Вот только такой объем функционала подразумевает в разы больший чем в linux объем внутренних интерфейсов. Людей способных проанализировать такое на непротиворечивость и безопасность не существует. Кто будет этим заниматься?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #109

91. Сообщение от Аноним (91), 11-Авг-22, 13:19	+/–
Очень продвинуто, особенно учитывая, что "безопасность" линукса держится в основном на громких заявления анонима и отсутствии аудита.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #119

93. Сообщение от Аноним (85), 11-Авг-22, 13:21	+/–
Как я уже писал все структуры ядра сложные и связные. В расте в таких случаях unsafe сплошной. Кто там и что не дал бы сделать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #106

94. Сообщение от Аноним (91), 11-Авг-22, 13:25	+/–
Ну бывают, и что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

95. Сообщение от Аноним (18), 11-Авг-22, 13:28	+/–
А типа не случается? Одного знаю, кстати (хоть тот и не молдаванин). Цели провести прям вот чёткую аналогию не было, так, намёк просто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

96. Сообщение от Аноним (91), 11-Авг-22, 13:29	+/–
Тут программисты не сидят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #130

97. Сообщение от burjui (ok), 11-Авг-22, 13:31	+1 +/–
Ну да, ведь если не видишь чего-то, потому что не смотришь, значит, этого нет. Очень удобно для дискуссий на Опеннете: отвернулся - и противник повержен. А противник он почему? Да патамушта смузихлёбы и вообще!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

98. Сообщение от Аноним (91), 11-Авг-22, 13:34	–1 +/–
Чтобы тролить опеннет, очевидно же. К разработке этот язык отношения не имеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

100. Сообщение от микроядро (?), 11-Авг-22, 13:39	+/–
Ты ничего не понял в микроядерной архитектуре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #115

101. Сообщение от сишник (?), 11-Авг-22, 13:43	+1 +/–
Ну что, получается затролели вас растоманы, раз при любой уязвимости вы начинаете оправдываться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

102. Сообщение от сишник (?), 11-Авг-22, 13:46	–1 +/–
Напиши сам, тебе бесплатно патчи высылать должны чтоли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

103. Сообщение от burjui (ok), 11-Авг-22, 13:49	+1 +/–
Так всё именно потому, что писали старпёры, а вот если бы писали школьники с Опеннета, то ошибок бы не было. Здесь даже первоклашки знают стандарт наизусть. На уроках пишут планировщики, на дом им задают дрова, а в качестве хобби они пишут микроядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #133

104. Сообщение от Аноним (-), 11-Авг-22, 14:01	+/–
Брехня, unsafe нужен для очень назкоуровневых вещей. Все остальное пиши как обычно с нужными объектами синхронизации. Ну а то что в ядре такая связность просто показатель прекрасно продуманной архитектуры))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #113, #159

105. Сообщение от Zenitur (ok), 11-Авг-22, 14:02	–1 +/–
Надеюсь, что для RHEl 4 и Debian 8 выкатят фикс, даже несмотря на закончившуюся поддержку. Ради исключения.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108, #111

106. Сообщение от сишник (?), 11-Авг-22, 14:17	+1 +/–
Затролен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #116

107. Сообщение от Аноним (107), 11-Авг-22, 14:25	+1 +/–
Его нельзя оживить он жестко прибит к 32-м битам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #118

108. Сообщение от Аноним (107), 11-Авг-22, 14:26	+/–
Не выкатят, я гарантирую это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

109. Сообщение от Анонн (?), 11-Авг-22, 14:27	+/–
Интерфейсов в любом случае будет меньше чем кода в ядре. Если даже их невозможно "проанализировать на непротиворечивость и безопасность", то что можно говорить про само ядро где эти все интерфейсы присутствуют, только в менее явном и более запутанном виде? А для интерфейсов можно применить формальную верификацию, что конечно сложно, но существенно проще чем для кода. Основная проблема что когда все начиналось, компы были слишком слабые для накладных расходов на интерфейсы, а код на порядки меньше и проще. Поэтому микроядра вначале и не взлетели, а потом "ну оно ж уже работает - не переписывать же! давайте в него нахерячим еще пару млн строк кода, хуже не станет"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #114

111. Сообщение от Аноним (51), 11-Авг-22, 14:38	+/–
Ради какого исключения? Это линукс, а не мелкософт какой-то, который еще для семерки фиксы выпускает! Копроядра уже окаменели, пора закопать и обновиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #117

112. Сообщение от Аноним (112), 11-Авг-22, 15:14	+3 +/–
Развесистая структура нужных связей плюс потомок советских математиков? )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #151

113. Сообщение от Аноним (85), 11-Авг-22, 15:16	+/–
> Брехня, unsafe нужен для очень назкоуровневых вещей. А в ядре какие? > Ну а то что в ядре такая связность просто показатель прекрасно продуманной архитектуры)) Тут конечно - не без этого. Но! Большинство таких вещей обусловлено или исторически сложившимся (пока работает - потом перепиашем) или скоростью работы (тут уж никуда не попрешь) или самими задачами (тут тем более никуда не попрешь). Вот мне и интересно, когда покажут хоть один пример, где будет видна польза от rust?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

114. Сообщение от Аноним (85), 11-Авг-22, 15:21	+/–
> Интерфейсов в любом случае будет меньше чем кода в ядре. Категорически неверно. > Если даже их невозможно "проанализировать на непротиворечивость и безопасность", то что можно говорить про само ядро где эти все интерфейсы присутствуют, только в менее явном и более запутанном виде? Конкретный хак - не интерфейс. Он минимален, Он понятен. Он легко изменяем. Огромное количество проверок отпадает за ненадобностью. Так что микроядро - конечно, хорашая вешь. Но она случится при внуках моих внуков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #125

115. Сообщение от Аноним (85), 11-Авг-22, 15:23	–1 +/–
Очевидно, обратное. Он же говорит. Что само по себе микроядро - не дает ничего. А дополнительными модулями - огромное число доплнительных связей, за каждой из которых нужны дополнительные проверки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #122

116. Сообщение от Аноним (85), 11-Авг-22, 15:25	+1 +/–
Спасибо, что отчитываешься. Но нам не интересно, затролен ты или нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

117. Сообщение от Аноним (117), 11-Авг-22, 15:32	+/–
Фиксы… Фиксы для копроОС, в которой не работает примерно ничего уже 10 лет. Оно долго живо только потому что это был последний тулчейн без метро, работоспособности это не очень помогает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #121, #124

118. Сообщение от Аноним (118), 11-Авг-22, 15:34	+/–
Но 4 гибибайта должно хватить для всех браузеров, текстовых редакторов и видеоплееров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

119. Сообщение от Бывалый смузихлёб (?), 11-Авг-22, 15:40	+/–
Очень продвинуто, особенно учитывая, что готовность к проду и безгемморность установки популярного ПО на поделия вроде Plan9 держится в основном на громких заявления анонима и отсутствии аудита.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #120

120. Сообщение от Аноним (91), 11-Авг-22, 15:51	+/–
Очень продвинуто, особенно учитывая, что готовность к проду и безгемморность установки популярного ПО на поделия вроде десятки держатся в основном на громких заявления микрософта и имитации деятельности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

121. Сообщение от Аноним (91), 11-Авг-22, 15:55	+/–
Фиксы… Фиксы для GNU, в котором не работает примерно ничего уже 20 лет. Его труп пинают только потому, что это был последний тулчейн без раста. Работоспособности это впрочем не помогает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #127

122. Сообщение от Аноним (82), 11-Авг-22, 15:57	+/–
> А дополнительными модулями - огромное число доплнительных связей Там это "огромное число доплнительных связей" "расшито" через подсистему IPC которая обычно на сообщениях строится и это "число связей" не отличается от монолита. Какая разница - дернуть функцию в монолите (надо знать какую) или отправить кому-то сообщение единообразным способом через микроядро? Единственное преимущество монолита - скорость. А у микроядра - бОльшая надежность (ошибка не распространяется дальше процесса драйвера и не затрагивает структуры памяти других драйверов/процессов/приложений).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #155

124. Сообщение от Аноним (51), 11-Авг-22, 16:32	+/–
Хаха, на семерке прекрасно запускается что современный софт, что современные игры. Последнее что пробовал: Stray работает прекрасно. А все потому что некоторые умеют в обратную совместимость, в отличие от... Она небезопасна - разумеется, но если гонять ее в виртуалке, то вполне норм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #126, #128

125. Сообщение от Аноним (51), 11-Авг-22, 16:38	+/–
> Он минимален Возможно > Он понятен Чуваку который его писал примерно пару месяцев. А далее без развесистого коммента не обойтись. И то не факт что поможет. > Он легко изменяем. А потом выстреливает совсем в другим месте. Потому что забыли дописать про сайд-эффекты. Я не предлагаю все классы наследовать заставлять реализовывать интерфесы. Был у меня один такой проект и это был маленький адок. Но разделить логические блоки (хотя бы крупные) для уменьшения связности и изоляции - это было бы очень круто. А сейчас с ядром понятно что ничего не сделаешь :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

126. Сообщение от Аноним (117), 11-Авг-22, 16:42	+/–
Вряд ли. Может, ты думал, что прекрасно, а на самом деле там не было звука где-нибудь? Это прям вообще частая тема. С багами всё интереснее. В софте баги уровня format c выплывают при попытке запустить на 7. И анриал энжин нещитово наверно, с юнити больше проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

127. Сообщение от Аноним (117), 11-Авг-22, 17:02	+/–
Кстати, GNU успешно развивается, это самая комфортная для работы система сегодня и каждый год она становится только лучше. Ядра только не завезли. А без раста всё без раста -- поделки, которые пытаются копировать GNU, поделками и остаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #134

128. Сообщение от Аноним (18), 11-Авг-22, 17:06	+/–
> современный софт, Adboe — всё. Autodesk — всё. VMWare — всё. Список можно продолжить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #136

130. Сообщение от Аноним (112), 11-Авг-22, 17:41	+/–
Программистки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

133. Сообщение от Аноним (112), 11-Авг-22, 17:48	+/–
не было бы. Извините )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

134. Сообщение от Аноним (91), 11-Авг-22, 18:06	+1 +/–
Да что там GNU? Вот BSD - да, успешно развивается, факт. Это самая комфортная для работы система на сегодняшний день и каждый год она становится только лучше. Вы коммиты видели? Растом там даже не пахнет! А ядро, ммм! А вот линуксы -- это всё поделки, которые пытаются копировать MS-DOS, поделками и остаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

136. Сообщение от Аноним (91), 11-Авг-22, 18:20	+/–
Продолжай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #143, #144

137. Сообщение от Аноним (137), 11-Авг-22, 18:41	+1 +/–
Раз на Rust, значит, не работает. А будете сомневаться - отменим!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

139. Сообщение от Аноним (137), 11-Авг-22, 18:43	+/–
> Вы с бригадами молдован общались? Сколько у них в бригадах наипнулось? Пока плитку в ванной клали - ни одного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

140. Сообщение от Аноним (137), 11-Авг-22, 18:45	+/–
Пусть растаманы за собой убирают, а мы будем гордо жить в том, что накоммитили!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

143. Сообщение от Аноним (18), 11-Авг-22, 19:20	+/–
Епт, да тот же Blender.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

144. Сообщение от Аноним (18), 11-Авг-22, 19:30	+/–
Да та же Krita.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #147

145. Сообщение от Аноним (145), 11-Авг-22, 19:54	+1 +/–
Сплошное «яскозал» без конкретики. Это не критика, это обычная демагогия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

146. Сообщение от Аноним (-), 11-Авг-22, 19:58	+/–
Слово эникей уже устарело.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

147. Сообщение от Аноним (91), 11-Авг-22, 20:01	+/–
Продолжай...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

148. Сообщение от Аноним (148), 11-Авг-22, 20:42	+/–
Настоящие программисты на Си, это Вам не какая нибудь детерминированная машина (имени кого нибудь %). Мало того, они должны (и будут!) ошибаться!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

149. Сообщение от Онаним (?), 12-Авг-22, 09:36	+/–
CAP_NET_ADMIN - это больше про контейнерщиков, смузи-докер, вот это всё. Этим можно. А вот с таймерами да, некрасиво.
Ответить | Правка | Наверх | Cообщить модератору

150. Сообщение от InuYasha (??), 12-Авг-22, 12:36	+/–
Си Дзинь Пин сейчас сделает дуршлаг из всех кто упоминает его в треде...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

151. Сообщение от Аноним (151), 12-Авг-22, 12:36	+/–
> Развесистая структура нужных связей плюс потомок советских математиков? ) Я так понимаю что одно из ноухау это распределенная мегаструктура, способная все это хранить нормально без напряга. Они этим с другими не делятся особо. Кроме того у них краулеров тупо в разы больше и они в разы активнее. На десяток визитов гугла будет один бинга, 0.1 яндекса, а остальных там вообще под микроскопом искать надо. Ну вот так и получается что спросить гугол о каких-то недавних событиях, новостях, и так далее - он в курсе. А остальные - ну, блин, зачем мне это знание через месяц? Через месяц я это и без них уже где-нибудь да прочитаю, так что спасибо за такую индексацию, но...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

152. Сообщение от Аноним (152), 12-Авг-22, 12:47	+/–
> медным тазом. В микроядре же - такой драйвер USB "полез не > в свою память" (т.е. по несуществующему адресу, он же как обычный > процесс в своей выделенной памяти работает) - сразу же аппаратное исключение, Угу, только потом оказывается что народу скорости мало, так что вот вам usb 3.x, это уже минимум 10Гбит. Т.е. порядка гига в секунду минимум, а игрунам еще латенси подавай и проч - т.е. довольно дофейхоа пакетов и переключений контекста. ...и вот тут оказывается что микроядро будет в разы больше грузить проц, а то и упрется в него, на таких то потоках данных. После чего оно и оказывается нахрен не упершимся никому. Видите ли разделение адресных пространств нагибает и быстрый обмен большими объемами данных. В одном адресном пространстве это был бы заведомо zerocopy с минимальным сетапом. По сути дал указатель на регион, 4 или 8 байтов надо передать, и все, это можно референсить. А вон там придется весь этот гиг в секунду копировать туда-сюда. И комп займется в основном каким-то бесолезным техническим действом по тасовке байтов отсюда туда, потому что абстракция такая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #160

153. Сообщение от Аноним (152), 12-Авг-22, 13:08	+/–
> Пока что амна покушали сишники. Да вообще охренеть внезапность! А кто еще? Ну не фуксики же, с их драйвером фата на игогошке? И не хрустики с редоксом, которые до такой крути всерьез если и дорвутся то лет так через много? Сейчас они явно не в форме ТАКИЕ фичи кодить. > Добавление контейнеров, как и изменение любой логики, никак не должно влиять на такое. С хрена ли? Это вся модель пермиссий и все допущения имеющие хоть какое-то отношение к всему этому идут лесом. В системе без контейнеров вон то по сути не вулн, ибо обладатель CAP_NET_ADMIN может пялить систему в хвост и гриву, чаще всего это рут же. А в контейнерах оно, видите ли, немного "виртуальное" и по задумке CAP_NET_ADMIN с гуеста уже хренсгары на хосте. И если он может что-то еще получить с этого - вот тут это рут, но не тот рут, и вот тут некоторые допущения не удержались. И как ты понимаешь есть сотни кода писаные ДО эпохи контейнеров, где допущения при кодинге про модель безопасности и результирующие проблемы сильно другие. > Это же классические проблемы с памятью. Они написали г0внокод и > он просто не выстреливал им в ногу до поры до времени. Вон то скорее гибридное комбо, наполовину вылезающее из смены парадигм от реализации контейнеров. > Но день настал)) Вокруг namespaces в линухе наверняка водится много всякого интересного. Потому что изначально его не кодили с namespaces in mind, а столь резкое изменение допущений в середине пьесы вообще-то провернуть проблематично, когда это не было частью дизайна сразу. > скорее всего была бы перехвачена ядром чтобы не падать, И чего при этом было бы? Я так понимаю что в хрусте нет способа корректно продолжить операцию если он panic() захотел. Парадигма у них вроде бы такая. Собственно 9 итерация патчей хруста состоят из борьбы с подобной хренью чуть менее чем полностью. В процессе оказалось что патчи стали огромные и начали напоминать месиво. > а дальше залогированно и напр. перезапущен упавший сервис) Это какой такой сервис вы собрались перезапускать при хрустиковом panic()-е в ядре? Кернел то? Ну да, юзеры обожают ребуты и паники. > Что легко бы нашли во время тестирования или уже у юзеров (прям > как сейчас))). Только на много лет раньше. А вот это - ну не факт. Если кто хочет про память попиндеть, ядро под kasan и т.п. сейчас гоняют и он таки фатально валится при детекте проблем с памятью. А гугл и ко это к тому же делают под syzcaller'ом к тому же. У них там вообще забавная штука есть, syzbot. Сам fuzz'ит сам bisect'ит, сам баги пишет... небось и вон то отловлено какой-нибудь автоматикой типа этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

154. Сообщение от Аноним (-), 12-Авг-22, 13:17	+/–
> Не знаю. Скарнет вообще странный слегка, Solaris именн что dead. Да и этот их s6 не очень то решает вопрос контейнеров и изоляции сервисов друг от друга и от системы. Очередное лоскутное одеяло со всеми характерными проблемами оного - как то невозможность собрать огораживаемому процессу арену без вывешивания ему полсистемы (не секурно) или отвалбашки в процессе (потому что большая часть системы уже недоступна, а приспичило что-то вызывать). Уже вгруженый в память резидентно и имеющий полные права системд вон той дурацкой проблемы не имеет, ему никого вызывать не надо. Может сам сисколы отвесить как надо не уповая на доступность с диска тех или иных программ (что в контексте огораживаемого процесса ну вот совсем не факт). А, ну правильно, если началось увещевание за соляру и прочие бзды которые нот дед, значит и равняться надо на самый убогий и архаичный из наборов фич. И вот тут пожалуй хорошо что Linux это не unix так что можно позволить себе и не админить систему как будто на дворе 80е прошлого века.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

155. Сообщение от Аноним (-), 12-Авг-22, 13:25	+/–
> Там это "огромное число доплнительных связей" "расшито" через подсистему IPC которая обычно > на сообщениях строится и это "число связей" не отличается от монолита. > Какая разница - дернуть функцию в монолите (надо знать какую) или > отправить кому-то сообщение единообразным способом через микроядро? Единственное преимущество > монолита - скорость. А у микроядра - бОльшая надежность (ошибка не > распространяется дальше процесса драйвера и не затрагивает структуры памяти других драйверов/процессов/приложений). Это все очень теоретически. Практически - там еще много чего интересного есть. DMA, железки которые сами bus-master-ы на шинах и все такое. Поэтому гимора и продолба скорости во, а эффекта во. Бонусом еще и кодинг дров начинает напоминать некропедосадомазо так что желающих кодить дрова вот так - ну вот нет. И все микроядерные выперыщи на этом утыкались. Ничего что для скорости современное железо mem-mapped? То-есть, драйвер тупо пишет в нужные адреса что хотел - из режима ядра, в том же пространстве это очень быстро и легковесно. И например DMA програмить просто, если с физическими адресами работали. А если это так более не работает и надо контекст переключать, скорость будет очень сильно другая, а не сойти с ума при программировании DMA транзакций будет вообще малореально. Ведь в вашем отдельном процессе адреса - тоже свои. Поэтому "просто скормить DMA этот блок"? Ага, сейчас. Вместо этого ээээвона какое действо придется откаблучить с трансляцией адресов и черт знает чем еще. И то что в этом будет меньше багов и лучше стабильность - ну вот уже не факт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

156. Сообщение от Аноним (156), 13-Авг-22, 00:52	+/–
Что не месяц то уйзвимость в netfilter, самое время переписать его на rust.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #161

157. Сообщение от Онаним (?), 13-Авг-22, 06:08	+/–
найс приплёл
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

158. Сообщение от Онаним (?), 13-Авг-22, 06:11	+1 +/–
> проблема не в монолитности > абсолютно сторонний дырявый драйвер может позволить получить доступ к ядру ну даже и не знаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

159. Сообщение от Онаним (?), 13-Авг-22, 06:17	+/–
Хоть и не рустофоб, но не могу не заметить, что даже двусвязный список уже оказывается не такой тривиальной структурой с точки зрения ownership, что уж говорить о всяких rcu
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

160. Сообщение от Онаним (?), 13-Авг-22, 06:23	+/–
> придется весь этот гиг в секунду копировать туда-сюда ну строго говоря из микроядерности это не следует
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

161. Сообщение от Онаним (?), 13-Авг-22, 06:27	+/–
Ненужон, лучше бы bpfilter доделали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

163. Сообщение от AnGrigorev (ok), 29-Авг-22, 10:51	+/–
Коллеги, можете поджсказать, правильно ли понимаю, что отключение модуля cls_route (rmmod cls_route) не даст возможность для эксплуатации уязвимости?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема