| |
| 2.18, Аноним (18), 12:19, 24/05/2023 [^] [^^] [^^^] [ответить]
| +17 +/– |
Нет. Единственная реакция - это: "Самба? Фи, обычное дело.".
| | |
| |
| 3.78, Аноним (-), 19:44, 24/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это врядли сильно поможет от одного замордованного корейского кодера надрывающегося аж на два здоровых проекта во имя луны^W самсунга. Он почти в 1 морду накодил smb сервер и f2fs. И при такой развесовке сил баланс явно "чтоб вообше работало" а не "чтоб безопасно". При таких соотношениях на любом ЯП кодер срежет все мыслимые углы, забьет на все best practices если это экономит время, и уж конечно его не хватит на какой-нибудь fuzzing своего добра. Оно и аутсорснулось исследователям безопасности на автомате, опосля комитов и с CVEшками уже.
| | |
| |
| 4.80, пох. (?), 20:17, 24/05/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Это как раз стопроцентно поможет - распутать все закорючки и правильно ублажить клиппи он точно один не потянет. Даже если просто будет переписывать уже написанное, как хрустишки любят.
Нет кода - нет уязвимостей, шах и мат вам, немодные сишники!
| | |
| |
| 5.92, Аноним (-), 23:10, 24/05/2023 [^] [^^] [^^^] [ответить] | +2 +/– | Ну не, тут так не прокатит Видишь ли, самсунг - галера При том в данном случае... большой текст свёрнут, показать | | |
|
| 4.83, Аноним (83), 20:39, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Его дело - сделать свистоперделки. А вы возьмёте. Ибо бесплатно.
| | |
| |
| 5.94, EULA (?), 05:16, 25/05/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
Трудно представить, кому она вообще нужна в контексте ядра.
Даже мелкомягкие до такой дичи не дошли - держат отдельным сервисом, который можно безопасно для ОС выключить. Они и клиента от ядра держат подальше.
Не знаю, чё курил Торвальдс, когда принимал этот модуль в ядро, но дурь была стрёмная.
| | |
|
|
|
| 2.68, Аноним (-), 17:10, 24/05/2023 [^] [^^] [^^^] [ответить]
| +4 +/– | |
А что удивляет?
> Namjae Jeon из компании Samsung и Hyunchul Lee из LG,
У этих господ вообще богатые традиции разработки ПО, суть сводится к арбайтен, шнель, шнель, желательно 12 часов в день и более. Что там кодер при этом напишет - ну вы поняли. На Jeon к тому же еще и F2FS висит. Если на вас подвесить кодинг ядерного smbd и файлухи, в одно лицо, вы еще и не так программить будете, пожалуй. Потому что за@#$тесь в край...
> а сопровождением в составе ядра занимается Стив Френч (Steve French) из компании Microsoft,
Ну а у майкрософта, smb и CVE вообще очень давние отношения. Старые как msblast. И до сих пор периодически вылезающие.
| | |
|
| 1.2, Аноним (2), 11:57, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
а зачем вообще самба в ядре? это же прикладной функционал, а не системный.
| | |
| |
| |
| 3.6, Аноним (2), 12:02, 24/05/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
в новости написано что-то про ембед, но не упоминается, почему эта бредятина по умолчанию включена во всех настольных дистрах.
| | |
| |
| 4.12, iPony129412 (?), 12:08, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
А разве? Как посмотреть в Ubuntu?
100% оно не запускается автоматом (тоесть уязвимости считай мимо), вопрос скомпилировано ли?
| | |
| 4.14, iPony129412 (?), 12:11, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Нету ничего, нехорошо обманывть
> sudo modprobe ksmbd.ko
[sudo] password for iHorse:
modprobe: FATAL: Module ksmbd.ko not found in directory /lib/modules/5.19.0-42-generic
| | |
| 4.21, soarin (ok), 12:30, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
 А во нашёл, как загруженные модули смотреть
lsmod | grep "ksmbd"
Ну нет ничего, предсказуемо…
| | |
| 4.69, Аноним (69), 17:15, 24/05/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> включена во всех настольных дистрах.
Потому что перфоманса много не бывает. К сожалению за это есть цена... любые работы можно выполнить дешево, быстро и качественно. И если подвесить на одного Jeon'а по сути кодинг smbd и f2fs (ну вот такой вот самсунг гениальный) - и хотеть это именно еще вчера - ну, вы поняли, что получится в результате. Кодер просто зашьется в хлам. Что и наблюдается.
| | |
| 4.81, лютый арчешкольник (?), 20:20, 24/05/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>почему эта бредятина по умолчанию включена во всех настольных дистрах
галоперидолу выпей ) ссылки из новости же. арчеводская вообще 404, RHEL:
No Red Hat products are affected by this flaw, as the ksmbd code is not included in any shipping
kernel release.
lsmod|grep ksmbd
пусто.
кричи дальше как всё плохо
| | |
|
|
| |
| 3.71, Аноним (-), 17:17, 24/05/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Модульный монолит. Поэтому вон тот модуль можно и не вгружать. И даже заблеклистить если фикс почему-то не вариант а дистро подогнал его. Тех кто вогнал его в основную тушку ядра - я вообще не встречал, это было бы очень странной идеей для этой фичи.
| | |
|
| 2.8, Аноним (86), 12:03, 24/05/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Тут не любят упоминать теории заговора, но почитай в каких компаниях работают мейнтейнеры и что они натворили. Добавь к этому что он выполняют приложение на уровне ядра что в целом не может быть безопасным с самого начала и получи нелицеприятную картину. Как говорится ищи кому это выгодно.
| | |
| |
| |
| 4.79, Аноним (-), 20:03, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Когда NFS кучу лет в ядре и с уязвимостями — это нормально.
Да блин, понаделали суперсложных протоколов с более 9000 опций, потом жалуются что без вулнов накодить это не получается. Там бы депрекейтнуть к хренам старые диалекты и всякую нужную раз в год опциональщину... но любители совместимости с MSDOS 1.0 взвоют же :\
| | |
|
| 3.23, Анонимусс (?), 12:31, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Т.е. предположить, что один - код писать не умеют, а другие - халатно относятся к своим обязаностям, уже не вариант? Только заговор?
| | |
| |
| 4.24, Аноним (86), 12:41, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ага все резко разучились писать код и куча никогда не обновляемых ембедед устройств стала доступна кому угодно, когда угодно, для каких угодно целей. И Дед Мороз ещё настоящий.
| | |
| |
| 5.30, soarin (ok), 12:50, 24/05/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
А когда умели?
Посмотри на частоту выявления уязвимостей в линукс ядре. Ничего не менялось то. Просто у тебя выборочное и узкое зрение.
Тут в новостях уже надоели с «буфера!» каждый день. Но как ты увидел в новости про Microsoft, то это уже сразу другое 😀
| | |
| |
| 6.31, Аноним (86), 12:52, 24/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Просто ты думаешь так как тебе сказали, а шаг вправо или влево ты подумать не можешь потому что мыслепреступление. Поэтому ты и понь.
| | |
|
| 5.34, Анонимусс (?), 12:55, 24/05/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Почему вдруг сразу? Они типа раньше сильно лучше умели...
Вон Поня выше ссылку привел на какой-то топ уязвимостей - там ядра и 4.4, и 4.11, и 3.13.6, и даже 2.6.34 есть.
Причем проблемы те же, фиксы аналогичные, вроде
- argp->end = p + (argp->pagelen>>2);
+ argp->end = argp->p + (argp->pagelen>>2);
или
- if (len < tcp_hdrlen)
+ if (len < tcp_hdrlen || tcp_hdrlen < sizeof(struct tcphdr))
Они никогда не писали без таких багов, просто с годами кода становится все больше, а возможности мозга не увеличиваются. Дальше будет только хуже.
Но теория заговора это удобно.
Это позволяет верить что язык хороший, архитектура хорошая, погромисты хорошие... и вот только злой умысел привел к такой дыре!
| | |
| |
| 6.44, Аноним (86), 14:08, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Да знаем мы таких верующих в программистов, и в то что язык плохой, а потом https://www.opennet.ru/opennews/art.shtml?num=28998 но всё конечно же опровергнуто никто не виноват. Причём опровергает тот же самый человек, которого по факту обвиняют всё как всегда.
- Ты вставлял «баг»
- Нет я не вставлял следов своего «бага» я не нашел
- Ну ок тогда всё в порядке
Так детей в ясельной группе обманывают.
| | |
| |
| 7.72, фтщт (?), 17:28, 24/05/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
хм... мне казалось "бремя доказательства лежит на том, кто обвиняет", а тут оказывается новое слово в юриспруденции
напоминает анекдот:
- я всем рассказал, что ваша дочь легкого поведения!
-- но у меня только один сын
- какая разница, теперь сами оправдыватесь
пока нет доказательств, что это намеренная ошибка
+ неужели, ты уверен, что у них хватит денег купить всех: кодописак, мейнтейнеров, ревьюверов и даже самого Линуса?
| | |
|
|
|
|
| 3.70, Аноним (70), 17:17, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
"Нелицеприятный" означает "беспристрастный". Видимо, вы имели в виду "неприятный"
| | |
| |
| 4.106, Neon (??), 06:03, 28/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
С какого перепугу "Нелицеприятный" означает "беспристрастный" ?!
| | |
| |
| 5.107, n00by (ok), 07:42, 28/05/2023 [^] [^^] [^^^] [ответить] | +/– |  Научитесь уже пользоваться поисковиком, перед тем как что-то писать на _техничес... большой текст свёрнут, показать | | |
|
|
|
| 2.32, n00by (ok), 12:53, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Руткит - прикладной функционал. Но LD_PRELOAD это для детей.
| | |
|
| |
| 2.9, Аноним (86), 12:05, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Им ещё к трем сабжевым компаниям не хватает компании Хуавей тогда бы это было каре.
| | |
| 2.10, Карлос Сношайтилис (ok), 12:05, 24/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Причём тут самсунг? Написать код может кто угодно, но вот делают ревью и решают, включать код или нет, мэйнтейнеры. Все вопросы к ним. Ну и к Бате, конечно.
| | |
| 2.13, Rev (?), 12:09, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
Да, в Самсунге не умеют писать код. Как разработчик со стажем, которому приходилось много сношаться с Самсунгами, говорю.
| | |
| 2.73, пох. (?), 17:51, 24/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Чего ещё было ждать от Samsung
еще exfat, f2fs и код для big.LITTLE но последнее неточно.
Ты бы, конечно, написал гораздо больше и без ошибок - если бы умел кодить.
| | |
| |
| 3.95, penetrator (?), 06:14, 25/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
самсунг делает дерьмовый софт, и многое аутсорсит, а корпоративные стандарты качества ниже плинтуса, и по железу тоже, у них передовой получается только кремний, все остальное мимо - уровня дешманского китая
| | |
|
|
| 1.11, Анонин (?), 12:07, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> приводит к эксплуатируемому состоянию гонки
> из-за разыменования нулевого указателя
> из-за возникновения взаимной блокировки
> вызваны отсутствием проверки размера ... перед копированием в буфер
Классические проблемы дыряшки //_-
| | |
| |
| 2.15, Аноним (15), 12:13, 24/05/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Взаимную блокировку еще нигде не победили, а вот с остальным - да, "классика"
| | |
| |
| 3.27, Карлос Сношайтилис (ok), 12:43, 24/05/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Здесь гонка данных, при некорректном использовании мьютекса, а гонку данных победить можно.
Собственно мьютексы и нужны чтобы её предотвратить, но это же не раст, а С, который и слова не скажет, если разработчик напишет кривой код.
| | |
|
|
| 1.16, Ананий (?), 12:15, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB
жесть какая, а торрент-трекер с похапе еще не запихали?
вебдавы для гуглей, яндексов и майлрушечек, чего уже там.
| | |
| 1.19, ryoken (ok), 12:27, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
 Как узнал про то, что внедряют в ядро Самбу, так и ждал, когда ж оно сдетонирует. Дождался, чо.
| | |
| 1.28, Аноним (28), 12:45, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>ядра 5.15
Господи, да что произошло на этой версии? Почему почти все уязвимости из последних новостей именно с этой версии появились?
| | |
| |
| 2.66, Аноним (66), 16:53, 24/05/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Обычный лтс. Все пытаются вмержить туда всё, что хотя бы компилируется, чтобы 5 лет можно было пользоваться не обновляясь до 5.16+, а когда приходят в сознание, выясняется, что все оставшиеся 5 лет поддержки придётся править в этом баги.
| | |
|
| 1.38, Аноним (38), 13:06, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Ну что ты будешь делать, опять вместо профессионалов писать на си, каких-то рукожопов набрали.
| | |
| |
| |
| 3.74, пох. (?), 17:53, 24/05/2023 [^] [^^] [^^^] [ответить]
| +/– |
ну какие уязвимости могут быть в драйвере мигания светодиодиком? Там только потечь и запаниковать можно - что они и делают.
| | |
| 3.102, Аноним (-), 20:26, 25/05/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Да уж, лучше бы набрали профессианалов на Расте.
В самсунг то? Хрустики не очень привычны шпарить в режиме галеры, часов по 12 в день, это не хвастовство разводить а давай-давай-давай, и если с перфомансом что не так или еще вчера не работает - со всеми более 9000 фич, между прочим - тогда никакой раст тебе не поможет, уволят с треском. А в южной корее мест для работы не так уж много а вот желающих на теплое место с хорошей зарплатой и не особо тупых - есть.
| | |
|
|
| 1.42, Аноним (42), 13:42, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Проблемы проявляются начиная с ядра 5.15
Дебиан как обычно торт. Самый надежный и безопасный :)
| | |
| |
| 2.93, Аноним (-), 02:09, 25/05/2023 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Дебиан как обычно торт. Самый надежный и безопасный :)
Если в ядре нет фичи, то и вулнов в ней тоже нет. С этой точки зрения линукс версии 0.1 еще лучше. В общем если ваш торт окаменел, ему никакие вредители не страшны.
| | |
| 2.103, dannyD (?), 07:04, 26/05/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>>Дебиан как обычно торт.
я бы сказал пряник.
пряник - съедобный камень, перед употреблением размачиваемый в молоке.
| | |
|
| 1.63, Аноним (63), 16:18, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Опять сишники ненастоящие попались, что ж ты делать будешь. Злыдни какие-то подкинули багов в идеальный код, а те как дети малые — ну за мьютексами гоняться и нулевые указатели разыменовывать. Ну хоть за пределы массива не попадали, и на том спасибо.
| | |
| 1.76, Аноним (76), 18:10, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Спасибо ОпенНету! Заблэклистил ksmbd еще 2 года назад. Ждём новых иниересных новостей...
| | |
| 1.104, Аноним (97), 13:01, 26/05/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Чел, по большому счёту большинство зависимостей искусственны, ну вот например в openbox притянули зависимость urw-fonts, а obmenu вообще удалили.
| | |
|
