URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138872
[ Назад ]
Исходное сообщение
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено opennews , 03-Янв-26 21:21 
В проекте RustFS, развивающем совместимое с S3  распределённое объектное хранилище, написанное на языке Rust, выявлена уязвимость (CVE-2025-68926), напоминающая бэкдор. Проблема вызвана  наличием жёстко прошитого в коде токена доступа, позволяющего подключиться к сетевому сервису по протоколу gRPC, указав в заголовке "authorization" значение  "rustfs rpc". Токен присутствовал в коде сервера   и клиента. Проблеме присвоен критический уровень опасности (9.8 из 10)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64551

Содержание
Сообщения в этом обсуждении
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:21 
"SAFE" код
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:23 
Вы не понимаете, это другое :-)
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Лёлек , 03-Янв-26 23:01 
Я на Феррари впахался в бетонную стену и всё сломалось. Вывод: Феррари -- кал. Так держать! Сразу видно уровень ваших знаний. Чем больше тупых разрабов, тем больше платят хорошим. Это обнадёживает :)
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 13:33 
Обнадёживает, что очевидные истинная доходят до cкoмopoxa, бьющего Ferrari 1:43 об стену.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 05-Янв-26 20:56 
Вы действительно не поняли что я имел в виду? У меня для вас плохие новости :D
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 05-Янв-26 21:05 
Ну да, надо было писать на Си, тогда бы этот RustFS падал бы в segfault ещё до того как дошёл бы до проверки ключа. Вот так было бы безопасно! Об стену - это вам :)
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Ford , 04-Янв-26 23:19 
Уточните чем именно ферари не кал? Возможно производители над качеством не заморачиваются потому что машина доезжает до первого столба. Вобщем долго они не служат
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 05-Янв-26 21:03 
В том что она предназначена для умелых рук, а не для неучей которые не в состоянии написать безопасный код. Что гарантирует раст? Просто задайтесь вопросом. Он гарантирует отсутствие ошибок при работе с памятью (вне unsafe блоков), явно гарантирует scope of unexpected behaviour. О чём новость? Новость о том, что кто-то разрешил доступ с ключом явно указанным в коде. Причём тут Rust? В чём вообще проблема с языком? Я вижу безопасный код, в котором явно разрешён доступ. Если бы я хотел так сделать, то я мог бы так сделать. Есть ли ошибки в работе с памятью, может есть unexpected behaviour? Я не понимаю как нужно начать думать, чтобы додуматься до того, что в данной проблеме виноват язык. Вы можете написать код который делает не то, что вам нужно на любом языке. Судя по логике всех заплюсованных тут, язык должен сам всё за вас делать. Прям под ручки вести: а вот тут ты порт открыл - небезопасно, а вот тут ты файл читаешь - небезопасно. Это что за язык такой? Вам самим не стрёмно так тупить, господа?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 08:10 
> Вы не понимаете, это другое :-)

Потому что это действительно другое.
Безопасный для пролов, но с дырочкой для кого надо. ;)

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:53 
Т.е. оно там даже не в unsafe блоке? Ну тогда это безопасно.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено xPhoenix , 04-Янв-26 13:00 
"Это безопасно!"

Дэвид,  эксперт по безопасности.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 01:43 
В любом тьюринг-полном языке можно добавить в код бекдор. Иначе он уже не тьюринг-полный.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 11:38 
> В любом тьюринг-полном языке можно добавить в код бекдор. Иначе он уже не тьюринг-полный.

Точно! https://habr.com/ru/articles/966710/

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 13:14 
Голосую за бэкдоры на Lua.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 07:47 
В расте исключены уязвимости, связанные с безопасностью памяти, но с логическими ошибками он сделать ничего не может.

На c++ будут и логические ошибки и уязвимости, вызыванные небезопасным обращением с памятью.

Странно, что приходится это объяснять в 2026 году

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 09:01 
> На c++ будут

Не будут.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Илья , 04-Янв-26 09:49 
>Странно, что приходится это объяснять в 2026 году

Странно, что приходится это объяснять в 2026 году

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Прохожий , 04-Янв-26 13:34 
Согласен. Не будут, а уже есть.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено sage , 04-Янв-26 12:37 
> уязвимости, связанные с безопасностью памяти ...
> ... но с логическими ошибками ...

А разница? Типа ошибка при управлении памятью не является логической, и что-то мешает просто писать код без ошибок?

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Прохожий , 04-Янв-26 13:39 
>А разница?

Принципиально - никакой. Всё дело лишь в количестве вот этого класса ошибок (по работе с памятью).

>Типа ошибка при управлении памятью не является логической, и что-то мешает просто писать код без ошибок?

Что мешает человеку забивать гвозди, не бахая молотком по пальцам? Здесь есть два ответа: несовершенство молотка и несовершенство человека. Первое исправить сравнительно легко, и люди придумали автоматический молоток. А со вторым пока никак.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено анондирован , 04-Янв-26 20:33 
Глупорсти. В Rust есть cve-rs и 11-ти летние баги компилятора приводящие ко всему этому в safe Rust
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Бжежко , 05-Янв-26 04:17 
cve-rs не компилится, а про 11 летние баги давай сылку.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 06-Янв-26 02:24 
CVE-2020-36318
In the standard library in Rust before 1.49.0, VecDeque::make_contiguous has a bug that pops the same element more than once under certain condition. This bug could result in a use-after-free or double free.

CVE-2021-31162
In the standard library in Rust before 1.52.0, a double free can occur in the Vec::from_iter function if freeing the element panics.

Да, не в компиляторе, но и намного свежее 11-ти лет.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Кошкажена , 05-Янв-26 15:19 
> В расте исключены уязвимости, связанные с безопасностью памяти,

Ха ха ха

https://rustsec.org/advisories/
https://github.com/rust-lang/miri/?tab=readme-ov-file#bugs-f...

Растовшики: санитайзеры больше не нужны!
Также растовщики позже: мы сделали аналог и нашли кучу багов с памятью мимо борова!

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено анонимно , 04-Янв-26 15:41 
если вы серьезно, то вы нуб
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено ffirefox , 04-Янв-26 18:06 
А чего все так возбудились? Продукт ещё из alpha не вышел.
У тех, кто его на проде использует проблема не с языком программирования, а с головой вообще.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:28 
> на языке Rust ... уязвимость ... напоминающая бэкдор

Вот и первых ласточек отловили.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:01 
NSA говорила, всем переходить на Rust. (В его инопланетном синтаксисе легче спрятать.)
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 08:13 
> NSA говорила, всем переходить на Rust. (В его инопланетном синтаксисе легче спрятать.)

Позвольте полюбопытствовать! А у какого ЯП не "инопланетный" синтаксис? ))

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено онанист , 04-Янв-26 08:42 
рядом же
https://www.opennet.ru/opennews/art.shtml?num=64547
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 09:02 
> Позвольте полюбопытствовать! А у какого ЯП не "инопланетный" синтаксис? ))

У С.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Прохожий , 04-Янв-26 13:41 
Набор используемых символов в обоих языках (C, Rust) одинаков.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 13:17 
Достаточных условий не знаю, но могу предложить необходимое - создатель языка должен остаться довольным, а не говорить "The grammar is not what I wanted. Sorry."
https://graydon2.dreamwidth.org/307291.html
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Anonim , 04-Янв-26 17:25 
Паскаль
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено BrainFucker , 04-Янв-26 21:51 
JS
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:29 
> уровень опасности (9.8 из 10)

А 10 из 10 тогда што?

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:35 
Затрудняюсь сказать... Но 9.8 - это удалённый доступ для выполнения привилегированных операций через продукт на расте.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:01 
Это для внутренних продуктов АНБ для служебного пользования.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:03 
В данном случае после эксплуатации не меняется Scope. Если бы можно было, например, рута получить или из под гипервизора вырваться плюсом ко всему умеющемуся, то было бы 10 из 10.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:10 
Порт 9000 редко бывает наружу оттопырен
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:04 
Так любой Васян из корпоративной локалки.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 02:17 
Поле "пароль", которое принимает либо твой пароль, либо пустую строку, как бы не очень выполняет свои функции. Бэкдоров в коде не должно быть, только физический в виде доступа к клавиатуре и терминала с рутом.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено эксперт по всему , 04-Янв-26 19:40 
вы слишком хорошо думаете об админо-девопсах. каждый день сливают базы потому что очередная установка по умолчанию (или даже еще хуже) всяких posgresql, mongodb, clickhouse и т.д. да можете сами сканером посканировать интернеты, найдете кучу всего торчащего наружу
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:34 
10.0 - полный захват устройства в режиме Godmode, а не только "ограниченного в правах процесса".

По факту встречается лишь в сетевом оборудовании, включая сетевые экраны.

Кроме того, RCE бэкдоры intel ME имеют сильно заниженный рейтинг, как по делу, так и нет (есть открытые червеподобные бэкдоры, требующие активации опр. настроек на серверных платах; а есть просто RCE из коробки, требующее нахождения "инициатора" в одной LAN сети с жертвой - ~6 баллов.. закладки АНБ оч. любят размещать исключительно внутри lan, и оценивают на 2-3 балла ниже китайских аналогов)

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 22:39 
Так же стоит дополнить, что баллы за RCE (вкл. Godmode) могут занижать в тех случаях,когда устройство не должно быть напрямую подключено к опасной среде (без сетевого экрана, например), согласно рекомендациям CISA (USA); или для проведения атаки существуют определённые сложности масштабирования, такие как ограничение радиуса wi-fi (для случаев, где RCE в прошивке) - за такое тоже 10.0 могут не дать.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:11 
> А 10 из 10 тогда што?

Спустился с горы и поимел всю планету. Ты такой включаешь плиту - а там хакер. Микроволновка? Прошивка перелита. Ты врубаешь телек - а там хакеры. Телефон? Превратился в кирпич. Компьютер? Что-то не включается. И нет, EMP никто не сбрасывал...

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:30 
Полагаю, когда бэкдор работает не только в конфигурации по умолчанию, а всегда.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Васян , 04-Янв-26 04:17 
-- -- --  -- --  --- Полагаю, когда бэкдор работает не только ...

Ты ищо пра смс, без регистрацЫи в соцсети па инету, забыл....

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:30 
А почему не названы поименно прогроммизды на самом безопастном языке, добавившие в код этот бэкдор? Потому что это другое, да?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:34 
https://github.com/rustfs/rustfs/pull/163

Смотрите сами. Автор есть, вливший код тоже.

Flow у них дурацкий - код вливают чере squash, трудно найти исходный коммит и PR, но не невозможно.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:36 
> трудно найти исходный коммит

Т.е. виновных наказывать не будут?

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:50 
Про трудно - это про свой опыт поиска в их репе. Будут наказывать или нет вопрос риторический.

И, на самом деле, про PR выше я ошибся, в нём бэкдор перемещается в другой файл, а добавлен он был в https://github.com/rustfs/rustfs/commit/04ab9d75a97014d3056d...

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:03 
Читайте внимательно лицензию. Продукт используете на свой страх и риск, сами продукты не пишете, ни копейки не заплатили, даже исходник не читали ... Свой продукт напишите и себе претензии предъявляйте.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:08 
Писульки в license.md не освобождают от уголовной ответственности, если это действительно окажется бэкдором.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено bircoph , 03-Янв-26 22:21 
Доказать в суде умышленность бэкдора в данном случае невозможно: объяснение оставили возможность сервисного обслуживания прокатит. Тем более, никакой обфускации или сокрытия нет.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:23 
> Доказать в суде

Зависит от того, где суд и кого судят. Прям как сегодняшние события.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:24 
В проприетари миллионы таких бэкдоров обнаруживаются, это совершенно нормально.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Васян , 04-Янв-26 03:56 
-- -- -- В проприетари миллионы таких бэкдоров обнаруживаются,

Там жы дажы эта вот фсё и каким-то типа лицензионным соглашением сопровождается(типа законным) и почти даже не бэкдор вовсе.... Тайна переписки, личные разговоры... Не не знаю. Частная жЫзнь, но чья? Корпорастов всяких разных, а не твоя? ...

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 07:14 
За именно бекдоры юридической ответственности не существует ни в одной юрисдикции. За НСД - существует, за ВПО - тоже. А за бэкдоры - нет. Если её ввести - то программисты свалят из профессии, чтобы не ходить под риском, что за любую их ошибку их будут судить.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 10:47 
Хотя бы посмотри, что вчера в мире творилось, какие в юридическом плане законы...
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:41 
Понятно. То есть, кроме ников на гитхабе мы никакого расследования причин инцидента не увидим. Никакого там "работают на корпорацию такую-то, связанную со спецслужбами страны такой-то, те же авторы коммитили в такие-то проекты, сейчас проводится аудит, не набэкдорили ли они еще где-то...". Самый безопастный язык поругаем не бывает. О безопастном языке или хорошо, или помалкивать. Ясно.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:08 
> Самый безопастный язык поругаем не бывает.

В ядре десять лет был бекдор от АНБ. И никакого аудита не было.
Или "вы не понимаете, это другое!" ?))

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:24 
А ты баг от мастерпароля/ключа сам отличить не в состоянии?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 00:29 
Я тебе подскажу: если анэбэ - то баг, если хуавей - то ключ.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Васян , 04-Янв-26 03:14 
-- --- - - - В ядре десять лет был бекдор от АНБ.

Да он там и сейчас есть и не один, а там в любой прошивке сетевой карты и ссд, да ващЭ многа хде ищо вместе с твоими маками и серийниками железок паинету гуляит через всякие диэнэс и провайдЫров, с бравзером и без бравзера. И конечна жы тут будут спорить с этим всякие упоротые касманавты и нитолька. Не правда ли? :)

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 10:53 
Ну так EUI-64 не случайно же придумали, чтоб пользователь светил своим MAC-адресом далеко за пределами своего провайдера. Чтоб кто надо знал, какой бекдор зашит в прошивке сетевухи пользователя.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Вася , 05-Янв-26 06:20 
зачем же тогда придумали privacy extensions?!?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено abu , 04-Янв-26 10:36 
Ваш же ник тут тоже мы не видим.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено morphe , 03-Янв-26 21:58 
Впервые оно появилось тут, и это было без пулреквеста даже

Тот пр что ты скинул лишь передвинул этот код в другое место

Судя по всему это даже не бекдор, а сгенерированная условной ллмкой заглушка, потому что тут даже не так что этот токен допускается в дополнение к пользовательским, а является единственным способом авторизации, и вхардкожен в клиент и сервер

https://github.com/rustfs/rustfs/commit/04ab9d75a97014d3056d...

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 00:36 
>это даже не бекдор, а сгенерированная условной ллмкой заглушка

а ну тогда конечно все хорошо, пусть будет, лол.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:17 
> junxiang Mu <1948535941@qq.com>

Еще как палятся.

> добавившие в код этот бэкдор?

Разве это бекдор?
"Какие ваши доказательства?" (с)

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 10:51 
> 1948535941@

Точно Штырлиц! Узнаю его почерк.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:38 
Это не бэкдор, это просто бомба!
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:51 
В коде на Си бекдоров не бывает. Запомните эту простую истину.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:07 
Бывают. Но спрятать сложнее, найти проще, знающих C намного больше.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено чатжпт , 04-Янв-26 08:43 
Ага, заходим в новость про jails в freebsd и читаем про дыру которым 20 лет
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:11 
Не вижу ничего смешного. Грамотный С программист никогда бы не допустил такой ошибки.
Но писатели на безопасном языке так не умеют. Им компилятор сказал что все нормально, они и обрадовались. А думать головой как любой маломальски грамотный программист на С они не умеют.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:35 
> Грамотный С программист никогда бы не допустил такой ошибки.
> А думать головой как любой маломальски грамотный программист на С они не умеют.

А где же такого взять?!
Вот в соседней теме сишники показывают академическое качество кода БСД.
И они отлично показали как они думают... правда вряд ли головой.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 10:28 
> Грамотный С программист никогда бы не допустил такой ошибки

Так это ошибка или бэкдор? Вы уж определитесь!

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Джон Титор , 04-Янв-26 00:30 
Т.е. вы утверждаете что не пользуетесь вообще ни одной Западной библиотекой? Похвально! Но не правда. А если и не пользуетесь, то уверены в отсутствии cve,?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Прохожий , 04-Янв-26 13:48 
Бывают, конечно. Сравнительно недавно новость про специально внедренный бекдор в ядро Линукс была (в порядке эксперимента). Пока студенты сами не признались, никто не замечал этот бекдор.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 21:56 
Полгода эта уязвимость была и никого она не смущала. Оно и не удивительно, учитывая, что Rust и без обфускации нечитаемый. Вопрос только один - это бэкдор или типичное RVE?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Алексей , 04-Янв-26 19:33 
Это просто недоимплемент. У них вообще никакой авторизации клиента на сервере не присмотрено, кроме этого захардкоженного значения. Видимо тем, кто пишет сервер это было не критично.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:00 
Когда ЯП настолько безопасный разрабам приходится внедрять бэкдоры сознательно.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Васян , 04-Янв-26 03:21 
-- - - -- -   -- приходится внедрять бэкдоры сознательно.

Ищо бы. Иначы кампилятыр выдаст ашыпку и не скомпилить писанину без быкдора... :)

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:01 
зачем фс слушать порт? опять распределённая хрень?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:33 
Вопрос на засыпку: что такое S3?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Я , 04-Янв-26 01:23 
S3 это SimpleStorageServer масштабируемый облачный сервис хранения данных, где файлы хранятся как объекты в «плоской» структуре (без папок), с доступом через уникальные идентификаторы и API.

собственно про amazon s3 должен бы слышать каждый кто в облачные технологии хоть немного лазил

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено penetrator , 04-Янв-26 00:25 
так это не FS, это шляпа-блоб-хранилище от Amazon, которое имеет своё API, и стрижет денежку с педальных

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:04 
это не бэкдор, а обычная синхронизация с серверами анебе
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Васян , 04-Янв-26 03:26 
----- -- - - - это не бэкдор, а обычная синхронизация с серверами анебе

Да нет жы... Эта абыкнавенная калитка для техперсанала, работающыва строга па инструкцыи сваиво начальства.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:25 
Аххахах, нет, на бекдор это точно не похоже. Это похоже на полнейший идиотизм того, кто это писал.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 22:31 
Это не бекдор и сделано это неспециально. Просто растофили так код пишут и так ревьювят. Иными словами такая культура разработки.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:09 
> Проблема вызвана наличием жёстко прошитого в коде токена доступа,

...
> Проблеме присвоен критический уровень опасности (9.8 из 10).

БезопасТность как она есть.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:34 
> 9.8 из 10

0.2 скинули за то, что такие вещи не подключаются к публичному интернету.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:31 
Эта RustFS еще совсем в разработке - в релизах только alpha версии.

Интересно, эту новость запостили специально чтобы отвлечь от новости про уязвимости в FreeBSD jail, которые там еще с 90х?

Иначе сложно объяснить такой интерес к дебажному коду в продукте, которых никогда не релизился.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:33 
Как тут любят некоторые говорить про любые дырени вообще: а покажите, кто от этого пострадал? В данном случае, вопрос, возможно впервые, оправдан. У RustFS ровно 0 пользователей.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:39 
АИ во всем виноват
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 10:56 
Как удобно придумали перекладывать ответственность.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 03-Янв-26 23:52 
Я думаю, там компилятор Rust давно бэкдор вставляет уже. Способ есть даже при открытом коде, его описывал Кен Томпсон ещё в 80-х.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 00:38 
А вот этот бэкдор они явно держат для особых случаев.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Крыжик , 04-Янв-26 01:20 
А можно подробнее о Кене Томпсон? Про что именно речь?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Лиечка , 04-Янв-26 07:45 
Гугл "Reflections on Trusting Trust"
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 03:05 
Я думаю, там компилятор GCC давно бэкдор вставляет уже. Способ есть даже при открытом коде, его описывал Кен Томпсон ещё в 80-х.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 13:17 
помимо GCC есть куча разных компиляторов того же C, поддерживающих стандарты языка C. Но у Rust пока только один единственный рабочий компилятор.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Прохожий , 04-Янв-26 13:55 
Они-то есть. Но и там тоже бекдоры присутствуют. Больше компиляторов - больше бекдоров. С одним, кстати, бекдоры немного проще искать.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 05:58 
Не понял. Файловая система на Rust, так что-ли это понимать?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 11:03 
Любой софт на Раст следует обозначать в названии, что он на Rust.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Бьерне Страуструп , 04-Янв-26 07:01 
Ваш Любимый RUST если будет в UEFI или драйверах которые грузяться до взаимодейтсвия с пользователем, особенно если это сетевой драйвер. Будет всегда падать и не давать грузиться системе если там SAFE блок а АТАКУЮЩИЙ будет применять ДДОС не валидный индекс
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 08:49 
В UEFI сетевой драйвер по умолчанию отключен во всех виденных мною прошивках, можешь ддосить до посинения.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 09:25 
во всех 3 прошивках из многих тысяч?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Иксперт , 04-Янв-26 10:31 
Не утверждай чего незнаешь, все uefi давно умеют в сеть, обновлять прошики через интернет, более того у всех у них есть ring lan, установка вашего любомого linux дистрибутива тоже нужна сеть, почти даже не загрузив ядро.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 09:20 
и как компилятор раста мог пропустить такое??
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 10:54 
Потому что компилятор очень рекомендован AHБ.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Прохожий , 04-Янв-26 13:57 
Где можно об этой рекомендации почитать?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 14:19 
Гугл, не слышал про такое? https://www.opennet.ru/opennews/art.shtml?num=58111
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 14:25 
С Rust на равных рекомендован Object Pascal , Java и Python
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 22:43 
Вообще-то C#, Go, Java, Ruby, Rust и Swift

А в паскале такие же дуршлаковые указатели, как в си.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 05-Янв-26 18:22 
>А в паскале такие же дуршлаковые указатели, как в си.

Вообще то дело не столько в указателях, а в нормальных строках, например, нормальных массивах, ну да ладно.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Прохожий , 04-Янв-26 14:00 
Подобные ошибки не проверяются компилятором. Только формальная верификация может отловить подобное.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 14:18 
Зачем тогда нужен Раст?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 17:24 
Для исключения ошибок типа "выстрелил себе в ногу, т.к. не знал как оно работает с памятью", или "выстрелил себе в ногу, т.к. не знал как про UB".

Злой умысел, раздолбайство и неумение писать код - раст не лечит, да и никакой ЯП это не лечит.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 20:21 
Он не нужен. Для того, чтобы количество new в программе равнялось количеству delete, изучать новый язык, а тем более переписывать на него имеющийся код, незачем. К тому же данные "ошибки" в C уже отслеживаются компиляторами.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 15:03 
✅️ Атаки на цепочку поставки — есть.
✅️ CVE в ядре — есть.
✅️ Используется для написания малвари — да.
✅️ Бэкдоры в опубликованных проектах — теперь есть.

Ну что, можно признать, язык вполне состоявшийся. Настолько безопасный, что даже злоумышленники одобряют.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 20:18 
К данной прекрасной новости неплохо присовокупить еще одну. Разработчики Rust наигрались со своим детищем (как в свое время с Ruby - внезапно, у них те же авторы). Теперь у них новая игрушка - Rue. А всем остальным - не поторопились ли они с Rust-ом?
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 22:39 
> как в свое время с Ruby - внезапно, у них те же авторы

Как интересно. Возьмём на заметку.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 22:54 
Стив Клабник не создатель руби ни разу, максимум коммитил в рельсы. Внезапно, сишник даже в комментах переполняет буффер.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 23:51 
Создатель Ruby вполне себе известен — это Юкихиро Мацумото. И к рже он никаким боком.

Создатель ржавчины тоже известен — это Грэйдон Хоар. И к Ruby он тоже не особо.

Потом, впрочем, Хоара технично оттёрли и ржу полностью переколбасили, превратив из «языка мечты» в нечто более приземлённое, но пригодное к использованию.

А Rue (поскольку большинство не выкупили хохму) — это не просто язык от Стива Клабника. Это экспериментальный, целиком навайбкоженный с помощью Claude AI язык.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 20:38 
Представляю какой экосистема раста через некоторое время станет огромный неконтролируемый дуршлаг…
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 04-Янв-26 22:38 
И ты ничего не сможешь сделать, связанный лицензионными ограничениями.
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено myster , 05-Янв-26 16:56 
Да какая разница, на чём написан продукт? Все так цепляются к Rust в названии. Как будто хардкод токена не может быть где угодно. 🤦
"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено Аноним , 05-Янв-26 21:41 
В том–то и дело, что разница есть. Если бы её не было, каждая тема с упоминанием Rust не превращалась бы в то, во что она превращается.

Вот сама эта новость — она по сути ничтожна. Очередное S3 storage, запиленное тремя с половиной китайско–тайваньскими васянами для своих нужд — не выдающееся абсолютно ничем, кроме названия. Крайне сомневаюсь, что кто–либо из отписавшихся в теме им пользовался, а то и вовсе, знал о существовании до этой новости. И то что там нашли такую нелепую заглушку, весьма напоминающую невычищенный артефакт от LLM — тоже ничем, по сути, не примечательно. В иных проектах закрытые ключи, закомиченные рядом с открытыми находили и токены для внутренней инфраструктуры. Да, опростоволосились, бывает.

Но у Rust, помимо фактического языка, со своими объективными достоинствами и недостатками, есть ещё маркетинг и фанбои–евангелисты. И даже вытекающий из всего этого троллинг в виде назойливого, грубого педалирования Rust под новостями об уязвимостях с презрительным освистыванием всех остальных языков. Rust яростно продвигается как «более современный», «более безопасный», «более лучший», «более более» и даже «более более более». Конечно, если фанбоя припереть к стенке, он тотчас начнёт лепетать то, что написано мелким шрифтом под звёздочкой: «неустраняетвсеошибкитольконекоторыеклассыошибоксвязанныесобработкойпамятиимеютсяпротивопокозанияпосоветуйтесьсврачомпередупотреблением». Но потом отряхнётся, и, как ни в чём не бывало, продолжит нести «Свет Истины™» в других топиках.

Если сам язык ещё можно обсуждать, то всё остальное из перечисленного прямо невыносимо и создаёт Rust как языку соответствующее восприятие.  Хайп, маркетинг и фанбойство уже у всех навязли в зубах. Поэтому, не удивляйтесь симметричной реакции.

"В RustFS выявлен предопределённый в коде токен доступа"
Отправлено ятупойтролль , 06-Янв-26 04:40 
падажите, а кто говорил, что руст супер безопасен?