Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
Сообщение от opennews (??), 18-Апр-24, 23:13
В инструментарии Flatpak, предназначенном для создания самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и изолированных от остальной системы, выявлена уязвимость (CVE-2024-32462). Уязвимость позволяет вредоносному или скомпрометированному приложению, поставляемому в пакете flatpak, обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется только в пакетах, использующих порталы Freedesktop (xdg-desktop-portal), применяемые для организации доступа к ресурсам пользовательского окружения из изолированных приложений. Уязвимость устранена в корректирующих обновлениях flatpak 1.15.8, 1.14.6, 1.12.9 и 1.10.9. Обходной путь для защиты также предложен в выпусках xdg-desktop-portal  1.16.1 и 1.18.4... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61024
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

5. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+2 +/–
Сообщение от Аноним (5), 18-Апр-24, 23:21
Потому что надо было использовать CLI11/Lyra/TCLap, а не выпендриваться.
Ответить | Правка | Наверх | Cообщить модератору

	69. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (69), 19-Апр-24, 08:02
	Это если Flatpak написан на C++ (не вкурсе).
	Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+10 +/–
Сообщение от YetAnotherOnanym (ok), 18-Апр-24, 23:32
Как будто нельзя было с самого начала понять, что полностью изолированное ПО - это бесполезная "вещь для себя", и для использования придётся как-то давать ему доступ к чему-то, и вот здесь хомосапиенсы обязательно накосячат.
Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+3 +/–
	Сообщение от nonon (?), 19-Апр-24, 00:01
	Та понятно что в любом случае придется ставить "доверительные пакеты" не важно в изоляции они или не Flatpak наверное больше про "не париться с зависимостями" во всяких сильно старых, сильно новых или не на всех дистрах протестированных программах
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+2 +/–
	Сообщение от Кирилл (??), 19-Апр-24, 06:51
	Они хотели всё и сразу, а получилось как всегда. А так как это красношапки - будут игнорировать недостатки и веми щупальцами проталкивать этот ужас в продакшен.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (20), 19-Апр-24, 00:28
	Да нет, задача вполне реализуемая и реализованная, а доступ и так дается, просто заранее указывается к чему
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	63. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+1 +/–
	Сообщение от Аноним (63), 19-Апр-24, 06:56
	> а доступ и так дается, просто заранее указывается к чему Могу пример. Приложение "Фонарик" к адресной книге, звонкам и СМС.
	Ответить | Правка | Наверх | Cообщить модератору

	107. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (20), 19-Апр-24, 13:42
	Так не запускай этот фонарик, если не нравится, в этом и суть, что ты знаешь что приложению нужно. Или вообще отключи что считаешь лишним.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+1 +/–
	Сообщение от Аноним (29), 19-Апр-24, 01:50
	> Как будто нельзя было с самого начала понять Можно, но кто будет заниматься латанием дыр? Все хотят кушать, поэтому сначала с умным видом создаем проблемный продукт, а затем обнаруживаем, что здесь дырка, а там еще одна.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	34. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
	Сообщение от Аноним (34), 19-Апр-24, 02:18
	>> Как будто нельзя было с самого начала понять > Можно, но кто будет заниматься латанием дыр? Все хотят кушать, поэтому сначала > с умным видом создаем проблемный продукт, а затем обнаруживаем, что здесь > дырка, а там еще одна. Все хотят кушать никак не коррелирует с тем, что современные разработчики, как и индустрия в целом порядком охренели и делают кое-как и на отлюбись. При Сталине тоже все хотели кушать, однако ссыковали делать заведомо кое-как, и правильно делали. Боюсь, что общество этих самых сапиенсов к сожалению не доросло до того, что чтобы что-то делать хотябы хорошо, а не отлично, должно держаться на страхе неминуемых последствий для своего благополучного существования.
	Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+17 +/–
Сообщение от Аноним (29), 18-Апр-24, 23:55
Порочная во всех смыслах технология, которая противоречит изначальной идеологии юникс с общими библиотеками. Теперь каждый калькулятор тянет с собой половину ОС на пару гигов. В общем, нет, спасибо, я уж как-то на дебиане с xfce4 с божественной во (всех смыслах) темой "xfce classicLooks".
Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+6 +/–
	Сообщение от Аноним (18), 19-Апр-24, 00:22
	Эти все философии юниксов это хорошо ровно до того момента, когда в систему надо поставить что-то новое (Ещё не в репе) или старое (Уже не в репе), и у этого чего-то есть какие-то зависимости, которые тоже, как вы понимаете, вероятно ещё/уже не в репе. Вот тут пляски и начинаются. Но всё равно, конечно, аппимейдж лучше.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+3 +/–
	Сообщение от Аноним (29), 19-Апр-24, 00:29
	Когда требуется что-то супер-пупер свежее (мне лично никогда такого не требовалось), можно самостоятельно скомпилировать, если автору лень предоставлять статически слинкованный бинарник. Да, сложно, требуется квалификация, но в юниксе не место домохозяйкам.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+2 +/–
	Сообщение от Аноним (63), 19-Апр-24, 07:00
	Коллега выше прав. Но к примеру, проблемы в корпоративных приложениях не в том, что требуются свежие пакеты, а в том, что требуется что-то устаревшее.
	Ответить | Правка | Наверх | Cообщить модератору

	111. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от scriptkiddis (?), 19-Апр-24, 15:56
	И ты решил только пол дела. Ну как всегда, юнюхвейнинько.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	22. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–4 +/–
	Сообщение от Аноним (22), 19-Апр-24, 00:30
	Просто всем нужна Гента и не будет таких проблем. Настоящие проблемы возникают когда нужно поставить библиотеки с разными версиями или строго определённые версии. И для этого как раз есть контейнеры.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	33. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от bdrbt (ok), 19-Апр-24, 02:15
	Для этого есть статическая линковка, а не контейнеры.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–8 +/–
	Сообщение от Аноним (22), 19-Апр-24, 02:28
	Статическая линковка, во-первых, существенно увеличивает размер бинарей. Во-вторых есть ABI/API и остальная система и не всегда просто так можно одновременно работать в одной системе с разными версиями либ. В третьих, кроме so-шек есть другие ЯП, конфигы и данные в пакетах, которые тоже имеют версии и их никуда статически прилинковать нельзя. Садись, два.
	Ответить | Правка | Наверх | Cообщить модератору

	108. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от pic (?), 19-Апр-24, 13:53
	flatpak создан для решения далеко не только проблемы dll hell.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	109. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 13:58
	> flatpak создан для решения далеко не только проблемы dll hell. он создан для решения одной проблемы (текущей практики разработки лапками) путём создания другой.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
	Сообщение от EULA (?), 19-Апр-24, 06:13
	Вот поэтому для библиотек существует указание версии в имени и симлинки для самой последней версии, а линковке есть возможность задать конкретную версию библиотеки.
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	103. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (103), 19-Апр-24, 13:09
	>нужно поставить библиотеки с разными версиями или строго определённые версии Странно читать, что человек, предлагающий Генту, для разных версий предлагает какие то богомерзкие контейнеры, при том, что это штатная функциональность Генты.
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	105. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 13:17
	>>нужно поставить библиотеки с разными версиями или строго определённые версии > Странно читать, что человек, предлагающий Генту, для разных версий предлагает какие то > богомерзкие контейнеры, при том, что это штатная функциональность Генты. ничего странного, гентушник ряженый.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (31), 19-Апр-24, 02:05
	>это хорошо ровно до того момента, когда в систему надо поставить что-то новое (Ещё не в репе) или старое Выбирай подходлящий дистр, в котором оно или не старое, или не новое. Или выбирай долгоживущие  lts-ы, где оно десятилетиями не устаревает и нового ничего нет. Так нет же, все хотят плясок на канате без шеста с закрытми глазами и сальтами, и готовы для этого тащить десятки гигабайт одного и того же мусора
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	66. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (63), 19-Апр-24, 07:07
	LTS - не панацея. Вот есть одно известное всем коллегам приложение, которому всего-то 2 года. Оно нормально работает в Ubuntu 18.04 (LTS!), Debian 9.12, Astra 1.7.3. И не работает в Ubuntu 22.04 (LTS), Debian 12 и Astra 1.7.5.
	Ответить | Правка | Наверх | Cообщить модератору

	140. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (140), 23-Апр-24, 10:27
	Так как LTS в Убунту - иллюзия и маркетинговая привлекалочка после года 16-го, 18-го примерно. Когда на самом деле они плывут по технологиям и версиям в пределах одного долгосрочного релиза. У них смысл LTS искажён до: долго портируют обновления к софту, версии которого лихо обновляли. А стабильности функционала у них нет. Могут в любой момент выбросить что угодно.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–6 +/–
	Сообщение от Аноним (20), 19-Апр-24, 00:24
	Эту "идеологию" где-то кто-то формулировал, или ты ее сейчас выдумал? И причем тут вообще темы, флатпаки могут через портал получать настройки оформления.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	23. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–4 +/–
	Сообщение от errandrunner (?), 19-Апр-24, 00:56
	Можешь не спорить, тут сейчас прибежит кучка фанатиков и будет доказывать, что у них ничего никогда не работает и что бесы из фридесктоп им задали документацию
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (34), 19-Апр-24, 02:21
	> Порочная во всех смыслах технология, которая противоречит изначальной идеологии юникс > с общими библиотеками. Теперь каждый калькулятор тянет с собой половину ОС > на пару гигов. В общем, нет, спасибо, я уж как-то на > дебиане с xfce4 с божественной во (всех смыслах) темой "xfce classicLooks". Есть такая прикольная штука distrobox, с ней в систему можно затащить хоть ауропомойку, если нужно, а руление этими самыми плоскопакетами, чем их больше в системе, тем больше геморроя с их рулением, жиреют и тупеют со временем.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	44. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–3 +/–
	Сообщение от MegaFon929 (ok), 19-Апр-24, 03:56
	Вот только ядро Linux тоже не следует концепции Unix. Так что ваша претензия через чур бессмысленная. Ядро Linux монолитное
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	70. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (69), 19-Апр-24, 08:05
	А ядро оригинального UNIX (TM) v7 следовало концепции Unix?
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–2 +/–
	Сообщение от MegaFon929 (ok), 19-Апр-24, 09:40
	Ну как бы да. Там по концепции микросерверов. Одна задача - один компонент ядра.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+1 +/–
	Сообщение от AleksK (ok), 19-Апр-24, 08:23
	Так как раз флэтпаки тоже имеют зависимости, так что если калькулятор у тебя вытянул зависимости то следующий флэтпак будет использовать их.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	123. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от iPony129412 (?), 19-Апр-24, 19:44
	Один калькулятор потянет KDE 5.21 с кучей мусора. А второй KDE 5.22 с кучей мусора
	Ответить | Правка | Наверх | Cообщить модератору

	125. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+1 +/–
	Сообщение от AleksK (ok), 19-Апр-24, 20:55
	> Один калькулятор потянет KDE 5.21 с кучей мусора. А второй KDE 5.22 > с кучей мусора Очередной надуманный пример.
	Ответить | Правка | Наверх | Cообщить модератору

	134. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от iPony129412 (?), 22-Апр-24, 05:08
	не надуманный, а из реальности
	Ответить | Правка | Наверх | Cообщить модератору

	136. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от AleksK (ok), 22-Апр-24, 09:07
	> не надуманный, а из реальности Тогда может покажешь вывод flatpak list?
	Ответить | Правка | Наверх | Cообщить модератору

	137. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от iPony129412 (?), 22-Апр-24, 09:49
	Не покажу, я во второй раз в это наступать не хочу без крайне необходимости. Хотя уже слышу - "это уже было очень давно (полтора года назад) и неправда".
	Ответить | Правка | Наверх | Cообщить модератору

	138. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от iPony129412 (?), 22-Апр-24, 09:55
	Ну и ещё сразу за тебя напишу ещё один ответ "а причём тут Flatpak? это конкретные создатели конкртеного ПО плохие".
	Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

	93. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–5 +/–
	Сообщение от n00by (ok), 19-Апр-24, 10:51
	> противоречит изначальной идеологии юникс с общими библиотеками. Не стоит выдавать свои фантазии за концепции УНИХ.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	106. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–2 +/–
	Сообщение от sena (ok), 19-Апр-24, 13:32
	> Порочная во всех смыслах технология, которая противоречит изначальной идеологии юникс с общими библиотеками. Теперь каждый калькулятор тянет с собой половину ОС на пару гигов. В общем, нет, спасибо, я уж как-то на дебиане с xfce4 с божественной во (всех смыслах) темой "xfce classicLooks". flatpak не надо использовать для каждого калькулятора, но для каких-то уникальных приложений, которых может быть десяток-другой. Причём не только закрытых собственнических. Например на том же Дебиане 12 c божественной XFCE сломали pysolfc. А вот из flatpak можно поставить и всё работает. И проприетарщину, тот же skype/zoom/teamviewer/anydesk и т.п. при необходимости тоже лучше поставить во flatpak, чтобы ограничить их возможности. Игрушки те же... И какие-нибудь видеоредакторы и прочую мультимедию, которые зависят от обновлённых версий библиотек, которых нет в 12 Дебиана тоже лучше поставить во флэтпаке, чтобы не портить систему. Короче инструмент полезный, если применять для того, для чего он предназначен.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	127. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+1 +/–
	Сообщение от laindono (ok), 20-Апр-24, 01:43
	Я всегда считал, что следование идеологии юникс обязывает покупку сертифицированния на юникс.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+4 +/–
Сообщение от Аноним (12), 18-Апр-24, 23:58
Какие-то флетпаки-шматпаки, снапы--шмапы. Для чего это все? Тыщу лет все работало без них, зачем+то решили сделать как в Винде. Хочется чтоб переносимый бинарь был, ну собери статически, включая всякие gtk, qt и прочее. Нафига вот эта вот шляпа вся?
Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+6 +/–
	Сообщение от Аноним (29), 19-Апр-24, 00:02
	> Нафига вот эта вот шляпа вся? Рискну предположить, современная айтишечка упёрлась в предел своих возможностей, а бабосики зарабатывать нужно, вот и переставляют кровати, занимаются усложнением ради усложнения, когда условный хеллоуворлд  подтягивает 4 гига библиотек, во внутренностях которых та за всю свою жизнь не разберешься.
	Ответить | Правка | Наверх | Cообщить модератору

	130. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
	Сообщение от Tron is Whistling (?), 20-Апр-24, 09:46
	Блджад, вчера нечаянно наткнули на не работающую "разработку"-пятистрочник, слияние двух таблиц с небольшой обработкой у людей. Они туда целый doctrine притащили. Это 3.14ц, уважаемая рыдагцыя.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–3 +/–
	Сообщение от errandrunner (?), 19-Апр-24, 00:57
	Поставь мне на старую версию какой-нибудь центоси или бубунты свежие пакеты, которым нужна конкретная версия либы Или наоборот, старый пакет на свежую федору или арч Я посмотрю на это
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	53. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
	Сообщение от EULA (?), 19-Апр-24, 06:14
	Ставил. Просто компилировал с указанием версии в имени, и все.
	Ответить | Правка | Наверх | Cообщить модератору

	129. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от noc101 (ok), 20-Апр-24, 02:44
	> Ставил. Просто компилировал с указанием версии в имени, и все. а старые либы тоже будешь компилировать? )) Удаленные 10 лет назад. Ой ну мелочь же, не подумал и ляпнул, да?
	Ответить | Правка | Наверх | Cообщить модератору

	133. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (12), 20-Апр-24, 12:58
	А эти старые либы в шматпаке из воздуха берутся? Если бы положили их в обычный тарбол, то все так же работало бы. А можно ещё и в deb опакетить и тоже все будет работать
	Ответить | Правка | Наверх | Cообщить модератору

	141. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от noc101 (ok), 26-Апр-24, 02:50
	> А эти старые либы в шматпаке из воздуха берутся? Если бы положили > их в обычный тарбол, то все так же работало бы. А > можно ещё и в deb опакетить и тоже все будет работать Снапы и флатпаки это задел на будущие, чтобы не было проблем. Увы, такие гении как ты, в прошшло, уже угробили сотни тысяч программ.
	Ответить | Правка | Наверх | Cообщить модератору

	135. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от EULA (?), 22-Апр-24, 05:18
	Ну конечно же у того, кто собирает флатпаки и снап-паки удаленные либы есть, но тебе их не дадут, да? Или либы 10-летней давности в свежих снах и флаках берутся сразу из астрала? > Ой ну мелочь же, не подумал и ляпнул, да?
	Ответить | Правка | К родителю #129 | Наверх | Cообщить модератору

	92. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
	Сообщение от Аноним (92), 19-Апр-24, 10:03
	ну да. свежие пакеты поставь на старое ядро и недоумевай почему не хватает сисколов
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	94. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–2 +/–
	Сообщение от n00by (ok), 19-Апр-24, 10:54
	Эксперты не знают, что спецификация LSB запрещает "пакетам" вызывать ядро через syscall? Это делает glibc.
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (100), 19-Апр-24, 12:38
	1. Тарбол со всеми либами, как в станки, не катит? 2. Допустим ты поставил это все во флетпаке на старую юубнту или центос со старым ядром. В ядре у тебя нет нужных сисколовя несмотря на то что glibc в твоём контейнере про них знает, но в ядре их нет. Сильно тебе помог твой флетпак?
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	101. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (100), 19-Апр-24, 12:39
	> , как в станки Как в симанки
	Ответить | Правка | Наверх | Cообщить модератору

	113. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от sena (ok), 19-Апр-24, 16:22
	> Тарбол со всеми либами, как в станки, не катит? Просто тарбол - нет конечно. Надо же и удалять потом и апгрейд уметь делать и в путях прописываться и библиотеки расшаривать-переиспользовать. >  В ядре у тебя нет нужных сисколовя ну тут уж ничего не поделаешь...
	Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

	128. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от noc101 (ok), 20-Апр-24, 02:42
	> Поставь мне на старую версию какой-нибудь центоси или бубунты свежие пакеты, которым > нужна конкретная версия либы > Или наоборот, старый пакет на свежую федору или арч > Я посмотрю на это Понимаешь... большинство сидящих тут, никогда ничем серьезным кроме клацанием мышки не занимались. Они просто не сталкивались с софтом, собранный последний раз в 2000 году. И который сейчас в принципе работать не будет. Когда закрываешь глаза и кричишь - ТАКОГО НЕ МОЖЕТ БЫТЬ - и жить спокойней. Вон у васяня под твоим комментам всё собирается, только версию укажи... версию чего только не спрашивай, он придумает очередную чушь)
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	131. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Анонис (?), 20-Апр-24, 11:04
	Понимаешь... ты походу сам не понимаешь о чем пишешь. Если бы софт собранный последний раз в 2000 году, больше не запускался, то он и во флетпаке бы не запускался. Если он всё же запускается во флетпаке, то значит запустится и без него. У меня есть нативная сборка HOMM3 под linux, она выпущена толи в 1999г, толи в 2000. И до сих пор работает на kernel 6.1. Там два варианта бинарника: статический и динамический. Статический просто запускаешь и всё, и он работает без каких-то танцев с бубном. Для динамического надо подложить старые либы, включая линковщик ld.so, libc.so и всё остальное. Но даже он работает. Так что ты несешь какой-то бред про то, что кто-то тут с чем-то не сталкивался. Очевидно просто, что ты врешь
	Ответить | Правка | Наверх | Cообщить модератору

	139. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от noc101 (ok), 23-Апр-24, 02:49
	>[оверквотинг удален] > и во флетпаке бы не запускался. Если он всё же запускается > во флетпаке, то значит запустится и без него. > У меня есть нативная сборка HOMM3 под linux, она выпущена толи в > 1999г, толи в 2000. И до сих пор работает на kernel > 6.1. Там два варианта бинарника: статический и динамический. Статический просто запускаешь > и всё, и он работает без каких-то танцев с бубном. Для > динамического надо подложить старые либы, включая линковщик ld.so, libc.so и всё > остальное. Но даже он работает. > Так что ты несешь какой-то бред про то, что кто-то тут с > чем-то не сталкивался. Очевидно просто, что ты врешь Чел ты явно не сталкивался с проблемами, поэтому такой бред пишешь. Когда столкнешься, тогда и поймешь. Проблема с софтов в линуксе есть и эта проблема глобальная. Она очень мешает развитию линукса. Тут обновишь дистрибутив и половина софта отсутствует и не работает. Но у таких как ты, всегда всё работает, надо только кучу магии применить и всё заработает. А когда говоришь, что надо без магии то сразу "НЕ НАДО", "НЕ НУЖНО" и тп. Удачи, начнешь работать с линуксом по серьезному, поменяешь мнение быстро. З.Ы. И не говори что ты там мегамастер и гуру 40 лет на линуксе.
	Ответить | Правка | Наверх | Cообщить модератору

	132. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
	Сообщение от Анонис (?), 20-Апр-24, 12:07
	Ты правда веришь, что если ты ставишь новейший софт на древнюю центось, то все отсутствующие функции и сисколы эмулируются какой-то магией в этом твоем флетпаке? Ты какой-то реальный случай знаешь или просто теоритизируешь? Этот вариант не будет работать и во флетпаке. Но если каким-то чудом оно всё же работает, то оно и без флетпака заработает. > Или наоборот, старый пакет на свежую федору или арч Запустил для прикола древнюю версию OpenOffice на свежем дебиане - еще вопросы?
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	32. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от 78 (?), 19-Апр-24, 02:11
	Вот купил я чпу станок, и давай всякий софт пробовать, которого навалом, и что компилировать...2 часа собирал станок отверткой, а потом 2 месяца компилировал какойто хрен пойми софт.. просто чтобы понять что это не то ага.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	67. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (12), 19-Апр-24, 07:20
	А типа у тебя на ЧПУ станке флетпак работает, ага?
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
	Сообщение от MegaFon929 (ok), 19-Апр-24, 03:58
	Для того, чтобы как минимум ты мог использовать свежий софт на том же RHEL / Alma Linux / Oracle Linux / RockyLinux 8.x. Учитывая, что зависимости тоже не первой свежести и не весь софт можно скомпилировать, чтобы корректно работал
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	49. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+3 +/–
	Сообщение от Аноним (49), 19-Апр-24, 04:58
	> зачем ради проприетарщины, опенсорсу все эти приседания с изоляцией и "своей" средой тупо не нужны
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	52. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от iPony129412 (?), 19-Апр-24, 06:14
	Что-то создатели "проприетарщины" вообще не горят желанием делать что-то в Flatpak. А вот как раз движку по Flatpak вся у опнсорс проектов по сути.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+1 +/–
	Сообщение от Аноним (95), 19-Апр-24, 11:18
	Кстати, забыл добавить. SeaMonkey и Firefox, к примеру, распространяются в виде простых тарболов. Распаковал и запустил, все либы там же рядом лежат. И никаких новомодных флэтпаков и даже статически собирать не надо
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	114. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от sena (ok), 19-Апр-24, 16:24
	> Какие-то флетпаки-шматпаки, снапы--шмапы. Для чего это все? Тыщу лет все работало без > них, зачем+то решили сделать как в Винде. Хочется чтоб переносимый бинарь > был, ну собери статически, включая всякие gtk, qt и прочее. Нафига > вот эта вот шляпа вся? https://www.opennet.ru/openforum/vsluhforumID3/133453.html#106
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+3 +/–
Сообщение от Аноним (29), 19-Апр-24, 00:07
Из всех этих снапов и флэтпаков самая "правильная" технология, если уж на то пошло, так это appimage.
Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–3 +/–
	Сообщение от Самый умный аноним (?), 19-Апр-24, 00:11
	Ты nix неправильно написал
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Здрасти (?), 19-Апр-24, 01:23
	А что там у них с зависимостью от версий GLIBC? Самые правильные - это: 1) Просто запустить, чтобы работало - chroot 2) Если надо побезопаснее, то apparmor + rootless podman
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от IdeaFix (ok), 19-Апр-24, 01:47
	флатпак это во многом про гуёвые локалхостовые программки, а не про самое правильное.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (34), 19-Апр-24, 03:56
	> А что там у них с зависимостью от версий GLIBC? > Самые правильные - это: > 1) Просто запустить, чтобы работало - chroot > 2) Если надо побезопаснее, то apparmor + rootless podman У nix интересная идея, годная, но реализация через одно место, это поправимо, не будь никсоводы очередными илитариями в стиле GoboLinux с гипертрофированным nih-сидромом и ЧСВ до небес.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	50. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Здрасти (?), 19-Апр-24, 05:07
	GUIX хуже/лучше Никса? Тот и другой вроде rolling, что как бы отталкивает от подобного на серверах. У GUIX ещё и пакетный поисковик на сайте IMHO похож на какое-то недоразумение.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 06:35
	> GUIX хуже/лучше Никса? guix это лисп, от и до, вместо "ini-файлов" никсоса. Если надо объяснять - то не надо объяснять (с)
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (75), 19-Апр-24, 08:26
	Вам явно шашечки, а не ехать.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 08:35
	> Вам явно шашечки, а не ехать. кому ехать - тому ни guix, ни никсос не впёрлось.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Стив Балмер (?), 19-Апр-24, 12:17
	вон serpentos на подходе, типа срединного пути, может чёт годное и выйдет
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	42. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (34), 19-Апр-24, 03:51
	> Ты nix неправильно написал nix штука прикольная, но жутко зависимая от каналов - читай такого же рантайма, без косталей там любой пакет не поставишь, а appimage это честный, единственно существующий сейчас из более-менее известных САМОДОСТАТОЧНЫХ пакетов, т.е. реально самодостаточных, а не маркетинговый булщит всякий. И appimage, не нуждающийся в специальных рантаймах пойдёт в любое время, любой версии на любой системе (ну почти), в то время как в nix это всегда срез на какой-то период существования канала, или городи какой-то огород, вместо просто скачать пакет и кликнуть его для запуска. Справедливости ради, более разумной была бы система собранная из чего-то в стиле nix + статически слинкованные архивы, затолканные в appimage, которые бы выполнялись в какой-то изолированной среде. Это уже сейчас осуществимо. Проблема nix на данном этапе в том, что это всё ещё очень кpacнoглaзo для освоения и немало пакетов на фоне остальных, которые собирается автоматом и не проверяются, отчего битых пакетов в никсе достаточно для того, чтобы говорить о не очень хорошем качестве системы в целом. Это объясняется недостаточным количеством живых проверяющих, никсу бы живых мейнтейнеров-тестеров побольше, но люди ленивы, они скорее основной массой начнут жрать атомарщину с слоупочной rpm-ostree обмазанный флэтпаками, нежели будут разбираться в этой чертовщине манов, похлеще гентушных и арчевых вместе взятых, и ковырять nix.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	55. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Здрасти (?), 19-Апр-24, 06:28
	Да какой же AppImage самодостаточный, когда он зависит от GLIBC, установленной в системе? И от некоторых других либ. Самодостаточные - контейнеры, например, Docker. А более безопасным рантаймом тех же самых Docker контейнеров является AppArmor + rootless Podman.
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 06:38
	> Да какой же AppImage самодостаточный, когда он зависит от GLIBC, установленной в > системе? > И от некоторых других либ. > Самодостаточные - контейнеры, например, Docker. да какой же он самодостаточный, когда он зависит от GLIBC, установленной системе? И от некоторых других либ. > А более безопасным рантаймом тех же самых Docker контейнеров является AppArmor + > rootless Podman. да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе? И от некоторых других либ.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Здрасти (?), 19-Апр-24, 08:38
	> да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе? И от некоторых других либ. Речь о контейнерах, а не самом подмане очевидно же. Кроме того таки бывает и статический подман и даже статическое наполнение контейнеров.
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 08:42
	>> да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе? > И от некоторых других либ. > Речь о контейнерах, а не самом подмане очевидно же. а контейнер работает без glibc, чтоль? > Кроме того таки бывает и статический подман и даже статическое наполнение контейнеров. ну, это всё меняет. а, нет. не меняет.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от MegaFon929 (ok), 19-Апр-24, 03:59
	Вот только AppImage можно загрузить с любого места и запустить с любого места. Чем это лучше exe в Windows?
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	61. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 06:41
	> Вот только AppImage можно загрузить с любого места загружай не с любого. > и запустить с любого места. запускай с /usr/bin. > Чем это лучше exe в Windows? сорта на8оза, как и вся эта ваша контейнеризация в линуксе.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Здрасти (?), 19-Апр-24, 08:23
	> сорта на8оза, как и вся эта ваша контейнеризация в линуксе. Что есть лучше докера (подмана, K8S, etc.)? Оно поддерживается даже на SmartOS (открытая солярка).
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 08:33
	>> сорта на8оза, как и вся эта ваша контейнеризация в линуксе. > Что есть лучше докера (подмана, K8S, etc.)? ничего. как нет ничего хуже дыркера и ко. эта %3рня вне категории, а линукс впереди планеты всей. > Оно поддерживается даже на SmartOS (открытая солярка). да кому оно там нужно?) это как с пшшшаудио на Net/OpenBSD: формально есть, но даже чтоб доплатили за его использование - мало кто согласится.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Здрасти (?), 19-Апр-24, 08:36
	> ничего. как нет ничего хуже дыркера и ко. А чем плохо? И какая есть замена? Ansible + ZFS снэпшоты состояний системы?
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от тыквенное латте (?), 19-Апр-24, 08:56
	>> ничего. как нет ничего хуже дыркера и ко. > А чем плохо? всем. контейнеризация это частный случай изоляции, и как любая молодёжная %3рня - сделана плохо, претендует на одно, делает другое, предназначена для третьего. в сухом остатке, дыркер и ко - больше про модель деплоя, дистрибуции софта и сохранения состояния (снэпшоттинга). > И какая есть замена? Ansible + ZFS снэпшоты состояний системы? подписки/пакаджи/порты если есть необходимость тюнинга, зоны/жейлы, и да zfs снэпшоты. но это не смузихлёбно, так что расслабься и привыкай к тому, что в том, что не предназначено для изоляции - нашли очередную дырку в изоляции. вай-вай-вай. :-D
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Здрасти (?), 19-Апр-24, 11:30
	Так, а где ваши доказательства, что использовав zones в SmartOS на x86 получится изоляция, а не шерето как обычно? Я почему-то не верю, что даже их bhyve способна что-либо изолировать на x86. https://www.openbsd.org/papers/asiabsdcon2023-hardening_vmd_... Для себя я пока решил, что Qubes - это слишком жирно, походит на systemd и Windows bloatware образно. Одна федора в его комплекте чего стоит, без виртуалки с федорой Qubes вообще способен фунциклировать? Поэтому я планирую рой/кластер ARMv7 одноплатников и x86 первопеньков на OpenBSD, на некоторых из которых (одноплатниках) таки будет запущены линуксовые гостевые типа Alpine/Void, в которых будет минимум софта и максимально статично скомпилино как сам Podman, так и его контейнеры. Btw., капча к сообщению была 88588, что как бэ намекает на троян на моём компе ...
	Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–3 +/–
Сообщение от Аноним (25), 19-Апр-24, 01:20
Развели грязь. Лучше бы скорость компиляции ускорили, чем блобы продвигать.
Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
Сообщение от Аноним (88), 19-Апр-24, 09:34
Буквально на днях думал, как бы свалить со flatpak на чего-нибудь, потому что тащит много ненужных зависимостей (как раз этот вот sys-apps/xdg-desktop-portal). Думал про nix, но его конфигурация и документация вообще невменяемые.
Ответить | Правка | Наверх | Cообщить модератору

	143. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от noc101 (ok), 26-Апр-24, 02:52
	> Буквально на днях думал, как бы свалить со flatpak на чего-нибудь, потому > что тащит много ненужных зависимостей (как раз этот вот sys-apps/xdg-desktop-portal). > Думал про nix, но его конфигурация и документация вообще невменяемые. Обнови комп уже
	Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+1 +/–
Сообщение от Аноним (-), 19-Апр-24, 09:45
Уязвимость во bwrap или во flatpak?
Ответить | Правка | Наверх | Cообщить модератору

	91. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (91), 19-Апр-24, 09:52
	> Уязвимость во bwrap или во flatpak? Во  flatpak, который не удаляет префикс "--" в имени программы при передаче аргументов bwrap и не добавляет " -- " для отделения опций bwrap от опций запускаемого приложения.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от Аноним (97), 19-Апр-24, 11:42
	В XDG, которые и вяленый пропихивают
	Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

98. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+3 +/–
Сообщение от Аноним (98), 19-Апр-24, 12:16
Есть же божественный Appimage, он просто работает Моя личная проблема с флетпаками и снапами в том, что чтобы все заработало, нужно притащить в систему кучу пакетов, чтобы эти все флетпаки и снапы запустились С аппимаджем все просто работает из коробки, и для сценариев, когда хочется один файл без проблем с зависимостями, это идеальный вариает
Ответить | Правка | Наверх | Cообщить модератору

	110. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
	Сообщение от pic (?), 19-Апр-24, 14:15
	Ага, и весит один appimage (klik) столько же сколько с зависимостями flatpak, притом ресурсы между разными appimage (klik) - неразделяемые. Я не критикую klik-формат, но развитие слабое, сообщества дистрибутивов не хотят его использовать, предпочитая dll hell.
	Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	+/–
Сообщение от cheburnator9000 (ok), 19-Апр-24, 20:35
https://ludocode.com/blog/flatpak-is-not-the-future weekly reminder.
Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимость во flatpak, позволяющая обойти  sandbox-изоляцию"	–1 +/–
Сообщение от Avririon (ok), 19-Апр-24, 22:46
Ни производительности, ни безопасности.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема