forum.opennet.ru - "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте" (70)

"В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте"	+/–
Сообщение от opennews (??), 14-Янв-25, 23:31
Опубликован релиз утилиты для синхронизации файлов Rsync 3.4.0, в котором устранено шесть уязвимостей. Комбинация уязвимостей CVE-2024-12084 и CVE-2024-12085 позволяет клиенту добиться выполнения своего кода на сервере. Для совершения атаки достаточно анонимного подключения к серверу Rsync с доступом на чтение. Например, атака может быть совершена на зеркала различных дистрибутивов и проектов, предоставляющих возможность загрузки сборок через Rsync. Проблема также затрагивает различные приложения для синхронизации файлов и резервного копирования, использующие Rsync в качестве бэкенда, такие как Rclone, DeltaCopy и ChronoSync... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62557
Ответить \| Правка \| Cообщить модератору

Оглавление

Это чудовищная ошибка Кто когда куда и что добавил мы конечно же никогда не узн, Аноним (4), 23:37 , 14-Янв-25, (4) +1

Потому что проект набисан не на безопасном языке, который не умеет безопасно раб, Аноним (39), 01:22 , 15-Янв-25, (39) +2

Скрыто модератором, Аноним (-), 01:26 , 15-Янв-25, (41) –5

Гит блейм в руки и всё узнаете, Я (??), 23:43 , 14-Янв-25, (5)

А там JinTan какой-нибудь И где ты его искать будешь Ну или C-ктанты тебе расска, Аноним (8), 23:48 , 14-Янв-25, (8)
Почему никто это не сделает и не опубликует результаты Или кому то не выгодно ч, Аноним (4), 23:51 , 14-Янв-25, (10)

Скрыто модератором, Фнон (-), 23:54 , 14-Янв-25, (13) –1

Скрыто модератором, Аноним (4), 00:01 , 15-Янв-25, (16) +3

Скрыто модератором, Аноним (-), 00:25 , 15-Янв-25, (30)

Ух, список Классный Наверное кто-то расстроится, раз такие бекдоры закрыли Или , Ayjy (?), 23:51 , 14-Янв-25, (11) –1

Уязвимость протухла Можно её выкидывать Там ещё столько же и таких же осталось, Аноним (4), 23:52 , 14-Янв-25, (12)
в чём проблема добавить новых, Аноним (68), 09:36 , 15-Янв-25, (68)

А зачем добавлять новые Там старых еще лет на сто припасено , Анонимусс (-), 10:31 , 15-Янв-25, (73)

Ахаха, т е мяу Отличная новость Как раз расставляет все точки над i в споре из, Анонимусс (?), 23:57 , 14-Янв-25, (14) –2

Чего ты на раст то не переписал Почему за тебя всё должны делать диды , Аноним (4), 00:00 , 15-Янв-25, (15) +4

Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖDа , чатжпт (?), 00:05 , 15-Янв-25, (17) –1

Переписывай что угодно ты просто результат покажи и всё А то только вопли и нет, Аноним (4), 00:07 , 15-Янв-25, (18)
Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом , Аноним (4), 00:08 , 15-Янв-25, (19) +1

Галочка, ты не поверишь с github com your-tools rusync - Rust 99 1 И еще куча , Фнон (-), 00:10 , 15-Янв-25, (20) –1

Половины функционала нет , Аноним (4), 00:16 , 15-Янв-25, (23) +2

На мотив бардовской песни есть только C0C - за него и держись - , _ (??), 02:13 , 15-Янв-25, (47) +1

rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела , Ivan_83 (ok), 03:15 , 15-Янв-25, (56) +1

А раст тут причем Зачем вы его приплетаете в тему про Rsync, который на си напис, Аноним (-), 00:11 , 15-Янв-25, (22)

Зачем приплетать дыряшечность Которой нет , Аноним (4), 00:17 , 15-Янв-25, (24) +1

В смысле нет Уязвимости есть Есть Исполнение кода злоумышленника есть Есть п, Аноним (-), 00:21 , 15-Янв-25, (26) –1

Никакой связи уязвимость есть уязвимость она может быть где угодно , Аноним (4), 00:24 , 15-Янв-25, (27) –1

запись за пределы выделенного буфера не может быть где угодно, чатжпт (?), 00:34 , 15-Янв-25, (31) +1

Если очень захотеть, то можно всё https github com Speykious cve-rs Обозначу , АнонимичныйАноним (?), 06:49 , 15-Янв-25, (60)

Скрыто модератором, Анонимусс (-), 10:33 , 15-Янв-25, (74)

Вы так старались, но у вас никогда нет ответа сколько ущерба это принесло Мне э, Ivan_83 (ok), 03:07 , 15-Янв-25, (51)

8212 Билл 8212 Да, Гарри 8212 Что это было, Билл 8212 Это был Неулов, Аноним (70), 09:41 , 15-Янв-25, (70)
Конечно, потому что этим нормальные люди не пользуются А ущерб васянам никто счи, Анонимусс (-), 10:40 , 15-Янв-25, (75)

А исправления вида поменять open на openat тебя радуют Или гниль с крестами , Ivan_83 (ok), 03:50 , 15-Янв-25, (58)
Hardened систему надо использовать, она отлавливает переполнения и утечки воврем, Аноним (66), 08:49 , 15-Янв-25, (66)

И почему люди настолько упрямые, ака ослики, что не хотят просто использовать но, Фнон (-), 00:19 , 15-Янв-25, (25)

В любой язык вставят точно такую же уязвимость причем тут язык , Аноним (4), 00:25 , 15-Янв-25, (28) –1

А ты уверен1 что эту уязвимость встроили2 что в любом другом языке она была та, Фнон (-), 00:38 , 15-Янв-25, (33)

хз сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами зак, 12yoexpert (ok), 00:53 , 15-Янв-25, (35)

Тьфуй Если тебе нужен ЯП высокого уровня а не Си , ну там - прилады какие наср, _ (??), 02:17 , 15-Янв-25, (48) +1
Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно , Ivan_83 (ok), 03:18 , 15-Янв-25, (57)

А если включать голову и проверять код всякими там анализаторами то и уязвимост, An (??), 07:02 , 15-Янв-25, (61)

Не надо анализаторов и ничего включать, достаточно следовать простому правилу в, Ivan_83 (ok), 08:08 , 15-Янв-25, (65)

А можете еще озвучить простое правило как перестать выходить за пределы буфера, Анонимусс (-), 10:42 , 15-Янв-25, (76)

Потому что кресты не нормальный язык, а очень перегруженный По сути вы предлагае, Ivan_83 (ok), 03:08 , 15-Янв-25, (52) –1

Да у тебя любой язык, кроме С, перегружен, потому что кроме С и Lua ты ничего не, Аноним (67), 09:26 , 15-Янв-25, (67)
Конечно Любой язык, где больше чем около 30 ключевых слов, как в сишечке, - прос, Аноним (-), 10:18 , 15-Янв-25, (71) +1

В любом ЯП примерно одинаковое количество ключевых слов условия, циклы, классы,, hrmhmmhtbdr (?), 10:45 , 15-Янв-25, (77)

Типичный кексперт в треде Ну и зачем ты так себя позоришь Открой хотя бы викип, Аноним (-), 10:58 , 15-Янв-25, (79)

Я уже говорил тебе, что такое безумие Безумие - это точное повторение одного и, Аноним (-), 00:25 , 15-Янв-25, (29) –1

пхпшники и сишники - одного поля ягоды, только могила исправит, чатжпт (?), 00:37 , 15-Янв-25, (32) –3
Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, OpenEcho (?), 01:23 , 15-Янв-25, (40) +1

Вот только воткнуть не смог ты Какое отношение имеет имеющаяся кодовая база , Аноним (-), 01:29 , 15-Янв-25, (42)

Да, сделать его полностью безопасным, значит сломать совместимость А так его ул, Noname (??), 02:03 , 15-Янв-25, (46)
Ты сам то понял, что сейчас сказал Кодовая база на языке, на котором написа, OpenEcho (?), 02:27 , 15-Янв-25, (49) –1

Именно так Что мешало за N лет в С добавить какую-то абстракцию над буфером, чт, Аноним (-), 10:29 , 15-Янв-25, (72)

Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, Ivan_83 (ok), 03:10 , 15-Янв-25, (53)

Это привет из 80х просто Чувак, людям надо чтобы оно не просто выполнило нуж, Анонимусс (-), 10:52 , 15-Янв-25, (78)

На ржавом наверное уже переписали Хотя подождите, нужно же сначала написать к, Нуину (?), 00:45 , 15-Янв-25, (34) +2

а эмодзи для ридми кто будет выбирать , 12yoexpert (ok), 00:54 , 15-Янв-25, (36)

Напрягает, что автор этих ляпов rsync попутно является лидером Samba А в том ко, Аноним (37), 01:05 , 15-Янв-25, (37) +1

Ваще ни разу не удивлен opennet ru opennews art shtml num 56615 Удалённая root-, Аноним (-), 01:22 , 15-Янв-25, (38) +1

А т е типикал сишник-омнокодер решил одаривать людей своими выдающимися тал, Аноним (-), 01:31 , 15-Янв-25, (44) –1
это всё фичи были кто ж знал что вы так внять будете и придёться их прикрыть, Аноним (68), 09:38 , 15-Янв-25, (69)

Напрягает - не пользутесь , Ivan_83 (ok), 03:10 , 15-Янв-25, (54)

Имеются сомнения в чистоте релиза Andrew Tridgell последние 20 лет не релизил rs, Аноним (45), 01:49 , 15-Янв-25, (45) +3

Это то, о чем я твержу второе деятилетие, что подписи GPG PGP - это как страус п, OpenEcho (?), 02:41 , 15-Янв-25, (50)

Так и что дальше Ходить в интернет по паспорту , Ivan_83 (ok), 03:12 , 15-Янв-25, (55)

Заверять ЭЦП microsoft или apple жи Что вы все в коротких штанишках-то бегаете , User (??), 07:47 , 15-Янв-25, (64)
Тебе в баре просто наливают или могут доки спросить А на кассе Красное Белое ил, Аноним (-), 11:05 , 15-Янв-25, (80)

Всё нормально, весной прошлого года Tridgell вернулся в проект https www open, Аноним (62), 07:04 , 15-Янв-25, (62)

Сообщения [Сортировка по времени | RSS]

4. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (4), 14-Янв-25, 23:37

Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.

Ответить | Правка | Наверх | Cообщить модератору

39. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Аноним (39), 15-Янв-25, 01:22

Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!

Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором –5 +/–

Сообщение от Аноним (-), 15-Янв-25, 01:26

> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
Идите в пень со своим "безопасным языком", для вас есть соседняя тема.
Тут хватило бы писать не ногами, а руками.
А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.

Ответить | Правка | Наверх | Cообщить модератору

5. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Я (??), 14-Янв-25, 23:43

Гит блейм в руки и всё узнаете

Ответить | Правка | Наверх | Cообщить модератору

8. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (8), 14-Янв-25, 23:48

> Гит блейм в руки и всё узнаете
А там JinTan какой-нибудь.
И где ты его искать будешь?
Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"

Ответить | Правка | Наверх | Cообщить модератору

10. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 14-Янв-25, 23:51

Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. Скрыто модератором –1 +/–

Сообщение от Фнон (-), 14-Янв-25, 23:54

> Почему никто это не сделает и не опубликует результаты?
Потому что:
1. люди ленивые
2. всем пофиг
Но ты можешь поработать на благо общества.
>  Или кому то не выгодно чтобы мы узнали правду?
Все так привыкли к тому, что проект с содержанием "дыряшки в 82%" будет рассадником уязвимостей и багов.
Поэтьому никто не удивляется.

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором +3 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:01

О почему на Jia Tan все возбудились, а тут всем пофиг? Не думал что кому-то выгодно управлять фокусом внимания?

Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором +/–

Сообщение от Аноним (-), 15-Янв-25, 00:25

> О почему на Jia Tan все возбудились, а тут всем пофиг?
Предположу, что там был уже обнаруженный совершенный взлом.
И пострадавшие были заинтересованы в максимальной огласке.
А тут ХЗ, может было, может нет.
> Не думал что кому-то выгодно управлять фокусом внимания?
Естественно думал. Но уязвимостей так много, что если кричать "волк-волк" каждый раз, то разработчики просто разбегутся.
Т.к никто не захочет забесплатно писать код, а потом рисковать получить обвинения во внедрении какой-то бяки.
Я этой штукой не пользуюсь, так что точно не буду подымать волну.

Ответить | Правка | Наверх | Cообщить модератору

11. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Ayjy (?), 14-Янв-25, 23:51

Ух, список! Классный.
Наверное кто-то расстроится, раз такие бекдоры закрыли.
Или нет, если они уже не нужны))
ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.

Ответить | Правка | Наверх | Cообщить модератору

12. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 14-Янв-25, 23:52

Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.

Ответить | Правка | Наверх | Cообщить модератору

68. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (68), 15-Янв-25, 09:36

в чём проблема добавить новых

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

73. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:31

> в чём проблема добавить новых
А зачем добавлять новые?
Там старых еще лет на сто припасено)))

Ответить | Правка | Наверх | Cообщить модератору

14. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –2 +/–

Сообщение от Анонимусс (?), 14-Янв-25, 23:57

Ахаха, т.е. мяу)
Отличная новость! Как раз расставляет все точки над i в споре из соседней темы))
"Запись за пределы выделенного буфера"
"Утечка содержимого неинициализированных данных из стека"
"Состояние гонки при работе с символическими ссылками"
Так это же... просто классическое дыряшечное бинго!
Особо радуют исправления вида:
- #define sum2_at(s, i)  ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len))
+ #define sum2_at(s, i)  ((s)->sum2_array + ((size_t)(i) * xfer_sum_len))
- s->sum2_array = new_array(char, s->count * xfer_sum_len);
+ s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len);
Бедняги, опять не запутались в типах и буферах!
Гениально! Оказывается нужно чистить память за собой!

+ // prevent possible memory leaks
+ memset(sum2, 0, sizeof sum2);

Ответить | Правка | Наверх | Cообщить модератору

15. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +4 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:00

Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?

Ответить | Правка | Наверх | Cообщить модератору

17. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:05

Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD
а мифические диды как писали дырявый код так и продолжают

Ответить | Правка | Наверх | Cообщить модератору

18. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (4), 15-Янв-25, 00:07

Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.

Ответить | Правка | Наверх | Cообщить модератору

19. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:08

Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

20. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Фнон (-), 15-Янв-25, 00:10

Галочка, ты не поверишь! (с)
github.com/your-tools/rusync - Rust 99.1%
И еще куча других.
Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

23. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:16

Половины функционала нет?

Ответить | Правка | Наверх | Cообщить модератору

47. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от _ (??), 15-Янв-25, 02:13

На мотив бардовской песни:
... есть только C0C - за него и держись
;-)

Ответить | Правка | Наверх | Cообщить модератору

56. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:15

rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты.
Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

22. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 00:11

> Чего ты на раст то не переписал?
А раст тут причем?
Зачем вы его приплетаете в тему про Rsync, который на си написан?
И как наличие или отсутствие раста оправдывает такие глупые ошибки?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

24. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:17

Зачем приплетать дыряшечность? Которой нет.

Ответить | Правка | Наверх | Cообщить модератору

26. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (-), 15-Янв-25, 00:21

В смысле нет?
Уязвимости есть? Есть.
Исполнение кода злоумышленника есть? Есть!
"позволяет добиться выполнения своего кода на сервере"
Вот тебе и дырявость, как у шерета.

Ответить | Правка | Наверх | Cообщить модератору

27. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:24

Никакой связи уязвимость есть уязвимость она может быть где угодно.

Ответить | Правка | Наверх | Cообщить модератору

31. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:34

"запись за пределы выделенного буфера" не может быть где угодно

Ответить | Правка | Наверх | Cообщить модератору

60. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от АнонимичныйАноним (?), 15-Янв-25, 06:49

Если очень захотеть, то можно всё!
https://github.com/Speykious/cve-rs
;)
Обозначу сразу, что я не занимаю какую либо позицию в дискуссии, а просто прикалываюсь
Тем более, что в основном я пишу на (языкк (скобочек))

Ответить | Правка | Наверх | Cообщить модератору

74. Скрыто модератором +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:33

> Зачем приплетать дыряшечность? Которой нет.
Как это нет???
Язык разработки - дыряшка.
(Тупые) уязвимости с памятью есть? Есть.
Так что тут дыряшечность на все 100%)))

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

51. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:07

Вы так старались, но у вас никогда нет ответа: сколько ущерба это принесло.
Мне это принесло скорее всего 0 ущерба, хоть у меня rsync и торчит наружу доступный для чтения уже лет 15.
Но я так и быть подумаю на досуге над тем чтобы возможно порезать возможности демона rsync по доступу к файлам, а пока просто потушил его пока обновления не прилетят.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

70. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (70), 15-Янв-25, 09:41

— Билл?
— Да, Гарри?
— Что это было, Билл?
— Это был Неуловимый Джо, Гарри.
— А почему его зовут Неуловимым Джо, Билл?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билл?
— Потому что он нафиг никому не нужен, Гарри.

Ответить | Правка | Наверх | Cообщить модератору

75. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:40

> но у вас никогда нет ответа: сколько ущерба это принесло.
Конечно, потому что этим нормальные люди не пользуются.
А ущерб васянам никто считать не будет.
Вот другие типикал дырени вполне себе посчитали.
Напр. для того же хадблида - 400к в месяц на перевыпуск сертов + реальные взломы гос структур и сервисов.
И ведь ты просто не знаешь, вдруг последние доки из Алмаз-Антея уперли из-за схожей проблемы))
> Мне это принесло скорее всего 0 ущерба
Прости, но на тебя как-то по...
Ты уже рассказывал в других тема, что у тебя на компе нет ничего ценного, нет никакой фин информации и так далее.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

58. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:50

А исправления вида поменять open() на openat() тебя радуют?
Или гниль с крестами сами такое делают, магически угадывая заранее?
https://github.com/RsyncProject/rsync/commit/b4a27ca25d0abb6...

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

66. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (66), 15-Янв-25, 08:49

> "Запись за пределы выделенного буфера"
> "Утечка содержимого неинициализированных данных из стека"
Hardened систему надо использовать, она отлавливает переполнения и утечки вовремя исполнения.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Фнон (-), 15-Янв-25, 00:19

И почему люди настолько упрямые, ака ослики, что не хотят просто использовать нормальные языки программирования.
Например С++.
Там есть и RAII, и умные указатели, и range-based for (в последних редакциях).
Но нет "будем использовать кривую эскопету и продолжать овнокодить" ((

Ответить | Правка | Наверх | Cообщить модератору

28. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (4), 15-Янв-25, 00:25

В любой язык вставят точно такую же уязвимость причем тут язык?

Ответить | Правка | Наверх | Cообщить модератору

33. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Фнон (-), 15-Янв-25, 00:38

> В любой язык вставят точно такую же уязвимость причем тут язык?
А ты уверен
1. что эту уязвимость встроили
2. что в любом другом языке она была такой же незаметной
?
Мне оно больше кажется банальной ошибкой.
И если использовать нормальные инструменты: ЯП, стат.анализаторы, санитайзеры и тд, то их появление можно значительно уменьшить.

Ответить | Правка | Наверх | Cообщить модератору

35. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от 12yoexpert (ok), 15-Янв-25, 00:53

хз. сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами заканчиваются

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

48. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от _ (??), 15-Янв-25, 02:17

Тьфуй! Если тебе нужен ЯП высокого уровня (а не Си), ну там - прилады какие насрябать ... то и бери высокоуровневый, а не смесь бульдога с удавам! :)

Ответить | Правка | Наверх | Cообщить модератору

57. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:18

Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно быстро.
По крайней мере этого умения будет хватать чтобы прочитать и понять код, а так же внести простые правки в него.
В крестовом месиве такое и близко не прокатывает.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

61. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от An (??), 15-Янв-25, 07:02

+
А если включать голову и проверять код всякими там анализаторами то и уязвимостей таких не будет.

Ответить | Правка | Наверх | Cообщить модератору

65. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 08:08

Не надо анализаторов и ничего включать, достаточно следовать простому правилу: везде где имя файла/папки принимается по сети или от потенциально враждебного источника нужно использовать openat() вместо open() и прочие ***at() функции для работы с файлами и папками.
Этому правилу уже лет 15 как минимум, все вебсервера прошлись по этому, как и сервера некоторых других протоколов.

Ответить | Правка | Наверх | Cообщить модератору

76. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:42

> достаточно следовать простому правилу
А можете еще "озвучить простое правило" как перестать выходить за пределы буфера?
И заодно, как не переполнять инты и не делать даблфри?
Потому что проблемы с open() встречаются чуток реже чем предыдущие)))

Ответить | Правка | Наверх | Cообщить модератору

52. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:08

Потому что кресты не нормальный язык, а очень перегруженный.
По сути вы предлагаете заменить английский на китайский.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

67. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (67), 15-Янв-25, 09:26

> Потому что кресты не нормальный язык, а очень перегруженный.
Да у тебя любой язык, кроме С, перегружен, потому что кроме С и Lua ты ничего не осилил 😂

Ответить | Правка | Наверх | Cообщить модератору

71. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (-), 15-Янв-25, 10:18

Конечно!
Любой язык, где больше чем около 30 ключевых слов, как в сишечке, - просто невероятно сложный и перегруженный. Это же придется учиться, доку читать! А она большая, скучная и без картинок!
А на сишечке любая обезьяна кодить может научиться. Некоторые даже самостоятельно.
Результаты чего мы сейчас собственно и наблюдаем.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

77. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от hrmhmmhtbdr (?), 15-Янв-25, 10:45

В любом ЯП примерно одинаковое количество ключевых слов: условия, циклы, классы, функции, константы, переменные, указатели...

Ответить | Правка | Наверх | Cообщить модератору

79. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 10:58

> В любом ЯП примерно одинаковое количество ключевых слов
Типичный кексперт в треде...
Ну и зачем ты так себя позоришь?
Открой хотя бы википедию en.wikipedia.org/wiki/Reserved_word
The number of reserved words varies widely from one language to another: C has about 30 while COBOL has about 400
А вот список слов по языкам
https://github.com/e3b0c442/keywords
ANSI C89 (32 keywords)
C17 (44 keywords)
C++20 (92 keywords)
Fortran 2008 (103 keywords)

Ответить | Правка | Наверх | Cообщить модератору

29. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (-), 15-Янв-25, 00:25

"Я уже говорил тебе, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение."
Раз за разом повторяя одни и те же ошибки в мириадах вариаций, они продолжат писать также уже больше 30 лет. Почему?
"Вот я точно такую не допущу"?
"Это в не настоящие программисты, а вот я"?
Или может есть какие-то другие оправдания?
Почему они не хотят изменить свой же инструмент, чтобы перестать делать ошибки раз за разом? Почему они при этом так сильно противятся появлению других инструментов?

Ответить | Правка | Наверх | Cообщить модератору

32. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –3 +/–

Сообщение от чатжпт (?), 15-Янв-25, 00:37

пхпшники и сишники - одного поля ягоды, только могила исправит

Ответить | Правка | Наверх | Cообщить модератору

40. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от OpenEcho (?), 15-Янв-25, 01:23

> Почему они не хотят изменить свой же инструмент
Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Не балоболы написали с нуля rclone, а другие только указывают на каком "правильном" языке надо переписать, но сами при этом - потребители...

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

42. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 01:29

> Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Вот только "воткнуть" не смог ты(((
Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Они не в состоянии улучшать язык без слома обратной совместимости?
> а другие только указывают
А другие уже написали аналог на нужном языке. И не на одном.
> но сами при этом - потребители...
Но-но, ЭТИМ я не пользуюсь!

Ответить | Правка | Наверх | Cообщить модератору

46. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Noname (??), 15-Янв-25, 02:03

> Они не в состоянии улучшать язык без слома обратной совместимости
Да, сделать его полностью безопасным, значит сломать совместимость. А так его улучшают, как могут.

Ответить | Правка | Наверх | Cообщить модератору

49. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от OpenEcho (?), 15-Янв-25, 02:27

> Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Ты сам то понял, что сейчас сказал? :)))
Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?

> Они не в состоянии улучшать язык без слома обратной совместимости?
А ты поробуй, - улучши то, что являестя дефакто стандартом почти пол столетия низкоуровнего ЯП. Его не надо улучшать. С должен именно оставаться таким, как он есть, - скальпелем, микроскопом,  чтобы можно было выкручивать на нем все, что только может ЛЮБАЯ хардварь и любая ОСЬ (а то и вообще без ОСи), без ограничений со стороны языка, типа мы лучше знаем что вам надо и сделаем за вас.
Если ты не заметил, то С уже улушили, С++ называется, в котором достаточно таких же плюшек как и в новомодном расте, а также улучшатели подняли планку чтоб воткнуть в язык и знать наизусть 1000+ страниц спецификации языка, чтоб его изпользовать на всю задуманную мощь.
Странно, что столько народу здесь не могут воткнуть в простую вещь - что во время написания rsync, тогда не было таких заморочек с секьюрностью, достаточно было дописать в конец .ехе или .сом файла пэйлоад, запатчить старт и вперед вирусня. И "С" был единоличным королем среди языков на то время и для той задачи что он выполняет - это был самый правильный выбор, т.к. С++ только стандартизировался. "С" и сейчас остается одним самых эффективных и сливает разве что только ассемблеру и в лоб опкодам. Да, требует однозначно большого внимания и наказывает сильно за ошибки, но микроскопом и не надо гвозди забывать... сейчас, а не 30 лет назад.
Сейчас есть новые инструменты, которые можно и нужно изпользовать, если не надо докапываться слишком далеко до сердца (привет ракетостроителям и всем кто в ring0).
Но тогда, когда появился rsync,  - этого  не было, поэтому не надо гнать на "С" дедушку, - он дал жизнь молодежи и это будет хамством гнать на родителей сейчас ...

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

72. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 10:29

> Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?
Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером, чтобы просто не писать мимо, как 30 лет назад? И в новом коде rsync использовать ее?
> Его не надо улучшать.
Угу, на нем лучше вообще не писать. А еще лучше - запретить законодательно)))
Как вредную, небезопасную вещь. Как в свое время запретили бенз со свинцом, асбест и фенольную изоляцию. Ну а про старый код говорить - не пользуйтесь им, а дидов сильно не ругайте))
> что во время написания rsync, тогда не было таких заморочек с секьюрностью
Еще как заметили. Но как писал какой-то анон - сейчас уже не 70е.
> он дал жизнь молодежи и это будет хамством гнать на родителей сейчас
Браво! Какая речь, какая речь!
Аж прослезился)))
А теперь спустить на землю и посмотри даты добавления омнокода из перечисленных уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору

53. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:10

Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, всё остальное интересно мало.
Только фрикам интересен не функционал программы а язык на котором оно написано и чтобы обновление было сегодняшнее, потому что недельной давно уже жуткое легаси и там страшные уязвимости сами по себе завелись.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

78. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Анонимусс (-), 15-Янв-25, 10:52

> Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали
Это "привет из 80х" просто)))
Чувак, людям надо чтобы оно не просто выполнило нужные действия, но чтобы еще их не взломали при этом. Я понимаю, что тебе не понять такую простую вещь, но просто прими как есть - у людей бывает на компе важная и ценная информация. И если таких людей стало достаточно много, то появляется запрос от общества.
> Только фрикам интересен не функционал программы а язык на котором оно написано
К сожалению, некоторые языки и погромисты, на них пишушие, крайне склонны к тем или иным ошибкам. Просто статистически.
Пишут же на упаковке с продуктами состав, чтобы каждый потребитель мог увидеть что там пальмовое масло вместо нормального животного жира, шкуры и жир вместо мяса, сахорозаменители, ммо и так далее.
Как раз чтобы у потребителя бы выбор - есть это или не есть.
Поэтому я за ввод маркировки для софта!
"Осторожно! в̶н̶у̶т̶р̶и̶ ̶г̶о̶в̶н̶о̶  внутри код написанный на макроасме из 70х"

Ответить | Правка | Наверх | Cообщить модератору

34. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +2 +/–

Сообщение от Нуину (?), 15-Янв-25, 00:45

На ржавом наверное уже переписали... Хотя подождите, нужно же сначала написать конкурентый прогрессбар и раскраску для консоли, а это подождет. Бонусом можно будет стебать си.

Ответить | Правка | Наверх | Cообщить модератору

36. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от 12yoexpert (ok), 15-Янв-25, 00:54

а эмодзи для ридми кто будет выбирать?

Ответить | Правка | Наверх | Cообщить модератору

37. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (37), 15-Янв-25, 01:05

Напрягает, что автор этих ляпов rsync попутно является лидером Samba. А в том коде черт ногу сломит.

Ответить | Правка | Наверх | Cообщить модератору

38. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +1 +/–

Сообщение от Аноним (-), 15-Янв-25, 01:22

> Напрягает, что автор этих ляпов rsync попутно является лидером Samba.
Ваще ни разу не удивлен.
opennet.ru/opennews/art.shtml?num=56615
"Удалённая root-уязвимость в Samba"
CVE-2021-44142 позволяет удалённому атакующему выполнить произвольный код с правами root на системе с уязвимой версией Samba. Проблеме присвоен уровень опасности 9.9 из 10.
opennet.ru/opennews/art.shtml?num=57978
"Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога"
CVE-2022-3437 - переполнение буфера в функциях unwrap_des() и unwrap_des3()
CVE-2022-3592 - возможность выхода за границы экспортируемого каталога ... через манипуляции с символическими ссылками.
"Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера"
opennet.ru/opennews/art.shtml?num=58135
"Уязвимость в модуле ksmbd ядра Linux, позволяющая удалённо выполнить свой код"
https://www.opennet.ru/opennews/art.shtml?num=58377

Ответить | Правка | Наверх | Cообщить модератору

44. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." –1 +/–

Сообщение от Аноним (-), 15-Янв-25, 01:31

А... т.е. типикал сишник-омнокодер решил одаривать людей своими выдающимися "талантами" не в одном проекте, а сразу в нескольких?
Похвально, похвально!
Наверное у АНБ расценки упали, ну или может все дело в инфляции и госдолге, раз ему приходится в поте лица трудиться на благо всего сообщества)))

Ответить | Правка | Наверх | Cообщить модератору

69. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (68), 15-Янв-25, 09:38

это всё фичи были. кто ж знал что вы так внять будете и придёться их прикрыть

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

54. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:10

Напрягает - не пользутесь.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

45. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +3 +/–

Сообщение от Аноним (45), 15-Янв-25, 01:49

Имеются сомнения в чистоте релиза.
Andrew Tridgell последние 20 лет не релизил rsync, а ключ, которым подписан релизный коммит нигде не опубликован.
Есть и другие нестыковки, которые напоминают ситуацию с xz.
https://bugs.gentoo.org/948106#c2

Ответить | Правка | Наверх | Cообщить модератору

50. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от OpenEcho (?), 15-Янв-25, 02:41

> а ключ, которым подписан релизный коммит нигде не опубликован.
Это то, о чем я твержу второе деятилетие, что подписи GPG/PGP - это как страус прячется в песок.
Абсолютно любой, может пойти и выпустить свой ключ под чужим именем. Нет верификации - нет доверия, хоть чем подписывай. Даже очень крупные проекты не имееют кросс подписей на ключах, типа - "верьте нам все на слово, что это правда те за кого мы себя выдаем", мы ж там на сайтике ХЗ выложили подписи, вот и верьте. Веботраст как не работал так и не работает, для цивилизованных, а вот засранцы-вредители, очень даже верифицируют друга друга, при личной встречи и из рук в руки.

Ответить | Правка | Наверх | Cообщить модератору

55. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Ivan_83 (ok), 15-Янв-25, 03:12

Так и что дальше?
Ходить в интернет по паспорту?

Ответить | Правка | Наверх | Cообщить модератору

64. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от User (??), 15-Янв-25, 07:47

Заверять ЭЦП microsoft или apple жи! Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...

Ответить | Правка | Наверх | Cообщить модератору

80. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (-), 15-Янв-25, 11:05

> Так и что дальше?
> Ходить в интернет по паспорту?
Тебе в баре просто наливают или могут доки спросить? А на кассе Красное&Белое или любого аналога бухло-ленда?
В магазе я могу попросить посмотреть доки на мясо/молочку, да на все что захочу.
И мне обязаны их показать.
Даже если ты раздаешь что-то бесплатно, то оно тоже должно быть надлежащего качества.
Если тебя норм ситуации с ЖинТянʼами - то ок.
Но как только большинству такое станет не норм, то ты останешься в меньшинстве и общество тебя просто заставит.
Введут закон что программы с кол-во скачек больше 5000 обязаны подписываться госуслугами)

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

62. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..." +/–

Сообщение от Аноним (62), 15-Янв-25, 07:04

Всё нормально, весной прошлого года Tridgell  вернулся в проект https://www.opennet.ru/60941 Это его первый релиз, после возвращение в сопровождающие, поэтому и ключ новый.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
Сообщение от Аноним (4), 14-Янв-25, 23:37
Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+2 +/–
	Сообщение от Аноним (39), 15-Янв-25, 01:22
	Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. Скрыто модератором	–5 +/–
	Сообщение от Аноним (-), 15-Янв-25, 01:26
	> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью! Идите в пень со своим "безопасным языком", для вас есть соседняя тема. Тут хватило бы писать не ногами, а руками. А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
Сообщение от Я (??), 14-Янв-25, 23:43
Гит блейм в руки и всё узнаете
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (8), 14-Янв-25, 23:48
	> Гит блейм в руки и всё узнаете А там JinTan какой-нибудь. И где ты его искать будешь? Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (4), 14-Янв-25, 23:51
	Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	13. Скрыто модератором	–1 +/–
	Сообщение от Фнон (-), 14-Янв-25, 23:54
	> Почему никто это не сделает и не опубликует результаты? Потому что: 1. люди ленивые 2. всем пофиг Но ты можешь поработать на благо общества. > Или кому то не выгодно чтобы мы узнали правду? Все так привыкли к тому, что проект с содержанием "дыряшки в 82%" будет рассадником уязвимостей и багов. Поэтьому никто не удивляется.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. Скрыто модератором	+3 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:01
	О почему на Jia Tan все возбудились, а тут всем пофиг? Не думал что кому-то выгодно управлять фокусом внимания?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. Скрыто модератором	+/–
	Сообщение от Аноним (-), 15-Янв-25, 00:25
	> О почему на Jia Tan все возбудились, а тут всем пофиг? Предположу, что там был уже обнаруженный совершенный взлом. И пострадавшие были заинтересованы в максимальной огласке. А тут ХЗ, может было, может нет. > Не думал что кому-то выгодно управлять фокусом внимания? Естественно думал. Но уязвимостей так много, что если кричать "волк-волк" каждый раз, то разработчики просто разбегутся. Т.к никто не захочет забесплатно писать код, а потом рисковать получить обвинения во внедрении какой-то бяки. Я этой штукой не пользуюсь, так что точно не буду подымать волну.
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
Сообщение от Ayjy (?), 14-Янв-25, 23:51
Ух, список! Классный. Наверное кто-то расстроится, раз такие бекдоры закрыли. Или нет, если они уже не нужны)) ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (4), 14-Янв-25, 23:52
	Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (68), 15-Янв-25, 09:36
	в чём проблема добавить новых
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	73. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Анонимусс (-), 15-Янв-25, 10:31
	> в чём проблема добавить новых А зачем добавлять новые? Там старых еще лет на сто припасено)))
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–2 +/–
Сообщение от Анонимусс (?), 14-Янв-25, 23:57
Ахаха, т.е. мяу) Отличная новость! Как раз расставляет все точки над i в споре из соседней темы)) "Запись за пределы выделенного буфера" "Утечка содержимого неинициализированных данных из стека" "Состояние гонки при работе с символическими ссылками" Так это же... просто классическое дыряшечное бинго! Особо радуют исправления вида: - #define sum2_at(s, i) ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len)) + #define sum2_at(s, i) ((s)->sum2_array + ((size_t)(i) * xfer_sum_len)) - s->sum2_array = new_array(char, s->count * xfer_sum_len); + s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len); Бедняги, опять не запутались в типах и буферах! Гениально! Оказывается нужно чистить память за собой! + // prevent possible memory leaks + memset(sum2, 0, sizeof sum2);
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+4 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:00
	Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от чатжпт (?), 15-Янв-25, 00:05
	Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD а мифические диды как писали дырявый код так и продолжают
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (4), 15-Янв-25, 00:07
	Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:08
	Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	20. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Фнон (-), 15-Янв-25, 00:10
	Галочка, ты не поверишь! (с) github.com/your-tools/rusync - Rust 99.1% И еще куча других. Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	23. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+2 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:16
	Половины функционала нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от _ (??), 15-Янв-25, 02:13
	На мотив бардовской песни: ... есть только C0C - за него и держись ;-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Ivan_83 (ok), 15-Янв-25, 03:15
	rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты. Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	22. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Аноним (-), 15-Янв-25, 00:11
	> Чего ты на раст то не переписал? А раст тут причем? Зачем вы его приплетаете в тему про Rsync, который на си написан? И как наличие или отсутствие раста оправдывает такие глупые ошибки?
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	24. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:17
	Зачем приплетать дыряшечность? Которой нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Аноним (-), 15-Янв-25, 00:21
	В смысле нет? Уязвимости есть? Есть. Исполнение кода злоумышленника есть? Есть! "позволяет добиться выполнения своего кода на сервере" Вот тебе и дырявость, как у шерета.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	–1 +/–
	Сообщение от Аноним (4), 15-Янв-25, 00:24
	Никакой связи уязвимость есть уязвимость она может быть где угодно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+1 +/–
	Сообщение от чатжпт (?), 15-Янв-25, 00:34
	"запись за пределы выделенного буфера" не может быть где угодно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от АнонимичныйАноним (?), 15-Янв-25, 06:49
	Если очень захотеть, то можно всё! https://github.com/Speykious/cve-rs ;) Обозначу сразу, что я не занимаю какую либо позицию в дискуссии, а просто прикалываюсь Тем более, что в основном я пишу на (языкк (скобочек))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. Скрыто модератором	+/–
	Сообщение от Анонимусс (-), 15-Янв-25, 10:33
	> Зачем приплетать дыряшечность? Которой нет. Как это нет??? Язык разработки - дыряшка. (Тупые) уязвимости с памятью есть? Есть. Так что тут дыряшечность на все 100%)))
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	51. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."	+/–
	Сообщение от Ivan_83 (ok), 15-Янв-25, 03:07
	Вы так старались, но у вас никогда нет ответа: сколько ущерба это принесло. Мне это принесло скорее всего 0 ущерба, хоть у меня rsync и торчит наружу доступный для чтения уже лет 15. Но я так и быть подумаю на досуге над тем чтобы возможно порезать возможности демона rsync по доступу к файлам, а пока просто потушил его пока обновления не прилетят.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору