The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте"  +/
Сообщение от opennews (??), 14-Янв-25, 23:31 
Опубликован релиз утилиты для синхронизации файлов Rsync 3.4.0, в котором устранено шесть уязвимостей. Комбинация  уязвимостей  CVE-2024-12084 и CVE-2024-12085 позволяет клиенту добиться выполнения своего кода на сервере. Для совершения атаки достаточно анонимного подключения к серверу Rsync с доступом на чтение. Например, атака может быть совершена на зеркала различных дистрибутивов и проектов, предоставляющих возможность загрузки сборок через Rsync. Проблема также затрагивает различные приложения для синхронизации файлов и резервного копирования, использующие  Rsync в качестве бэкенда, такие как  Rclone, DeltaCopy и ChronoSync...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62557

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


4. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от Аноним (4), 14-Янв-25, 23:37 
Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.
Ответить | Правка | Наверх | Cообщить модератору

39. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (39), 15-Янв-25, 01:22 
Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором  –6 +/
Сообщение от Аноним (-), 15-Янв-25, 01:26 
Ответить | Правка | Наверх | Cообщить модератору

84. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –2 +/
Сообщение от Аноним (84), 15-Янв-25, 12:19 
> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!

Могу лишь повторить слова предыдущего Анонима, так как он сказал правильно. Идите со своим  "безопасным" куда вас послали.

>Идите в пень со своим "безопасным языком", для вас есть соседняя тема.
>Тут хватило бы писать не ногами, а руками.
>А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

204. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Апро (?), 16-Янв-25, 21:03 
>А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.

Только аноним как-то позабыл что ни один случай с undefined behviour в стандарте с C++03 по C++17 не был убран. А тот же std::string из c++11 позволит сделать "stack buffer overflow",
если туда записать больше байт чем размер, потому что с C++11 появился SSO.

Ответить | Правка | Наверх | Cообщить модератору

103. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +5 +/
Сообщение от Аноним (103), 15-Янв-25, 14:07 
>Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!

Потому что проект _написан_, а не только сплошные рассуждения о безопасности. Ошибок нет только в тех проектах, которые еще не написали

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

107. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от Аноним (-), 15-Янв-25, 14:12 
> Потому что проект _написан_, а не только сплошные рассуждения о безопасности. Ошибок
> нет только в тех проектах, которые еще не написали

Ты не путай ошибки с намеренным вредом или как минимум халатностью.

Электрика который кинет оголенный провод просто на пол, будут долго и упорно сношать ТБ.
Производителя еды, который допустит попадание в продукты какой-то бяки набутылит потребнадзор.
Врача который ошибется, будет судить целая комиссия.

И только пограммисты считают, что за то овно которое они выдают, они не должны отвечать.

Ответить | Правка | Наверх | Cообщить модератору

111. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (111), 15-Янв-25, 14:21 
Так ты перечислил сферы в которых ошибка влечет вред здоровью.
Очевидно, уровень аудита у ПО автопилота самолета и копирователя файликов разный. Во всяком случае на бумаге
Ответить | Правка | Наверх | Cообщить модератору

114. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (114), 15-Янв-25, 14:36 
> Так ты перечислил сферы в которых ошибка влечет вред здоровью.

Не обязательно, ну подумаешь кто-то, от некачественной еды обделался. Просто постирает штаны.

> Очевидно, уровень аудита у ПО автопилота самолета и копирователя файликов разный. Во всяком случае на бумаге

Но есть еще и например материальный урон.
И дырявая копировалка файлов, которая позволит взломать сервак - это уже слегка болезненее.
А если она позволит например вести ддос или просто воровать платежные данные.

Сейчас когда в телефоне уже банк, страховка, куча фоток, включая личные.. оно просто должно быть корректным и надежным.

Чтобы не читать такие новости
"Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP "
opennet.ru/opennews/art.shtml?num=59746

"уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.
Уязвимость позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day). "
Т.е людей уже ломают просто разместив картинку на сайт.

ps угадай с одного раза на чем она была написана)

Ответить | Правка | Наверх | Cообщить модератору

142. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +3 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 16:14 
"оно просто должно быть корректным и надежным." - это ваши личные хотелки которые вы пока не готовы оплачивать.
Возьмите весь опенсорц которым вы пользуетесь явно и не явно и организуйте фаундейшин чтобы платить авторам хотя бы по 120к бачей в год, тогда можем поговорить за качество, безопасность и прочие ваши фантазии.

Пока вы только хотите получать - можете получить в лучшем случае пожелание быть здоровым (на голову).

Ответить | Правка | Наверх | Cообщить модератору

178. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (178), 15-Янв-25, 23:54 
> хотя бы по 120к бачей в год

А сколько ты думаешь получал программист, который все эти баги напрогнаммировал?

Ответить | Правка | Наверх | Cообщить модератору

180. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 00:18 
Вполне вероятно ни сколько конкретно за "эти все".
Ответить | Правка | Наверх | Cообщить модератору

191. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (191), 16-Янв-25, 09:02 
Ну вот в вашей любимой Европе как раз принимают закон, чтобы поставить к ногтю все опенсорс проекты, чтобы головой отвечали за качество кода.
Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

192. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от нах. (?), 16-Янв-25, 09:35 
Ну и будут обратно винду внедрять в свои госконторы (только что вот вынедрили, бабки освоены, надо осваивать следующие).

Потому что останутся только американские проекты, и те с запретом использования в странах, не согласных с правилом "as-is".
Внезапно, это только так вот и работает.

Главное чтоб с этой заменой туда-сюда не забыли еще пару АЭС закрыть, а то американский газ что-то больно дешево им достается, не смотря на потери 30% на перевозку.

Ответить | Правка | Наверх | Cообщить модератору

198. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 13:08 
Пруфы где?
Ответить | Правка | К родителю #191 | Наверх | Cообщить модератору

173. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от freebzzZZZzzd (ok), 15-Янв-25, 20:17 
>Кто когда куда и что добавил мы конечно же никогда не узнаем.

да там вроде всего один, причём выходец из самбы, что как бэ намекает... впрочем, rsync всё равно рулез.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Я (??), 14-Янв-25, 23:43 
Гит блейм в руки и всё узнаете
Ответить | Правка | Наверх | Cообщить модератору

8. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (8), 14-Янв-25, 23:48 
> Гит блейм в руки и всё узнаете

А там JinTan какой-нибудь.
И где ты его искать будешь?

Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"

Ответить | Правка | Наверх | Cообщить модератору

10. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (4), 14-Янв-25, 23:51 
Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. Скрыто модератором  +/
Сообщение от Фнон (-), 14-Янв-25, 23:54 
Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором  +2 +/
Сообщение от Аноним (4), 15-Янв-25, 00:01 
Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 15-Янв-25, 00:25 
Ответить | Правка | Наверх | Cообщить модератору

11. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Ayjy (?), 14-Янв-25, 23:51 
Ух, список! Классный.
Наверное кто-то расстроится, раз такие бекдоры закрыли.
Или нет, если они уже не нужны))

ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.

Ответить | Правка | Наверх | Cообщить модератору

12. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (4), 14-Янв-25, 23:52 
Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.
Ответить | Правка | Наверх | Cообщить модератору

68. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (68), 15-Янв-25, 09:36 
в чём проблема добавить новых
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

73. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Анонимусс (-), 15-Янв-25, 10:31 
> в чём проблема добавить новых

А зачем добавлять новые?
Там старых еще лет на сто припасено)))

Ответить | Правка | Наверх | Cообщить модератору

14. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Анонимусс (?), 14-Янв-25, 23:57 
Ахаха, т.е. мяу)
Отличная новость! Как раз расставляет все точки над i в споре из соседней темы))

"Запись за пределы выделенного буфера"
"Утечка содержимого неинициализированных данных из стека"
"Состояние гонки при работе с символическими ссылками"

Так это же... просто классическое дыряшечное бинго!

Особо радуют исправления вида:

- #define sum2_at(s, i)  ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len))
+ #define sum2_at(s, i)  ((s)->sum2_array + ((size_t)(i) * xfer_sum_len))
- s->sum2_array = new_array(char, s->count * xfer_sum_len);
+ s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len);

Бедняги, опять не запутались в типах и буферах!

Гениально! Оказывается нужно чистить память за собой!


+ // prevent possible memory leaks
+ memset(sum2, 0, sizeof sum2);

Ответить | Правка | Наверх | Cообщить модератору

15. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +8 +/
Сообщение от Аноним (4), 15-Янв-25, 00:00 
Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?
Ответить | Правка | Наверх | Cообщить модератору

17. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от чатжпт (?), 15-Янв-25, 00:05 
Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD
а мифические диды как писали дырявый код так и продолжают
Ответить | Правка | Наверх | Cообщить модератору

18. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (4), 15-Янв-25, 00:07 
Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.
Ответить | Правка | Наверх | Cообщить модератору

19. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от Аноним (4), 15-Янв-25, 00:08 
Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

148. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от WD40 (-), 15-Янв-25, 16:54 
> Ты же в другой ветке будешь вопить чего это на раст переписывают
> всё подряд ЖD
> а мифические диды как писали дырявый код так и продолжают

Так вы что-то не хотите своим редсдох осом пользовться и прочими офигенными драйверами FAT на игого. А больше у aдeптов хруста пока ничего не получилось.

Даже вон консерво - и тот уже более 10 лет делают, а никто так и не юзает это нигде. Уж мозилла всех мегадевов уволила на мороз. И браузер вот-вот сдохнет. А консерв так до сих пор и не готов.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

20. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Фнон (-), 15-Янв-25, 00:10 
Галочка, ты не поверишь! (с)
github.com/your-tools/rusync - Rust 99.1%
И еще куча других.

Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

23. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (4), 15-Янв-25, 00:16 
Половины функционала нет?
Ответить | Правка | Наверх | Cообщить модератору

47. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от _ (??), 15-Янв-25, 02:13 
На мотив бардовской песни:
... есть только C0C - за него и держись

;-)

Ответить | Правка | Наверх | Cообщить модератору

163. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от User (??), 15-Янв-25, 19:17 
Ага. А то, что есть - ну вот по ключам не совместимо, ага. Шо тот ripgrep, да. Имел я пару годиков назад внезапный сЭкас с продуктами пионЭрского труда, "заменившего" одно на другое...
Все, как мы любим, в общем.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

179. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (178), 16-Янв-25, 00:04 
То есть со скиллами настолько всё плохо, что пусть лучше дырявые сервисы, лишь бы ничего не меняеть, а то тестировать на кошках не умеете, и не дай бог что-то сломается, чинить тоже некому, у всех лапки.

Надо вместе с ответственностью программистов заодно ответственность сисадминов и пользователей ввести за эксплуатацию дырявого софта дольше 24 часов после выпуска фикса. А для эксплуатируемых RCE — дольше 2 часов. Ну чтобы точно безопасно было.

Ответить | Правка | Наверх | Cообщить модератору

183. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 00:45 
Чувак, прежде чем что то там вводить - заплати бабло.
А то ты халявщик какой то, который хочет чтобы было как ему надо но ничего за платить не готов.

rsync делает своё дело и в 99% случаев у того кто его запускает есть полный доступ к обоим концам.
Ты бы ещё пожаловался что rm -rf не должен удалять нужные тебе файлы, а только ненужные.

Ответить | Правка | Наверх | Cообщить модератору

187. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от User (??), 16-Янв-25, 05:55 
> То есть со скиллами настолько всё плохо, что пусть лучше дырявые сервисы,
> лишь бы ничего не меняеть

У того пионэра, который grep удалил и симлинк на rg сделал? Да, ниочень. И у того, который "на rust'е переписывал" предполагаю, с пониманием юзкейса поделки тоже не всё хорошо.
И нет, _я_ вслед за нитакусиками переписывать дозвизды чужого, прежде всего, кода - желанием не горю. Был бы "майнтейнером на зарплате" - пришлось бы, наверное. А так - не-а ищите желающих на арчевики.

Ответить | Правка | К родителю #179 | Наверх | Cообщить модератору

56. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 03:15 
rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты.
Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

149. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (-), 15-Янв-25, 16:56 
> Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.

Но вы то можете всех обломать - и поюзать это. Правда, не забудьте проверить кто там в совете директоров Хруст Файндейшн

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

22. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от Аноним (-), 15-Янв-25, 00:11 
> Чего ты на раст то не переписал?

А раст тут причем?
Зачем вы его приплетаете в тему про Rsync, который на си написан?
И как наличие или отсутствие раста оправдывает такие глупые ошибки?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

24. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (4), 15-Янв-25, 00:17 
Зачем приплетать дыряшечность? Которой нет.
Ответить | Правка | Наверх | Cообщить модератору

26. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (-), 15-Янв-25, 00:21 
В смысле нет?
Уязвимости есть? Есть.
Исполнение кода злоумышленника есть? Есть!
"позволяет добиться выполнения своего кода на сервере"

Вот тебе и дырявость, как у шерета.

Ответить | Правка | Наверх | Cообщить модератору

27. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –3 +/
Сообщение от Аноним (4), 15-Янв-25, 00:24 
Никакой связи уязвимость есть уязвимость она может быть где угодно.
Ответить | Правка | Наверх | Cообщить модератору

31. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +3 +/
Сообщение от чатжпт (?), 15-Янв-25, 00:34 
"запись за пределы выделенного буфера" не может быть где угодно
Ответить | Правка | Наверх | Cообщить модератору

60. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от АнонимичныйАноним (?), 15-Янв-25, 06:49 
Если очень захотеть, то можно всё!

https://github.com/Speykious/cve-rs

;)

Обозначу сразу, что я не занимаю какую либо позицию в дискуссии, а просто прикалываюсь

Тем более, что в основном я пишу на (языкк (скобочек))

Ответить | Правка | Наверх | Cообщить модератору

83. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +5 +/
Сообщение от Аноним (-), 15-Янв-25, 12:11 
> Если очень захотеть

Да! На Расте для этого надо сделать много нетривиальных приседаний, на Си все сильно проще.
Наверно это имеют ввиду, когда пишут что Си - простой язык.

Ответить | Правка | Наверх | Cообщить модератору

146. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 16:36 
Просто есть любители свободы которые за то чтобы каждый ходил со стволом и мог его применять когда потребуется без последствий.
И есть любители рабства, которым надо чтобы их жизнью кто то управлял.
Ответить | Правка | Наверх | Cообщить модератору

147. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 15-Янв-25, 16:46 
Ответить | Правка | Наверх | Cообщить модератору

157. Скрыто модератором  –1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 19:01 
Ответить | Правка | Наверх | Cообщить модератору

150. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (-), 15-Янв-25, 17:02 
> Просто есть любители свободы которые за то чтобы каждый ходил со стволом
> и мог его применять когда потребуется без последствий.
> И есть любители рабства, которым надо чтобы их жизнью кто то управлял.

При том в данном случае управлять будет амазон, гугл и майкрософт, перехватившие управление хрусь фаундейшном. А заодно и репами с крейтами. И, кстати, кто гарантирует что вся эта шушера не отгрузит бэкдор?

Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

74. Скрыто модератором  +/
Сообщение от Анонимусс (-), 15-Янв-25, 10:33 
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

51. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 03:07 
Вы так старались, но у вас никогда нет ответа: сколько ущерба это принесло.

Мне это принесло скорее всего 0 ущерба, хоть у меня rsync и торчит наружу доступный для чтения уже лет 15.

Но я так и быть подумаю на досуге над тем чтобы возможно порезать возможности демона rsync по доступу к файлам, а пока просто потушил его пока обновления не прилетят.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

70. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (70), 15-Янв-25, 09:41 
— Билл?
— Да, Гарри?
— Что это было, Билл?
— Это был Неуловимый Джо, Гарри.
— А почему его зовут Неуловимым Джо, Билл?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билл?
— Потому что он нафиг никому не нужен, Гарри.
Ответить | Правка | Наверх | Cообщить модератору

75. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Анонимусс (-), 15-Янв-25, 10:40 
> но у вас никогда нет ответа: сколько ущерба это принесло.

Конечно, потому что этим нормальные люди не пользуются.
А ущерб васянам никто считать не будет.

Вот другие типикал дырени вполне себе посчитали.
Напр. для того же хадблида - 400к в месяц на перевыпуск сертов + реальные взломы гос структур и сервисов.
И ведь ты просто не знаешь, вдруг последние доки из Алмаз-Антея уперли из-за схожей проблемы))

> Мне это принесло скорее всего 0 ущерба

Прости, но на тебя как-то по...
Ты уже рассказывал в других тема, что у тебя на компе нет ничего ценного, нет никакой фин информации и так далее.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

117. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:21 
400к в месяц - это ниочём для планеты, намного больше легко прокекается на электричестве при обновлении любого популярного дистра.

Ответить | Правка | Наверх | Cообщить модератору

58. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 03:50 
А исправления вида поменять open() на openat() тебя радуют?
Или гниль с крестами сами такое делают, магически угадывая заранее?

https://github.com/RsyncProject/rsync/commit/b4a27ca25d0abb6...

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

94. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от пох. (?), 15-Янв-25, 13:42 
кто-нибудь может объяснить, зачем рсвинк вообще лезет раскрывать симлинки?

По-моему это поведение что для сервера, что для клиента, должно быть затребуемо двумя разными неудобонабираемыми ключами, отключено в configure и на всякий случай обнесено #if 0

Потому что нужно примерно никому и никогда. Если в рсинкаемом лежит симлинк - вероятнее всего его надо просто скопировать как - симлинк, и никогда не надо по нему ничего проверять,и уж тем более копировать ВМЕСТО.

Я конечно понимаю что это кенгуру хвостом писали, но все же?

Ответить | Правка | Наверх | Cообщить модератору

118. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:22 
Так оно и определяется ключами при вызове.
Ответить | Правка | Наверх | Cообщить модератору

151. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от нах. (?), 15-Янв-25, 17:10 
ну то есть чтоб получить увизгвимость - надо самому старательно ее попросить?
Тогда расходимся, не на что тут смотреть.

(а так, между нами - на рсвинке основан дебмиррор - т.е. все зеркала дебианов и убунт)

Ответить | Правка | Наверх | Cообщить модератору

153. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от PnD (??), 15-Янв-25, 17:37 
ЕМНИП, пейсатели имели непосредственное отношение к самбе. Что немного объясняет проф. деформацию.
Когда несколько лет назад заглядывал в код, там проверка КС (для пересылки только изменённых блоков, например) выполнялась через хэши MD4. И каша в ключах CLI — туда же.

С другой стороны, "better then nothing". Инструмент позволяет (после вдумчивого траха, но позволяет же!) делать довольно причудливые вещи. Про альтернативы я что-то пока не слышал. ("Поляна загажена." Можно хоть упереписываться, но попробуй убеди остальных что твоё — лучше.)

Чтобы не быть голословным. Вот полный клон ФС "куда-то ещё". На стороне "инициатора":
rsync -axHAXS --numeric-ids --delete --info=progress2 --bwlimit=131072 "${tmp}/" "rsync://${target}/${uuid}/"

А так примерно настраиваем "таргет" (чтобы rsync безопасТно не подропал всё вкусное):
[${uuid}]
use chroot = yes
munge symlinks = no
uid = root
gid = root
numeric ids = yes
path = /tmp/instances/${uuid}/./
list = yes
read only = no
max connections = 16
hosts allow = ${peer}
hosts deny = *

Понятно (надеюсь), что так делаем внутри доверенной сети.
* Можно померяться олдскульностью и забацать примерный аналог на (tar + netcat + pv + …). Но зачем?

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

166. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 19:35 
В MD4 нет ничего плохого, они его не для крипты юзают.
Нынче лучше бы sha2-256 ибо есть оффлоад в виде SIMD но полагаю либо не хотят ломать совместимость либо просто пофиг - нет желающих запилить.

Каша в ключах - так там столько опций и столько лет развития.
Вообще сделать качественный GUI/TUI довольно не тривиальная задача.


У меня давно торчит наружу сервер (хотя я не уверен что там сервер а что клиент, полагаю внутри сервером считается источник откуда файлы люьтся, а на то кто к кому подключился и как просто пофиг) и это прекрасно работает для раздачи портов, исходников фри, моих конфигов и заливки бэкапов.
Судя по вашему конфигу мне пора добавить в свой новые ключики :)
Учитывая что у вас там chroot - то я бы не парился совсем по поводу доверенная или нет сетка.

Ответить | Правка | Наверх | Cообщить модератору

194. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от нах. (?), 16-Янв-25, 09:42 
> В MD4 нет ничего плохого, они его не для крипты юзают.

Имянно. В том же самом файле не может оказаться блока с таким же md4, потому что такой блок даже если чудесным образом зародится - ну совсем не похож на осмысленные данные. Т.е. если md4 не различается - это ТОЧНО не изменившийся.

> Нынче лучше бы sha2-256 ибо есть оффлоад в виде SIMD

и опять будет работать на полутора процессорах "intel v3" ? Вот поэтому и не хотят - это не linoops only поделка. К тому же вряд ли он окажется на самом деле быстрее - сложность вычисления гораздо выше. Скорее окажется не фатально медленнее.

Ответить | Правка | Наверх | Cообщить модератору

199. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 13:23 
Аппаратный SHA есть во всех AMD ryzen, и полагаю в интелах не старше пары лет.
Работает оно быстро, весьма. У rsync обсновной упор был на диски, хотя конечно с nvme и хэш может стать узким местом.
Ответить | Правка | Наверх | Cообщить модератору

66. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (66), 15-Янв-25, 08:49 
> "Запись за пределы выделенного буфера"
> "Утечка содержимого неинициализированных данных из стека"

Hardened систему надо использовать, она отлавливает переполнения и утечки вовремя исполнения.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +3 +/
Сообщение от Фнон (-), 15-Янв-25, 00:19 
И почему люди настолько упрямые, ака ослики, что не хотят просто использовать нормальные языки программирования.
Например С++.
Там есть и RAII, и умные указатели, и range-based for (в последних редакциях).

Но нет "будем использовать кривую эскопету и продолжать овнокодить" ((

Ответить | Правка | Наверх | Cообщить модератору

28. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (4), 15-Янв-25, 00:25 
В любой язык вставят точно такую же уязвимость причем тут язык?
Ответить | Правка | Наверх | Cообщить модератору

33. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Фнон (-), 15-Янв-25, 00:38 
> В любой язык вставят точно такую же уязвимость причем тут язык?

А ты уверен
1. что эту уязвимость встроили
2. что в любом другом языке она была такой же незаметной
?

Мне оно больше кажется банальной ошибкой.
И если использовать нормальные инструменты: ЯП, стат.анализаторы, санитайзеры и тд, то их появление можно значительно уменьшить.

Ответить | Правка | Наверх | Cообщить модератору

115. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (4), 15-Янв-25, 14:56 
Это кто тебе такую глупость вообще сказал? Что за нормальные инструменты?
Ответить | Правка | Наверх | Cообщить модератору

35. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от 12yoexpert (ok), 15-Янв-25, 00:53 
хз. сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами заканчиваются
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

48. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от _ (??), 15-Янв-25, 02:17 
Тьфуй! Если тебе нужен ЯП высокого уровня (а не Си), ну там - прилады какие насрябать ... то и бери высокоуровневый, а не смесь бульдога с удавам! :)
Ответить | Правка | Наверх | Cообщить модератору

57. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 03:18 
Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно быстро.
По крайней мере этого умения будет хватать чтобы прочитать и понять код, а так же внести простые правки в него.
В крестовом месиве такое и близко не прокатывает.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

61. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от An (??), 15-Янв-25, 07:02 
+
А если включать голову и проверять код всякими там анализаторами то и уязвимостей таких не будет.
Ответить | Правка | Наверх | Cообщить модератору

65. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 08:08 
Не надо анализаторов и ничего включать, достаточно следовать простому правилу: везде где имя файла/папки принимается по сети или от потенциально враждебного источника нужно использовать openat() вместо open() и прочие ***at() функции для работы с файлами и папками.
Этому правилу уже лет 15 как минимум, все вебсервера прошлись по этому, как и сервера некоторых других протоколов.
Ответить | Правка | Наверх | Cообщить модератору

76. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +4 +/
Сообщение от Анонимусс (-), 15-Янв-25, 10:42 
> достаточно следовать простому правилу

А можете еще "озвучить простое правило" как перестать выходить за пределы буфера?
И заодно, как не переполнять инты и не делать даблфри?

Потому что проблемы с open() встречаются чуток реже чем предыдущие)))

Ответить | Правка | Наверх | Cообщить модератору

95. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –2 +/
Сообщение от Соль земли (?), 15-Янв-25, 13:44 
> А можете еще "озвучить простое правило" как перестать выходить за пределы буфера?

Использовать функции, в которых явно задаёшь максимальный объём обрабатываемых данных. Обрабатываешь данные в фубере циклом этой функцией и каждый раз вычитаешь объём обработанных данных.

> И заодно, как не переполнять инты и не делать даблфри?

Перед free() проверять, что указатель не NULL.

Ответить | Правка | Наверх | Cообщить модератору

100. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (100), 15-Янв-25, 13:53 
>> И заодно, как не переполнять инты и не делать даблфри?
> Перед free() проверять, что указатель не NULL.

Перед free() вообще не нужно проверять, что указатель не NULL.

Господи, ты хоть разберись с С и сутью double free, прежде чем советы тут давать.

Ответить | Правка | Наверх | Cообщить модератору

109. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Соль земли (?), 15-Янв-25, 14:14 
Проверяешь, что указатель не NULL, делаешь free() и делаешь указатель NULL. Помоему рабочая схема.
Ответить | Правка | Наверх | Cообщить модератору

112. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (100), 15-Янв-25, 14:32 
Рабочая только если у тебя лишь одна копия конкретного указателя на всю программу, чего в софте больше "Hello, world" не бывает.
Ответить | Правка | Наверх | Cообщить модератору

129. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Соль земли (?), 15-Янв-25, 15:43 
Ну тогда передавай указатель на указатель, чтобы не делать копии.
Ответить | Правка | Наверх | Cообщить модератору

158. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (158), 15-Янв-25, 19:02 
Да, то самое "простое правило" против double free - передавать указатель на указатель 🤦

Сишочники с одним не могут справиться, лол, давай им еще двойные подсовывать на каждый чих.

Ответить | Правка | Наверх | Cообщить модератору

113. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от Аноним (-), 15-Янв-25, 14:34 
> Проверяешь, что указатель не NULL, делаешь free() и делаешь указатель NULL. Помоему рабочая схема.

Боже! *facepalm*
У тебя есть два разных указателя, которые указывают на один объект.
Ты делаешь free одному, после этого делаешь указатель NULL.

А потом весело и задорно делаешь free() другому! Который ВНЕЗАПНО не NULL))

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

132. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Соль земли (?), 15-Янв-25, 15:46 
Зачем тебе 100500 копий одного и того же указателя, который ты даже менять не собираешься? Указатели и нужны, чтобы ссылаться на те же самые данные, а не просто одинаковые значения.
Ответить | Правка | Наверх | Cообщить модератору

159. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (158), 15-Янв-25, 19:04 
> Зачем тебе 100500 копий одного и того же указателя, который ты даже менять не собираешься?

А передавать ты его никуда не собираешься, или что?

> Указатели и нужны, чтобы ссылаться на те же самые данные

Он ровно об этом и написал, если ты не понял.

Ответить | Правка | Наверх | Cообщить модератору

207. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (207), 16-Янв-25, 23:54 
Ой, а кто же это наделал? В смысле, такую систему управления памятью, что двойной free() что то портит? Наверное, авторы системных библиотек, да? Тогда, причём тут язык?
Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

102. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Котофалк (?), 15-Янв-25, 13:57 
Да, да. Как раз сейчас смотрю на функцию копирования строк побайтно через буфер фиксированного размера. Всё же прекрасно в этой идее, что могло пойти не так? Вычитали кусочек, преобразовали, вычитали второй, преобразовали. Кто сказал "многобайтные символы"?
Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

106. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Соль земли (?), 15-Янв-25, 14:11 
Это уже другая проблема.
Ответить | Правка | Наверх | Cообщить модератору

108. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (-), 15-Янв-25, 14:13 
> Это уже другая проблема.

Вы не понимаете! это другое!

Ты сказал как "решить" проблему с буфером.
Тебе привели контр пример.
Ты сливаешься.

Что-то я нифига не удивлен (с)

Ответить | Правка | Наверх | Cообщить модератору

110. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Соль земли (?), 15-Янв-25, 14:15 
Ну проблема с выходом за пределы буфера решена. А ты привёл уже другую проблему, которая проявится только, если попытаться прочитать данные двухбайтной кодировкой.
Ответить | Правка | Наверх | Cообщить модератору

120. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:27 
free() сам проверяет на NULL, поэтому такие проверки я из своего кода давно вычистил.
А вот занулить указатель после free() - да, часто бывает полезно не забывать.
Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

119. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:25 
Так достаточно вместе с указателем на буфер хранить размер буфера и размер данных в нём.
Дабл фри не будет если чётко отслеживать жизненный цикл выделенной памяти на уровне архитектуры приложения.
Переполнение интов - местами нужно, я лично не помню чтобы встречался в своей практике с переполнением на уровне арифремити.
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

160. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (158), 15-Янв-25, 19:07 
> Дабл фри не будет если чётко отслеживать жизненный цикл выделенной памяти на уровне архитектуры приложения.

Действительно: не хотите дабл фри - не делайте дабл фри! Просто и чётко!

Да ты просто кладезь перлов! Жги еще!

Ответить | Правка | Наверх | Cообщить модератору

164. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 19:27 
В архитектуре где память не выделяется на каждый чих и где есть чёткое помание где она должна быть освобождена никаких даблфри не случается и случится не может.

Но вам надо чтобы компелятор пол дня грел воздух и потом обматерил вас что вы написали какую то хрень и вы потом её непонятно как переписали чтобы он не ругался.
В моей личной практике даблфри и юзафтерфри случался редко.

Ответить | Правка | Наверх | Cообщить модератору

89. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (-), 15-Янв-25, 13:11 
> Сишка простая и не перегруженная сахаром
> Сишка простая
> простая

double (*(*(*test(float(*a)(void)))(char))(long))(int)
{
    printf("кровь из глаз\n");
}

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

52. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 03:08 
Потому что кресты не нормальный язык, а очень перегруженный.
По сути вы предлагаете заменить английский на китайский.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

67. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (100), 15-Янв-25, 09:26 
> Потому что кресты не нормальный язык, а очень перегруженный.

Да у тебя любой язык, кроме С, перегружен, потому что кроме С и Lua ты ничего не осилил 😂

Ответить | Правка | Наверх | Cообщить модератору

71. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (-), 15-Янв-25, 10:18 
Конечно!
Любой язык, где больше чем около 30 ключевых слов, как в сишечке, - просто невероятно сложный и перегруженный. Это же придется учиться, доку читать! А она большая, скучная и без картинок!

А на сишечке любая обезьяна кодить может научиться. Некоторые даже самостоятельно.
Результаты чего мы сейчас собственно и наблюдаем.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

77. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от hrmhmmhtbdr (?), 15-Янв-25, 10:45 
В любом ЯП примерно одинаковое количество ключевых слов: условия, циклы, классы, функции, константы, переменные, указатели...
Ответить | Правка | Наверх | Cообщить модератору

79. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (-), 15-Янв-25, 10:58 
> В любом ЯП примерно одинаковое количество ключевых слов

Типичный кексперт в треде...
Ну и зачем ты так себя позоришь?

Открой хотя бы википедию en.wikipedia.org/wiki/Reserved_word
The number of reserved words varies widely from one language to another: C has about 30 while COBOL has about 400

А вот список слов по языкам
https://github.com/e3b0c442/keywords

ANSI C89 (32 keywords)
C17 (44 keywords)
C++20 (92 keywords)
Fortran 2008 (103 keywords)

Ответить | Правка | Наверх | Cообщить модератору

121. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:30 
Потому что практика показывает что сложные языки плохо распространяются, ведь цель не знать язык а использовать его для выражения своих мыслей и чтений мыслей других.

Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое я могу сделать на массе других более простых языков?

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

124. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 15:36 
> Потому что практика показывает что сложные языки плохо распространяются

С++, вытеснивыший сишку практически отовсюду с тобой не согласен.

> Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое
> я могу сделать на массе других более простых языков?

Чтобы писать надежные и быстрый софт, а не вот такое как новости.
Для тебя это конечно не причина, но для других людей - еще как.

Ответить | Правка | Наверх | Cообщить модератору

134. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:50 
Не вытеснивший, даже дескптопные окружения далеко не все на крестах.
gnome, xfce по прежнему на С.

У меня rsync без проблем отработал лет 15, считаю его вполне надёжным, к скорости тоже претензий не было ибо он по сути упирается в сисколы которые упираются или в диски или в сеть.

Ответить | Правка | Наверх | Cообщить модератору

141. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 16:13 
> Не вытеснивший

Неа

> gnome, xfce по прежнему на С.

Пффф... мы про норманый софт говорим, а не про эти васяноподелия от четырехпроцентников.
Хотя даже тут не все однозначно: единственное нормальное DE - KDE - написано на плюсах.

Браузеры (хром, лиса) на каком языке написаны? На плюсах.
Офисные пакеты (ms, libre) на каком языке написаны? На плюсах.
Графические редакторы (фотошоп, крита) на каком языке написаны? На плюсах (а вот такая ошибка природы как гимп - на сишке, да)))
Кады (AutoCAD, CATIA, даже freecad) на каком языке написаны? На плюсах.
Игровые движки на каком языке написаны? На плюсах.
Компиляторы на каком языке написаны? Тоже плюсах!

Мне продолжать или ты уловил суть?
Меня последний пункт больше всего радует - что компилятор си gcc пишут на плюсах)))
Хотя не помню до какой версии он был чисто на си.

Сишка сейчас осталась
или в очень больших проектах, которые исправлять экономически нецелесообразно,
или в дремучем легаси, которое исправит могила,
или где аймфинниш уперся рогом и не хочет признавать свои ошибки молодости
(хотя частично таки признал то что си убог и добавил раст).

Ответить | Правка | Наверх | Cообщить модератору

143. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 16:17 
> Компиляторы на каком языке написаны? Тоже плюсах!

Далеко не все.

В остальном - да, не мало юзерского софта на крестах, но и С софта не меньше, просто он обычно в виде консольных утилит и демонов, коих по количеству сильно больше.

Ответить | Правка | Наверх | Cообщить модератору

162. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (158), 15-Янв-25, 19:17 
Так пафосно начал с "практика показывает, плохо распространяется", и так жидко закончил "консольными утилитками".

Вань, поменяй репертуар уже - надоело уже смотреть на твои унылые срывы покровов с языка с 40й историей.

Ответить | Правка | Наверх | Cообщить модератору

181. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 00:34 
А мне то какая разница где сколько лет?
Я высказал своё мнение и его обоснование.

Моё мнение появилось тоже не на пустом месте, я лично проходил через разные этапы пограмизма, в том числе и полный велосипедизм когда у меня даже strlen(), memcpy() и тп были свои.
В какой то момент программы на С превратились в программы на каком то своём языке с синтаксисом С.
Я проходил через С с классами - вот эти кресты с кучей геттеров-сеттеров (на самом деле эта фигня даже в С трудно искоренима :) ).
Попутно я успел посмотреть и на GObject и всё вот это сектанство в glib на чистом С.
Потом я увидел софт на чистом С, который поразил меня тем как чётко, компактно выразительно там реализованы изначальные идеи автора.

Пусть я лично никто и достижений у меня на публику никаких нет, но моё мнение что кресты, раст - это путь не туда, Страуструп и мозиловцы не правы. И вероятно кто то ещё кто создавал ЯП с кучей сахара.

Язык должен оставатся простым и минималистичным, в противном случае его забросят, а то что на нём написано не будут развивать, просто потому что человеку со стороны не хватит мотивации (и способностей) строить в голове огромный контекст ради понимания все той пурги что накодили.

Ответить | Правка | Наверх | Cообщить модератору

154. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (100), 15-Янв-25, 17:58 
> Потому что практика показывает что сложные языки плохо распространяются

Чья практика, лол. Тебя - человека, который осилил лишь сишку для своих личных хэлоуворлдов, и теперь искренне недоумевает, отчего же с плюсах и других языках появились разные фичи?

> не знать язык а использовать его для выражения своих мыслей и чтений мыслей других.

Да, чуть выше в обсуждении там как раз сишочные мысли с обнулением указателей на уаказатели. Осталось еще тему goto поднять - и вообще лчпота будет.

> Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое я могу сделать на массе других более простых языков?

Ты свои личные хэлоуворлды можешь хоть на Brainfuck писать, серьезно.

Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

155. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 18:55 
Мировая практика.
Посмотри на английский где и буков мало и слова коротки и какойнибудь китайский где на каждый чих свой иероглиф.
У меня нет потребности изучать ЯП, мне нужно доносить мои мысли до компа, для этого подходит любой ЯП.

goto - вполне годный инструмент в умелых руках, я им пользуюсь.

Ответить | Правка | Наверх | Cообщить модератору

161. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (158), 15-Янв-25, 19:11 
> goto - вполне годный инструмент в умелых руках, я им пользуюсь.

Ахаха, да я и не сомневался! 😂 Мои "умелые руки" vs их "кривые грабли".

Ответить | Правка | Наверх | Cообщить модератору

182. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 00:38 
И?
Изначальные претензии к goto были из за его чрезмерного употребления и снижения читабельности кода.
Я ровно тоже самое могу сказать и про все эти классы и правило делать функции на 3 строчки, где вместо явного goto приходится прыгать по куче функций чтобы понять что там реально происходит.

goto отлично подходит для того чтобы вываливатся в кусок функции где освобождаются все выделенные ресурсы в случае ошибки. Иногда без него не обойтись чтобы попасть на нужный кусок кода внутри функции. И я не вижу смысла извращатся над переписыванием логики или разбивания единой логичной функции только для того чтобы там не было goto.

Раньше я тоже думал что goto плохо, просто принимал это как догму, пока не увидел код фряхи.

Ответить | Правка | Наверх | Cообщить модератору

193. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (193), 16-Янв-25, 09:36 
> Иногда без него не обойтись чтобы попасть на нужный кусок кода внутри функции

Ну естественно, дружок. Это только сишочные программисты могут, взяв недоязык из 70х, буквально 10-15 сторк кода превратить в адскую мешанину, навалив в одну кучу основную логику, у правление ресурсами и обработку ошибок, а потом у нас goto - "вполне годный инструмент". Да и как иначе-то из получившейся лапши вылезти? 😂

И он еще будет рассказывать о простоте, читаемости и, прости господи, архитектуре. 🤦 Ваня, ну серьезно, тебе пора уже поменять реаертуар - вообще не вспечатляет.

Ответить | Правка | Наверх | Cообщить модератору

200. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 13:25 
Читаемость как раз и будет страдать если всё что вы перечислили растащить по функциям.
Читаемость это когда понятно что и как делается, а не когда по выдуманному феншую сделано.
Ответить | Правка | Наверх | Cообщить модератору

29. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (-), 15-Янв-25, 00:25 
"Я уже говорил тебе, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение."

Раз за разом повторяя одни и те же ошибки в мириадах вариаций, они продолжат писать также уже больше 30 лет. Почему?

"Вот я точно такую не допущу"?
"Это в не настоящие программисты, а вот я"?
Или может есть какие-то другие оправдания?

Почему они не хотят изменить свой же инструмент, чтобы перестать делать ошибки раз за разом? Почему они при этом так сильно противятся появлению других инструментов?

Ответить | Правка | Наверх | Cообщить модератору

32. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –3 +/
Сообщение от чатжпт (?), 15-Янв-25, 00:37 
пхпшники и сишники - одного поля ягоды, только могила исправит
Ответить | Правка | Наверх | Cообщить модератору

40. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от OpenEcho (?), 15-Янв-25, 01:23 
> Почему они не хотят изменить свой же инструмент

Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?

Не балоболы написали с нуля rclone, а другие только указывают на каком "правильном" языке надо переписать, но сами при этом - потребители...

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

42. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 01:29 
> Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?

Вот только "воткнуть" не смог ты(((
Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Они не в состоянии улучшать язык без слома обратной совместимости?

> а другие только указывают

А другие уже написали аналог на нужном языке. И не на одном.

> но сами при этом - потребители...

Но-но, ЭТИМ я не пользуюсь!

Ответить | Правка | Наверх | Cообщить модератору

46. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Noname (??), 15-Янв-25, 02:03 
> Они не в состоянии улучшать язык без слома обратной совместимости

Да, сделать его полностью безопасным, значит сломать совместимость. А так его улучшают, как могут.

Ответить | Правка | Наверх | Cообщить модератору

49. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 15-Янв-25, 02:27 
> Какое отношение имеет имеющаяся кодовая база к языку как инструменту?

Ты сам то понял, что сейчас сказал? :)))

Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?


> Они не в состоянии улучшать язык без слома обратной совместимости?

А ты поробуй, - улучши то, что являестя дефакто стандартом почти пол столетия низкоуровнего ЯП. Его не надо улучшать. С должен именно оставаться таким, как он есть, - скальпелем, микроскопом,  чтобы можно было выкручивать на нем все, что только может ЛЮБАЯ хардварь и любая ОСЬ (а то и вообще без ОСи), без ограничений со стороны языка, типа мы лучше знаем что вам надо и сделаем за вас.

Если ты не заметил, то С уже улушили, С++ называется, в котором достаточно таких же плюшек как и в новомодном расте, а также улучшатели подняли планку чтоб воткнуть в язык и знать наизусть 1000+ страниц спецификации языка, чтоб его изпользовать на всю задуманную мощь.

Странно, что столько народу здесь не могут воткнуть в простую вещь - что во время написания rsync, тогда не было таких заморочек с секьюрностью, достаточно было дописать в конец .ехе или .сом файла пэйлоад, запатчить старт и вперед вирусня. И "С" был единоличным королем среди языков на то время и для той задачи что он выполняет - это был самый правильный выбор, т.к. С++ только стандартизировался. "С" и сейчас остается одним самых эффективных и сливает разве что только ассемблеру и в лоб опкодам. Да, требует однозначно большого внимания и наказывает сильно за ошибки, но микроскопом и не надо гвозди забывать... сейчас, а не 30 лет назад.

Сейчас есть новые инструменты, которые можно и нужно изпользовать, если не надо докапываться слишком далеко до сердца (привет ракетостроителям и всем кто в ring0).

Но тогда, когда появился rsync,  - этого  не было, поэтому не надо гнать на "С" дедушку, - он дал жизнь молодежи и это будет хамством гнать на родителей сейчас ...

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

72. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 10:29 
> Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?

Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером, чтобы просто не писать мимо, как 30 лет назад? И в новом коде rsync использовать ее?

> Его не надо улучшать.

Угу, на нем лучше вообще не писать. А еще лучше - запретить законодательно)))
Как вредную, небезопасную вещь. Как в свое время запретили бенз со свинцом, асбест и фенольную изоляцию. Ну а про старый код говорить - не пользуйтесь им, а дидов сильно не ругайте))

> что во время написания rsync, тогда не было таких заморочек с секьюрностью

Еще как заметили. Но как писал какой-то анон - сейчас уже не 70е.

> он дал жизнь молодежи и это будет хамством гнать на родителей сейчас

Браво! Какая речь, какая речь!
Аж прослезился)))

А теперь спустить на землю и посмотри даты добавления омнокода из перечисленных уязвимостей.


Ответить | Правка | Наверх | Cообщить модератору

92. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 15-Янв-25, 13:17 
> Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером

А что если технически **надо** писать за пределы буфера?

Так сильно в бараний загон хочется спрятатся от волков?

>Угу, на нем лучше вообще не писать.

Так и не пиши, кесарю кесарево...

> А теперь спустить на землю и посмотри даты добавления омнокода из перечисленных уязвимостей.

И? Ты такой крутой что ошибок не делаешь, - никогда?
Выстави фотку, я ее на работе повешу, всем в пример

Ответить | Правка | Наверх | Cообщить модератору

96. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 13:45 
>> Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером
> А что если технически **надо** писать за пределы буфера?

Значит бери старый механизм и пиши.
Ты где прочитал "и запретим старый вариант"?

> Так сильно в бараний загон хочется спрятатся от волков?

Надеюсь ты не соблюдаешь глупые ПДД, бегаешь через дорогу на красный свет и если пахнет газом просто зажигаешь спичку подсветить)

>>Угу, на нем лучше вообще не писать.
> Так и не пиши, кесарю кесарево...

А овнокодеру овнокодерово.

Ответить | Правка | Наверх | Cообщить модератору

99. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 13:49 
> А что если технически **надо** писать за пределы буфера?

То ты глушишь ворнинг и используешь старый механизм.
И возможно пишешь большой развернутый комментарий с ччего это вдруг так было **надо**.

> Так сильно в бараний загон хочется спрятатся от волков?

Нет, хочу просто очистные сооружения вынести за пределы города.
А рядом бигборд "осторожно, тут нечистоты".

> Так и не пиши, кесарю кесарево...

Так и не пишу много лет. И только рад что свалил на нормальные языки.
Но каждый раз противно в нем ковыряться, когда приходится.

> И? Ты такой крутой что ошибок не делаешь, - никогда?

Ну раз ты перешел на личности - то обсуждение можно сворачивать.
Хотя даже немного удивлен, что это произошло настолько быстро))

А ведь это просто показательно, что "во время написания rsync" это совсем не 30 лет назад. И что они одинаково фигово пишут код что давно, что сейчас.

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

175. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 15-Янв-25, 20:19 
> Ну раз ты перешел на личности - то обсуждение можно сворачивать.

Где это я на личности переходил???

Просто спросил, что правда, никогда не делаешь ошибок? Не, ну правда? Просто пересел на "правильный" ЯП и все, сразу все работает с первого разу? Предвижу ответ - "нет, но зато по крайней мере не надо парится думать про какие то там выхода за буфер".

Но разговор не об этом !

Разговор о том, что тогда такого тулза не было.

И разговор о том, что есть отвертка и только ей можно подлезть, какая бы разчудесная дрель не была бы в наличии.

Разные инструменты, и каждый по своему хорош. Я тоже не буду приложуху писать сейчас на Ц, а скорее на расте или чтоб побыстрей на Го, но есть области где на С будет ковырятся значительно интересней, чем бороться с накрученными абстракциями

> что "во время написания rsync" это совсем не 30 лет назад

рсинк был впервые выпущен оффициально в 1996, так что как раз получается 30 лет (мы ж не будем бюракратить в один-два года?)

Ответить | Правка | Наверх | Cообщить модератору

197. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 16-Янв-25, 12:40 
> Где это я на личности переходил???

Ну, я как-то в диалоге твои достижения не обсуждал, фотку не просил.
Если ты считаешь, что это все еще не переход на личности... ну ок, учту.

> "нет, но зато по крайней мере не надо парится думать про какие то там выхода за буфер".

Не, чувак. Посли сишки на расте вообще вначале писать сложно. Потому что тот омнокод, который сишный компилятор спокойно хавал (а потом где-то оно падало с бедаксесом), тут просто не компиляется. И за недельку две ты просто отлично сам на автомате следишь за всеми лайфтаймами и размерами буфера, просто зная что компилятор меня подстарахует, если я буду где-то невнимательным. А это когда-либо таки случается.

> Разговор о том, что тогда такого тулза не было.

ИМЕННО! Я все время про это и говорю! Тогда не было, а сейчас есть!
Вот как раз в этом и проблема!!!

Что продолжают используют старый хреновый инструмент. Хотя уже появилось куча других, намного лучших. Ну хотя бы на с++ перешли бы, там не так много отличий от сишки. И новый код писали бы на плюсах.

> И разговор о том, что есть отвертка и только ей можно подлезть

Нет, нет и еще раз нет. С чего вдруг в рсинк можно подлезть исключительно ответкой?

> рсинк был впервые выпущен оффициально в 1996, так что как
> раз получается 30 лет (мы ж не будем бюракратить в один-два года?)

Так вопрос был не когда рсинк был начат. А когда были добавлены строчки этих CVE.
И это было не 30 лет назад. И даже не 20.

Назови хоть одна причину, почему его нельзя перенести на современные плюсы, хотя бы C++11 (на раст даже не предлагаю, просто не верю что они осилят).
На плюсы переводили намного большие и сложные проекты, GCC отличный пример.

Единственную причину которую я могу придумать - разрабам просто поx, и они просто хотят продолжать бракоделить как и 30 лет назад.

Ответить | Правка | Наверх | Cообщить модератору

208. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 17-Янв-25, 01:08 
> Ну, я как-то в диалоге твои достижения не обсуждал, фотку не просил.
> Если ты считаешь, что это все еще не переход на личности... ну ок, учту.

Если обидел, искрине - сорри, согласен, сарказм в тех.обсуждениях штука может и полезная и опасная,  но подрузумевался просто риторический вопрос, что нет пока что людей, не делaющих ошибок... даже на супер новых инструментах.

И да, атмосфера на опеннете портит, не эксьюз конечно, но...

> ИМЕННО! Я все время про это и говорю! Тогда не было, а сейчас есть!
> Вот как раз в этом и проблема!!!

Есть такая хорошая пословица - "даренному коню в зубы - не смотрят". Ты правда предлагаешь Андрюхе взять, бросить работу и заняться переписыванием на новый язык? Если тебя так раздражет, и ты считаешь что это так просто, - попробуй, перепиши. Не устраивает - напиши свое, в свободное время, а потом отдай пользоваться и будь готов к куче предьяв и новых хотелок от халявщиков.

> Ну хотя бы на с++ перешли бы, там не так много отличий от сишки. И новый код писали бы на плюсах.

А ты - попробуй, попробуй и возвращайся с результатами. Советовать - все мастера, а как до дела доходит, так никого нет.


> С чего вдруг в рсинк можно подлезть исключительно ответкой?

Еще раз, он был написан изначально - на С, и менять коней на переправе, учитывая популярность рсинка - это найти себе ОЧЕНЬ большую головную боль... безплатно причем.
Неужели это правда так тяжело догнать?

> Назови хоть одна причину, почему его нельзя перенести на современные плюсы, хотя бы C++11(на раст даже не предлагаю, просто не верю что они осилят).
> На плюсы переводили намного большие и сложные проекты, GCC отличный пример.

Да причина всего одна, - кто будет за это платить??? Это куча времени, а время = жизнь !
Почему ты требуешь от других тратить на твои хотелки свою жизнь???
И да, посмотри кто переводил ГСС... грасноглазики готовые работать за корочку хлеба?

Все эти разговоры от того, что не ты, не другие здешние специалисты никогда не имели своих, больших и популярных опенсоурсных проектов. Ты попробуй сперва, а потом суди, когда нагрянет куча советчиков, и безмозглых "а как енто сделать?", где куча народа с какого-то испуга решили что им кто-то что должен БЕЗПЛАТНО.

Тебя не устраивает на чем написан рсинк, ну так проспонсируй или перепиши с нуля, покажи пример. Как ответишь не словами а делом, - возвращайся, поговорим. Если получится, я первый задоначу (хотя меня вполне rclone устраивает как замена).

Блин, какие-то в натуре - детские разговоры...

Ответить | Правка | Наверх | Cообщить модератору

184. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 00:52 
> Что мешало за N лет в С добавить какую-то абстракцию над буфером, чтобы просто не писать мимо, как 30 лет назад?

Ваше невежество.
Языку это не нужно.
Для желающих таких абстракций скорее всего сотни, её пишет каждый велосипедист для себя по несколько раз за жизнь.
Есть готовые в разных либах.


> Угу, на нем лучше вообще не писать. А еще лучше - запретить законодательно)))

Сразу видно деформированную психику.
Нормальные люди в жизнь других не лезут, чтобы по мордам не получить.


> Но как писал какой-то анон - сейчас уже не 70е.

И что?
rsync прекрасно работает. Лично для меня уже лет 15.


> посмотри даты добавления омнокода из перечисленных уязвимостей.

Как то так вышло что за все годы этот несовершенный код проявился только где то в лабе и причинил моральные страдания полутора анонимам.
Да и фиг с ними.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

53. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 03:10 
Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, всё остальное интересно мало.
Только фрикам интересен не функционал программы а язык на котором оно написано и чтобы обновление было сегодняшнее, потому что недельной давно уже жуткое легаси и там страшные уязвимости сами по себе завелись.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

78. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Анонимусс (-), 15-Янв-25, 10:52 
> Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали

Это "привет из 80х" просто)))
Чувак, людям надо чтобы оно не просто выполнило нужные действия, но чтобы еще их не взломали при этом. Я понимаю, что тебе не понять такую простую вещь, но просто прими как есть - у людей бывает на компе важная и ценная информация. И если таких людей стало достаточно много, то появляется запрос от общества.

> Только фрикам интересен не функционал программы а язык на котором оно написано

К сожалению, некоторые языки и погромисты, на них пишушие, крайне склонны к тем или иным ошибкам. Просто статистически.

Пишут же на упаковке с продуктами состав, чтобы каждый потребитель мог увидеть что там пальмовое масло вместо нормального животного жира, шкуры и жир вместо мяса, сахорозаменители, ммо и так далее.
Как раз чтобы у потребителя бы выбор - есть это или не есть.

Поэтому я за ввод маркировки для софта!
"Осторожно! в̶н̶у̶т̶р̶и̶ ̶г̶о̶в̶н̶о̶  внутри код написанный на макроасме из 70х"

Ответить | Правка | Наверх | Cообщить модератору

97. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от Аноним (-), 15-Янв-25, 13:46 
> К сожалению, некоторые языки и погромисты, на них пишушие, крайне
> склонны к тем или иным ошибкам. Просто статистически.

Объяви им бойкот, перейди на редокс, и не пользуйся неправильным софтом.

Ответить | Правка | Наверх | Cообщить модератору

105. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 14:08 
>> К сожалению, некоторые языки и погромисты, на них пишушие, крайне склонны к тем или иным ошибкам. Просто статистически.
> Объяви им бойкот, перейди на редокс, и не пользуйся неправильным софтом.

Это страусиная позиция - делать вид что проблемы нету.

Мое решение:
- рассказывать всем, что такие языки опасны для использования, как пистолет без предохранителя, машина без тормозов или торстер в ванной
- рассказывать что есть такие замечательные вещи, как стат.анализаторы, санитайзеры и тд. И если вы видите проект без них - значит автору на пользователей просто плевать
- голосовать за депутатов и партии, которые продвигают административное наказание бракоделов - например Cyber Resilience Act
- добиться законодательного запрета использования дырявых языков в софте который пишется за налоги и/или государственных учреждениях
- сильнее наказывать корпов за утечки данных - пусть пользуются нормальными инструментами

Сейчас же никого не удивляет новости "наказали фабрику сыр, за то что сотрудники купались в сырье", "посадили в тюрьму производителя паленного сидра".
Надеюсь я доживу до новостей "аффтор кривой библиотеки получил штраф в Nк денег и год запрета писать код".


Ответить | Правка | Наверх | Cообщить модератору

123. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:35 
Только первая же подобая новость убьёт опенсорц.

И да, она применима только к коду без лицензии, потому что в популярных лицензиях есть пункт что автор отвественности не несёт.

Ответить | Правка | Наверх | Cообщить модератору

126. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 15:40 
>  Только первая же подобая новость убьёт опенсорц.

Ну, бывает. Что дальше? Будешь кодить для себя любимого.

> И да, она применима только к коду без лицензии, потому что
> в популярных лицензиях есть пункт что автор отвественности не несёт.

Это пока не применима. Но уверен, что ты знаешь, что любой договор - а лицензия это договор - не может быть выше законодательства страны.

Ответить | Правка | Наверх | Cообщить модератору

136. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:54 
А я и пишу для себя, просто одно время решил что стоит делится так тоже юзаю чужие плоды бесплатно.

Так закон обратной силы не имеет, поэтому всё что выпущено не подпадает под него.
И законы локальные, так что одна долбанутая страна просто полуит премию дарвина от опенсорца после его принятия, а остальные не станут в это лезть.
Да в общем страна принявшая такой закон и так видимо долбанутая, ибо слишком много лезет в жизнь граждан/резидентов.


PS: просто появится лицензия в которой будет написано что выложенный текст - это произведение исскуства которое автор выложил на обозрение общественности и не возаржает чтобы общественность это использовала как ей вздумается.
Поэтому можешь подтерется своим законом уже сейчас.

Ответить | Правка | Наверх | Cообщить модератору

144. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 16:27 
> Так закон обратной силы не имеет, поэтому всё что выпущено не подпадает под него.

А вот не знаю, не знаю. Если с точки зрения юристов, каждый раз как ты выкладываешь новую версию, будет считаться новым продуктом - то еще как подпадает.

> И законы локальные

До тех пор пока их не принимает ЕС и/или Штаты. Или даже вместе))
А за ними подтянется какая-то Автралия и прочие сателитты.

> Поэтому можешь подтерется своим законом уже сейчас.

На каждый хитрую гайку найдется свой болт.
Учти, что попытки нае... законодателей почему-то их очень злят.

Кроме того, ты сейчас говоришь про всяких частников вроде тебя.
Но есть же конторы, которые пишут опенсорс и получают за него деньги.
А некоторые еще и умудряются его государству продавать.
Достаточно будет вздрючить их... и этого уже будет достаточно, т.к. они гененрируют спрос на сотрудников. А всякие васяны роли не играют.

Ответить | Правка | Наверх | Cообщить модератору

145. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 16:33 
Говорю же - упоротых нет.
Даже вон санкции не сильно старались делать, а там то материальный товар который в два клика никуда не переместится и не исчезнет.

Новые версии и новый код - станут произведением исскуства, потому начинай подтиратся уже сейчас.
И попутно уедут во всякие нигерии где такой дичи в законах нет.

Потому начинай подтиратся, твоей фантазии ничего не светит.

Ответить | Правка | Наверх | Cообщить модератору

122. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:33 
Ну если каким то людям что то надо - то пусть сами и делают или заплатят за это.
А опенсорц пишется в основном для себя.

В остальном складывается ощущение что у вас в жизни других проблем нет.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

127. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 15:40 
> А опенсорц пишется в основном для себя.

Правильно.
Для себя можно что угодно делать.
А как только хотя бы копейку за код получил - уже должно быть хорошо.

> В остальном складывается ощущение что у вас в жизни других проблем нет.

У меня есть много пробелем. И я хочу чтобы их стало меньше.
Например чтобы я был уверен, что с моего телефона не сворую карточки из банковского приложения. Или из браузера.


Ответить | Правка | Наверх | Cообщить модератору

137. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 16:01 
Копейкой - подотритесь.
Даже у венды и прочих продающих софт за деньги корпораций написан отказ от отвественности.

И чтобы вы понимали тот софт который я выложил на гитхуб должен был бы стоить от 5к баксов за пользователя, ну чтобы мне как то на жизнь типа хлеба с водой хватало, ибо пользователей мало.
Но раз вы не обеспечиваете мою жизнь а пользуетесь бесплатно или за донаты в виде "на чашку кофе" то: "спасибо что пользуетесь, удачи вам и хорошего настроения!" и ничего более.

Ответить | Правка | Наверх | Cообщить модератору

131. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Анонимусс (-), 15-Янв-25, 15:45 
> А опенсорц пишется в основном для себя.

Ну да, ну да. Ядро линя сейчас пишется прям для себя, десятки проектов сидящих на донатах тоже для себя, но главое никто ни за что не отвечает.

> В остальном складывается ощущение что у вас в жизни других проблем нет.

Ну, есть такое.
Живу в спокойной стране с неплохой зп айтишника, сюда прихожу когда скучно))
Но это же не повод не пытаться сделать мир лучше!

Ответить | Правка | К родителю #122 | Наверх | Cообщить модератору

138. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 16:02 
Лучшесть мира не в отсутствии редких баго в коде.
Ответить | Правка | Наверх | Cообщить модератору

34. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +5 +/
Сообщение от Нуину (?), 15-Янв-25, 00:45 
На ржавом наверное уже переписали... Хотя подождите, нужно же сначала написать конкурентый прогрессбар и раскраску для консоли, а это подождет. Бонусом можно будет стебать си.
Ответить | Правка | Наверх | Cообщить модератору

36. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от 12yoexpert (ok), 15-Янв-25, 00:54 
а эмодзи для ридми кто будет выбирать?
Ответить | Правка | Наверх | Cообщить модератору

206. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (206), 16-Янв-25, 22:45 
На ржавом действительно уже написали, 5 лет назад. Дропбокс библу выложил для всех желающих. Но вот командлайн похоже никто не сделал. И я даже знаю почему: нах потому что рсинк никому не нужен, кроме редких случаев. А для редких и сишный есть. А если прям очень надо ржавый - то тоже есть, встраивай только сам.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

37. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от Аноним (37), 15-Янв-25, 01:05 
Напрягает, что автор этих ляпов rsync попутно является лидером Samba. А в том коде черт ногу сломит.
Ответить | Правка | Наверх | Cообщить модератору

38. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Аноним (-), 15-Янв-25, 01:22 
> Напрягает, что автор этих ляпов rsync попутно является лидером Samba.

Ваще ни разу не удивлен.

opennet.ru/opennews/art.shtml?num=56615
"Удалённая root-уязвимость в Samba"
CVE-2021-44142 позволяет удалённому атакующему выполнить произвольный код с правами root на системе с уязвимой версией Samba. Проблеме присвоен уровень опасности 9.9 из 10.

opennet.ru/opennews/art.shtml?num=57978
"Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога"
CVE-2022-3437 - переполнение буфера в функциях unwrap_des() и unwrap_des3()
CVE-2022-3592 - возможность выхода за границы экспортируемого каталога ... через манипуляции с символическими ссылками.

"Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера"
opennet.ru/opennews/art.shtml?num=58135

"Уязвимость в модуле ksmbd ядра Linux, позволяющая удалённо выполнить свой код"
https://www.opennet.ru/opennews/art.shtml?num=58377


Ответить | Правка | Наверх | Cообщить модератору

44. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –2 +/
Сообщение от Аноним (-), 15-Янв-25, 01:31 
А... т.е. типикал сишник-омнокодер решил одаривать людей своими выдающимися "талантами" не в одном проекте, а сразу в нескольких?

Похвально, похвально!
Наверное у АНБ расценки упали, ну или может все дело в инфляции и госдолге, раз ему приходится в поте лица трудиться на благо всего сообщества)))

Ответить | Правка | Наверх | Cообщить модератору

69. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (68), 15-Янв-25, 09:38 
это всё фичи были. кто ж знал что вы так внять будете и придёться их прикрыть
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

54. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 03:10 
Напрягает - не пользутесь.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

45. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +3 +/
Сообщение от Аноним (45), 15-Янв-25, 01:49 
Имеются сомнения в чистоте релиза.

Andrew Tridgell последние 20 лет не релизил rsync, а ключ, которым подписан релизный коммит нигде не опубликован.
Есть и другие нестыковки, которые напоминают ситуацию с xz.

https://bugs.gentoo.org/948106#c2

Ответить | Правка | Наверх | Cообщить модератору

50. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 15-Янв-25, 02:41 
> а ключ, которым подписан релизный коммит нигде не опубликован.

Это то, о чем я твержу второе деятилетие, что подписи GPG/PGP - это как страус прячется в песок.

Абсолютно любой, может пойти и выпустить свой ключ под чужим именем. Нет верификации - нет доверия, хоть чем подписывай. Даже очень крупные проекты не имееют кросс подписей на ключах, типа - "верьте нам все на слово, что это правда те за кого мы себя выдаем", мы ж там на сайтике ХЗ выложили подписи, вот и верьте. Веботраст как не работал так и не работает, для цивилизованных, а вот засранцы-вредители, очень даже верифицируют друга друга, при личной встречи и из рук в руки.

Ответить | Правка | Наверх | Cообщить модератору

55. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 03:12 
Так и что дальше?
Ходить в интернет по паспорту?
Ответить | Правка | Наверх | Cообщить модератору

64. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от User (??), 15-Янв-25, 07:47 
Заверять ЭЦП microsoft или apple жи! Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...
Ответить | Правка | Наверх | Cообщить модератору

87. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 13:06 
> Заверять ЭЦП microsoft или apple жи!
> Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...

- А чего вы звоните в службу газа?
- А куда еще, если тут столкнулись скорая, пожарные и полиция?!

В смысле, в соседней новости нагамнякал - сотрудник майкрософт.

Ответить | Правка | Наверх | Cообщить модератору

80. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 11:05 
> Так и что дальше?
> Ходить в интернет по паспорту?

Тебе в баре просто наливают или могут доки спросить? А на кассе Красное&Белое или любого аналога бухло-ленда?
В магазе я могу попросить посмотреть доки на мясо/молочку, да на все что захочу.
И мне обязаны их показать.

Даже если ты раздаешь что-то бесплатно, то оно тоже должно быть надлежащего качества.

Если тебя норм ситуации с ЖинТянʼами - то ок.
Но как только большинству такое станет не норм, то ты останешься в меньшинстве и общество тебя просто заставит.
Введут закон что программы с кол-во скачек больше 5000 обязаны подписываться госуслугами)


Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

91. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (91), 15-Янв-25, 13:16 
> Введут закон что программы с кол-во скачек больше 5000 обязаны подписываться госуслугами)

И работать это все будет примерно как все остальное, типа законов о блоггерах и чего там еще. Т.е. кто-то уйдет в подполье, кто-то переедет в менее геморную юрисдикцию, а суммарно - 90% софта продолжит делаться в америке и толку будет - буй. И, конечно, у себя они все это делать не будут. А вам то можно и пролоббировать. Попутно выписывая другой рукой H1B, конечно.

Ответить | Правка | Наверх | Cообщить модератору

101. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 13:53 
> а суммарно - 90% софта продолжит делаться в америке и толку будет - буй. И, конечно, у  себя они все это делать не будут.

Ты уверен?
Вон была новость "Предложение по перекладыванию ответственности за ошибки в открытом коде" от ВНЕЗАПНО чувака из ИБМ.
Кто бы мог подумать!

А вот бракоделы из Дебиана выступают против "Разработчики Debian опубликовали заявление, связанное с законопроектом Cyber Resilience Act" [2]

> А вам то можно и пролоббировать. Попутно выписывая другой рукой H1B, конечно.

хаха, вот нам уж точно никто лоббировать не будет.
Т.к их устраивает чтобы у нас был дырявый код с бекдорами

[1] opennet.ru/opennews/art.shtml?num=60273
[2] opennet.ru/opennews/art.shtml?num=60358

Ответить | Правка | Наверх | Cообщить модератору

125. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:38 
У меня доки давно не спрашивали.
А в локации где я щас вино считается пищевым продуктом и на него нет возрастных ограничений - те его и детям продавать обязаны.


> Даже если ты раздаешь что-то бесплатно, то оно тоже должно быть надлежащего качества.

Не должно.
Об этом прямо написано в любой популярной лицензии.
Не равится - не используйте.


PS: вы там у себя вводите что угодно, я сменил юрисдикцию и не собираюсь в этот унылый цирк возвращатся.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

128. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (-), 15-Янв-25, 15:41 
> PS: вы там у себя вводите что угодно, я сменил юрисдикцию и  не собираюсь в этот унылый цирк возвращатся.

Так речь про европу и штаты.
Куда поедешь дальше, в Сомали?


Ответить | Правка | Наверх | Cообщить модератору

133. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:47 
Во всякие южные америки как вариант.
Похоже есть ещё года 4 на сборы а может 8 :)
Ответить | Правка | Наверх | Cообщить модератору

85. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (37), 15-Янв-25, 12:52 
>Ходить в интернет по паспорту?

Паспорта не достаточно. Надо еще теоретический и практический экзамен сдать, как на права вождения автомобиля.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

86. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (37), 15-Янв-25, 12:55 
И обязательные справки из психо и нарко диспансеров!
Ответить | Правка | Наверх | Cообщить модератору

93. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 13:41 
> Паспорта не достаточно. Надо еще теоретический и практический экзамен
> сдать, как на права вождения автомобиля.

Что особенно угарно - все это предлагают, почему-то, анонимы. А как же паспорт?! Можете начать с себя, например.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

168. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (37), 15-Янв-25, 19:53 
>Что особенно угарно - все это предлагают, почему-то, анонимы

Забыл добавить. Помимо экзамена и справок из диспансеров обязательно сдавать тест на IQ. Если < 50 в интернет не пускать.

PS Пока еще пускают c IQ<50 поясню, анонимность (приватность, конфиденциальность) не имеет ни какого отношения к экзаменам на пригодность - угарай и дальше.

Ответить | Правка | Наверх | Cообщить модератору

176. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 20:25 
> Пока еще пускают c IQ<50

И все эти дауны дальше социалки и месенжера не выходят.
Раньше ТП малолетки сидели в мейл агенте но камвохровость не преодолима и они уползли вкунтакт и одноглазники, а потом и телегу с вайбером/вацапом.

Пользователи аськи на их фоне были просто гениями, ведь там для регистрации требовалось больше мозговых усилий чем вбить номер телефона.

Ответить | Правка | Наверх | Cообщить модератору

88. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 15-Янв-25, 13:07 
> Так и что дальше?
> Ходить в интернет по паспорту?

И причем здесь ходить по интернету и верификация индивидума который взял на себя ответственность за свое детище?

21 век, спаммеры и маркетологи и то лучше идентифицируют, чем  эта фикция.

Люди пишут серьезные логические инструменты, но в банальную логику, что король то голый - не втыкают.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

130. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 15:44 
Вы тоже не втыкаете: зачем это авторам?

Мне за последние 10 лет за мой опенсорц задонатили меньше 100 баксов, вы серьёзно думаете что при таком уровне оплаты я не пошлю куда подальше всех желающих мне навязать что то делать?

Основная причина по которой я не послал гитхуб с их мультифактором - возможность писать багрепорты. Не основная - там был TOTP который можно считать даже в скриптах прикрученных в гут пуш хукам.

Ответить | Правка | Наверх | Cообщить модератору

135. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (-), 15-Янв-25, 15:53 
> Мне за последние 10 лет за мой опенсорц задонатили меньше 100 баксов

Это как бы показатель нужности и важности сабжа.
Потому что за хороший продукт и донатят, и деньги за фичи платят, ну и корпы могут скидываться.

Ответить | Правка | Наверх | Cообщить модератору

139. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 16:03 
Нуда нуда, и сколько таких проектов от общего числа? 0,0001% - так же как знаменитых художников, артистов и прочих целебрити.
Ответить | Правка | Наверх | Cообщить модератору

152. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от нах. (?), 15-Янв-25, 17:15 
> Нуда нуда, и сколько таких проектов от общего числа? 0,0001%

думаю просто 0 будет точнее.

Все более-менее коммерчески успешные проекты - на деньги корпораций. Потому что у тех их - вагоны. И совершенно не жаль.

Напомнить отношение автора паленой луны к донатикам? Даже он со своими тремя пользователями в них совершенно не нуждается - ему от поисковых систем в сто раз больше перепадает.

А если ты не можешь своих пользуемых перепродать кому-то - расслабься, миллионером тебе не быть.

Ответить | Правка | Наверх | Cообщить модератору

156. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 18:56 
Да ладно, у меня куча всего стоит в системе сделанного без корпораций.
Ответить | Правка | Наверх | Cообщить модератору

167. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от нах. (?), 15-Янв-25, 19:43 
дык - и ты заплатил аффтырям вот ровно $0
Вот я и говорю что это куда лучшее приближение чем даже 0.0001

о чем и речь. взять-взять-взять мы все горазды, а оплачивать - а банально деньгов не хватит.  При всем желании. Чтобы автырь кода жил не хуже меня - мне надо ему все свои деньги и отдать. А жрать я чего буду после этого? Вот именно.

Ответить | Правка | Наверх | Cообщить модератору

169. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 19:56 
С одной стороны да, с другой нет.
Я вот посчитал примерно сколько я в mpv плеер прокоммитил, там кажется чуть ли не неделя рабочего времени в сумме, при моей скромной оплате это 750 баксов.
Таких денег ни один проигрыватель не стоит, и можно было бы кучу софта накупить даже у огрызка с его зашкварными ценниками.
Ответить | Правка | Наверх | Cообщить модератору

171. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от нах. (?), 15-Янв-25, 20:12 
э, нет, ты ж свои хотелки понакомитил.
Такое купить нельзя, только заказать. А заказной товарчик - того-с, огого стоит-то. За неделю, пожалуй, не заработать столько.
Даже когда из шкуры заказчика. А у нас тут шкура от mpv, которую отдельно к оплате предъявят.

Ответить | Правка | Наверх | Cообщить модератору

174. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 20:19 
Я допиливал работу с DVB тюнерами и перепиливал OSS зуковой бэкенд (да ещё и sndio кажется - что то от netbsd).
Сказать что такое нужно мне одному - несколько преувеличено, как минимум 1-2 десяткам :)
Ответить | Правка | Наверх | Cообщить модератору

170. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 15-Янв-25, 19:58 
> Вы тоже не втыкаете: зачем это авторам?

Т.е. вам будет абсолютно  пофиг если ваш проект будет скомпроментирован, сворован, обкакан ?

> Мне за последние 10 лет за мой опенсорц задонатили меньше 100 баксов,
> вы серьёзно думаете что при таком уровне оплаты я не пошлю
> куда подальше всех желающих мне навязать что то делать?

Да при чем здесь это? Я говорю о безполезности ГПГ подписей. Люди по какой-то странной логике думают что они подписали свой проект и никто не может создать точно такое же имя, но с другим, своим ключом. Нет абсолютно никакой гарантии перепроверить кто есть кто. Я лет 15 назад был левым "секьюрити офицер" Фряхи и никто даже не чухнулся, написано же что "секьюрити офицер", значит офицер. Все аргументы против, - "да вон там же мы на веб сайте свои ключи для верификации положили". И чем это тогда отличается просто проверки по хэшу? Сама идея верификации идентичности - нигде не работает, даже хотя бы концепт кросс подписей, теми же ГПГ ключами, так нет же нигде

> Основная причина по которой я не послал гитхуб с их мультифактором -
> возможность писать багрепорты. Не основная - там был TOTP который можно
> считать даже в скриптах прикрученных в гут пуш хукам.

Причем здесь гитхуб - вообще, если мы про концепт подписи ГПГ ?

У гитхаба по крайней мере хоть там можно сделать привязку к емайлу, к телефону (который кстати уже верифицирован по паспорту). Разглашений личных данных нет для паблика, и если кто то ломанет то по крайне мере можно доказать и выйти с чистой рожей, вместо того чтоб заработать авторитет гавнючка


Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

172. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 15-Янв-25, 20:15 
> Т.е. вам будет абсолютно  пофиг если ваш проект будет скомпроментирован, сворован, обкакан ?

Это не совсем корректная формулировка.
Своровать его нельзя - он доступен всем. Коммунити там нет - его тоже не угнать.
Компроментация - это проблема пользователей.
Последнее - я вообще не понял про что.


> Я говорю о безполезности ГПГ подписей.

В целом да.


> Причем здесь гитхуб - вообще, если мы про концепт подписи ГПГ ?

Вы почему то считаете что авторы опенсорца вам/кому то что то должны.
Это не так.
Я вам и остальным ещё раз повторяю: то что я или кто то ещё выкладывает свой код куда то и позволяет им пользоватся другим - исключительно наша (авторов) добрая воля.
Мы (авторы) тратим на это (выкладывание в общий доступ) своё время, силы и деньги. Для большинства из нас это не оплачиваемая работа. Не оплачиваемая во всех/любом смыслах.

Все проблемы с нашим (авторов) выложенным кодом - это большей частью ваши личные проблемы, которые нас (авторов) вообще мало интересуют.
Всё что мы делаем - это можно сказать чистая благотворительность.

Поэтому когда вы чего то хотите от авторов - помните что вы требует от людей работать бесплатно для удовлетворения ваших хотелок.

> телефону (который кстати уже верифицирован по паспорту)

Только в отдельных локациях, подозреваю в вашей локации с такими правилами проживает всего 1-2% населения планеты из которых участников опенсорца меньше 1%.
В моей локации симки продаются в ларьках, идентификация себя там строго добровольная и нужна для того чтобы можно было симку восстановить, ну и бонусами в виде 40гб/мес стимлируют.

Ответить | Правка | Наверх | Cообщить модератору

185. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 16-Янв-25, 02:19 
> Своровать его нельзя - он доступен всем.

Но проект можно заменить, добавить малварь и все это будет висеть на вашем имени.

> Коммунити там нет - его тоже не угнать.

А кто же задонатил $100 ? Или мелочь - не в счет?

> Компроментация - это проблема пользователей.

С таким подходом, напрашивается вопрос, а зачем тогда публиковать для всех, если на всех - наплевать? Типа хавайте с нашего барского плеча и не гавкайте и пофиг если там что-то завелось...
Что то мне не верится, что вы из такой категориии людей

> Вы почему то считаете что авторы опенсорца вам/кому то что то должны.

Да при чем здесь - кто кому должен???
Я говорю о безполезности подписей ГПГ которые вообще никак не верифицируются, а вы своим гитхабом и вашим отношением к тем кому вы открыли свои наработки...

Ну, вообще не в тему !

И раз уж про гитхаб, где вы увидели что я считаю что кто-то кому-то что-то должен?
Наплевать на свое собственное имя, ну так у каждого свой выбор, up to you...

У меня тоже есть открытые проекты, и открываю я их не для того чтобы ублажить свое эго, а для того, чтобы люди, которые увидели проект полезным, смогли указать на баги, подсказать новые идеи и фичи, чтобы совместно улучшать и развивать проект, который полезен всем. Сила в толпе, а не в одиночках, даже если они гении  

> Я вам и остальным ещё раз повторяю: то что я или кто то ещё выкладывает свой код куда то и позволяет им пользоватся другим - исключительно наша (авторов) добрая воля.

Вы что этим хотите сказать? Вам поклонится? На доску почета поставить? Или намеки на бабло подогнать?

Если вы выложили что то, значит была причина - зачем "Мы (авторы) тратим на это (выкладывание в общий доступ) своё время, силы и деньги."

> Всё что мы делаем - это можно сказать чистая благотворительность.

Т.е. если вы выложили вкусню булочку и на нее налетел народ, а там по пути кто-то отраву подложил - вам глубоко пофиг и никакй отвественности? Хотя можно было бы на свою уникальную булочку добавить пакетик со своей торговой маркой, которую невозможно подменить , чтоб было видно, где булочка ваша, а где тоже самое но с дерьмцом и не от вас, но с вашим именем.

Вообщем, короче - "Спасибо вам" и другим (кто так думает) за такую благотворительность ! :)

Хочется гадость, сказать, но пожалуй - не стоит... надеюсь вы сами поймете, что с таким подходом - вы не правы. За настоящей  благотворительность должна стоять еще и ответственность, а то так можно любую малварь тоже считать  благотворительностью

> Поэтому когда вы чего то хотите от авторов - помните что вы требует от людей работать бесплатно для удовлетворения ваших хотелок.

Неужели так переработаетесь, подписав с SSH или PGP релизы, подвердив, что это правда автор а не засланный казачок? Если проект на гитхабе хоть чуть чуть популярен, то двухфакторка будет обязательна, и не для того, что бы гонятся за неуловимым автором Джо, а просто предотвратить инекции малвари.
И при чем здесь должен - не должен, это ваше лицо, ваш брэнд ! Пофигу?
Ну так и добавьте в ридми, что мне на вас, на пользователей - глубоко пох... Ну, чтоб донаты увеличились, хорошая такая реклама /s

> В моей локации симки продаются в ларьках, идентификация себя там строго добровольная

В моей локации тоже можно купить такие симки, но проблема в том, что через две -три недели такой номер будет признан как не достоверный для аутентификации со всеми вытекающими.

И кстати, раз уж разговор о гитхабе, то для 2FA достаточно TOTP без телефона, и уж точно - добавить это, чтоб потом можно было хоть как то заверять подписи, занимает меньше минуты

Ответить | Правка | Наверх | Cообщить модератору

201. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Ivan_83 (ok), 16-Янв-25, 14:18 
> Но проект можно заменить, добавить малварь и все это будет висеть на вашем имени.

И чо?
Мне от этого меньше заплатят? Меньше нуля?)


> А кто же задонатил $100 ? Или мелочь - не в счет?

Час даже так себешного в так себешных локациях и то стоит 10-20 баксов, а в хороших локациях час от 50 баксов стоит.
Даже простая утилита (из тех что у меня выложены) заняла часа 4 на всё вместе.
А более сложные мои проекты сожрали как минимум недели а то и месяцы человека часов.


> С таким подходом, напрашивается вопрос, а зачем тогда публиковать для всех, если на всех - наплевать? Типа хавайте с нашего барского плеча и не гавкайте и пофиг если там что-то завелось...
> Что то мне не верится, что вы из такой категориии людей

Хочу - публикую :)
Для красивой ссылки в линкеде, для привлечения бесплатной силы для доработки, потешить ЧСВ.
Я уже пояснил: мне не нравится когда некто с кем у меня нет никаких договорных отношений (кроме пользуйся на свой страх и риск тем что я выкатил) начинает качать права что я чего то там должен.


> Я говорю о безполезности подписей ГПГ

С этим я не спорю.
Они полезны только когда ты сам лично ими обменялся.


> У меня тоже есть открытые проекты, и открываю я их не для того чтобы ублажить свое эго, а для того, чтобы люди, которые увидели проект полезным, смогли указать на баги, подсказать новые идеи и фичи, чтобы совместно улучшать и развивать проект, который полезен всем.

Ко мне вот в issues китайцы понабежали и пишут мне там какие то иероглифы. Такова реальность.


> Вы что этим хотите сказать? Вам поклонится? На доску почета поставить? Или намеки на бабло подогнать?

Я уже всё сказал по несколько раз.


> Т.е. если вы выложили вкусню булочку и на нее налетел народ, а там по пути кто-то отраву подложил - вам глубоко пофиг и никакй отвественности? Хотя можно было бы на свою уникальную булочку добавить пакетик со своей торговой маркой, которую невозможно подменить , чтоб было видно, где булочка ваша, а где тоже самое но с дерьмцом и не от вас, но с вашим именем.

Какая глупость.
Мне проще выкинуть продукт чем тратить время и деньги.


> За настоящей  благотворительность должна стоять еще и ответственность, а то так можно любую малварь тоже считать  благотворительностью

Малварь приносит реальные деньги, в отличии от опенсорца.
А некоторые (типа мс, огрызка, гугла) свою малварь ещё и за деньги продают, и "пользоватся нашей малварью большая честь, только избранные могут себе это позволить".


> Неужели так переработаетесь, подписав с SSH или PGP релизы, подвердив, что это правда автор а не засланный казачок?

Какие ещё релизы!?
Может тебе ещё и бинарники под разные платформы собрать!?
Скажите спасибо что потратили время на этот ваш гит а не выложили по старинке зип архив с проектом и всем мусором что там накопился в папке.


> Если проект на гитхабе хоть чуть чуть популярен, то двухфакторка будет обязательна, и не для того, что бы гонятся за неуловимым автором Джо, а просто предотвратить инекции малвари.

Да вот только автор кроме неудобств с этого как правило ничего не получает.
А 2FA уже давно обязательна для всех.


> И при чем здесь должен - не должен, это ваше лицо, ваш брэнд ! Пофигу?

Если бренд приносит 0 то и цена ему такая же.


> Ну так и добавьте в ридми, что мне на вас, на пользователей - глубоко пох...

Так и добавлено давно везде, просто вы читать не умеете.
Попробуйте хотя бы с гугло переводчиком почитать популярные лицензии на опенсорс.


> что через две -три недели такой номер будет признан как не достоверный для аутентификации со всеми вытекающими.

Нету тут у меня такого. Пока платишь - оно работает. По дефолту преступника всех не считают.


> И кстати, раз уж разговор о гитхабе, то для 2FA достаточно TOTP без телефона, и уж точно - добавить это, чтоб потом можно было хоть как то заверять подписи, занимает меньше минуты

Да вы какой то теоретег.
Давно уже гитхуб вынудил сделать 2FA всех. Да, я сделал себе TOTP который обычно считаю консольной утилитой. Да и мне пофиг что шаредкей остаётся в истории комманд оболочки и что оно на одном устройстве, и даже шаредкей валяется в одном текстовом файле с паролем, чтобы два раза не искать.
В остальном вопрос тот же: мне не платят за те неудобства которые причиняют, а наоборот, плачу я своим временем.

Сейчас вся эта фигата нужна корпам чтобы они не потеряли бабло, репутацию и прочее на том что поюзают протрояненый компонент коих они себе в коммерческий проект натащили тоннами.
А расходы за это всё и неудобства перекладывают на разработчиков, которые всё сделали, выложили в открытый бесплатный доступ.

Поэтому все эти увещевания про то что угонят акк, подменят и прочее - мне глубоко фиолетовы, мне за это всё было перечисленно 0 денег. Это сильно меньше даже одного часа работы специалиста моего уровня в любой локации.
Хотите вот это всё - платите лично мне.
Не хотите платить - я не буду ничего делать или будут саботировать.
Да блин проще продать акк всяким мутным личностям, хоть какие то деньги и избавление от чудаков с их хотелками.

Ответить | Правка | Наверх | Cообщить модератору

205. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от OpenEcho (?), 16-Янв-25, 21:57 
Я понял из разговора что это совсем не о том, с чего я начал (про ГПГ), а что вы сильно разочарованны своим опенсырцом. Скажу честно, я - услышал.

Я эту веру потерял очень, очень давно. Много халявщикиков, да, причем иногда очень наглых, которые требуют как будто ты им обязан, которые отбивают все желания что либо делать вообще "во благо общества". Поэтому у меня с появлением гитхаба и не было никаких надежд в "светлое будующее". Мне он нужен и это так, как я вижу его исключительно с точки зрения улучшения проекта который нужен мне и другим и сообща делать это еще лучше. Есть люди и компании которые понимают прекрасно, что это безплатный дар и помогают как могут, хотя я гитхаб никогда не рассматривал как источик хоть какого то дохода, - это не реально. На наезды типа "ты нам должен" я давным давно забил и они у меня даже не вызывают никаких эмоций, - тратить врема на дебилов, это значит самому до них опускаться. Ответ всем прост: - нравится, хочется? Добро пожаловать с ПР и то без гарантии что все бросим и начнем пир-ревью. Надо срочно, - переходим на коммерцию. Нет - идут лесом. Но при всем при этом, проект остается публичным лицом и должен быть защищен от подонков.

Ответить | Правка | Наверх | Cообщить модератору

195. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +2 +/
Сообщение от нах. (?), 16-Янв-25, 12:25 
как будто имя что-то значит само по себе?
И как будто даже если имя подтверждено паспортом и сканом радужки, это может помешать человеку быть казачком засланным?

И даже если имя подтверждено, человек хороший и проверенный, как это может помешать ему просто быть раздолбаем и забыть свой ключ на шаредпомойке?

Подпись gpg - это просто подпись. Хорошо если есть, если нет - тоже не катастрофа, потому что ничего не обеспечивает и ничего не гарантирует.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

62. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (62), 15-Янв-25, 07:04 
Всё нормально, весной прошлого года Tridgell  вернулся в проект https://www.opennet.ru/60941 Это его первый релиз, после возвращение в сопровождающие, поэтому и ключ новый.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

82. Скрыто модератором  –2 +/
Сообщение от Аноним (-), 15-Янв-25, 11:49 
Ответить | Правка | Наверх | Cообщить модератору

98. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Соль земли (?), 15-Янв-25, 13:49 
Очевидно, что такие вещи нельзя выкидывать в инет. Или запускать в докере на худой конец.
Ответить | Правка | Наверх | Cообщить модератору

104. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +1 +/
Сообщение от Анониматор (?), 15-Янв-25, 14:08 
Жесть похоже серъезная. Мне обновление rsync даже в proxmox вчера прилетела
Ответить | Правка | Наверх | Cообщить модератору

116. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (4), 15-Янв-25, 14:57 
Похоже это жж не спроста.
Ответить | Правка | Наверх | Cообщить модератору

177. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (177), 15-Янв-25, 22:34 
А кому вообще в голову может придти использовать rsynс для публичного анонимного доступа?
Это же утилита для синхронизации папок между двумя своими компьютерами.
Ответить | Правка | Наверх | Cообщить модератору

188. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (188), 16-Янв-25, 07:57 
rsync://mirror.yandex.ru/
Ответить | Правка | Наверх | Cообщить модератору

190. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от Аноним (62), 16-Янв-25, 08:56 
Скачка по rsync есть в Debian, Ubuntu, Gentoo, Fedora, Arch, CentOS, openSUSE, FreeBSD. При этом во многих случаях публичной доступный rsync используется на первичных серверах для синхронизации зеркал.
Ответить | Правка | К родителю #177 | Наверх | Cообщить модератору

186. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  –1 +/
Сообщение от Аноним (186), 16-Янв-25, 03:42 
Так и не понял.
А почему там хотябы статическим анализом не обвешали всё, раз уж руки из ж и тесты писать не хочется?
Ответить | Правка | Наверх | Cообщить модератору

196. "В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить ко..."  +/
Сообщение от нах. (?), 16-Янв-25, 12:26 
да, я тоже не понял, почему ты такой умный и талантливый не сделал это все.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру