forum.opennet.ru

"Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

"Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust"	+/–
Сообщение от opennews (??), 10-Янв-23, 22:42
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58458
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust, opennews, 10-Янв-23, 22:42 [смотреть все]

Кажется, к don t roll your own crypto надо добавить don t reimplement SSH cli, Аноним, 10-Янв-23, 22:55 (6) //
- and git clients too такой модный язык, а использует наработки старперов н, ivan_erohin, 11-Янв-23, 13:31 (101) //
  - Если б они это сами сделали, CVE было бы в 10 раз больше Вон в матриксе славно , Аноним, 12-Янв-23, 09:31 (149)
Очень хороший язык, когда каждую неделю выходит новая версия и ломает совместимо, Аноним, 10-Янв-23, 22:58 (9) //
- Экспертиза от опеннет во всей красе , НяшМяш, 10-Янв-23, 23:17 (13) //
  - Арчеводы тоже, Деанон, 10-Янв-23, 23:20 (15)
  - Уязвимость в пакетном менеджере Cargo, применяемом в экосист..., Аноним, 10-Янв-23, 23:31 (17) //
    - А причём тут язык Так можно и C пинать за то что CMake сделал какое-нибудь ло, НяшМяш, 11-Янв-23, 11:16 (86)
      - Это к вопросу как растофилы фиксят баги , Аноним, 11-Янв-23, 11:34 (88)
        
        Такого вопроса никто никогда не ставил, ты его сам себе придумал , анон, 11-Янв-23, 12:25 (97)
      - CMake не делает ломающих изменений В CMake есть policy mechanism , Аноним, 11-Янв-23, 15:04 (105)
      - Пример можешь привести , Вы забыли заполнить поле Name, 11-Янв-23, 16:27 (114)
        
        Пример чисто гипотетический был, но я погуглил - и действительно старое нашлось , НяшМяш, 12-Янв-23, 11:18 (152)
    - Ну такое нельзя зафиксить так, чтобы это не коснулось конечных пользователей , freecoder, 11-Янв-23, 12:12 (96)
      - можно, сейчас опеннет эксперты расскажут как , Аноним, 11-Янв-23, 13:52 (102)
  - На этот вопрос так часто тут с пруфами отвечают, что его вырезает антиспам еще н, анон, 11-Янв-23, 15:49 (108)
- кто тебе мешает не использовать новую версию , Аноним, 11-Янв-23, 00:30 (30) //
  - Дырени , Admino, 11-Янв-23, 01:03 (33)
  - Кто мешает не использовать раст , псевдонимус, 11-Янв-23, 01:50 (36) //
    - Там же новое Это как на телефоне обновление приложения чтобы о нем помнили , Аноним1212, 11-Янв-23, 07:53 (65)
  - И сидеть с дырявым карго , Аноним, 11-Янв-23, 01:50 (37) //
    - а зачем тебе cargo люди 20 лет сидят без обновлений на дырявых дельфях, ещё и ст, Аноним, 11-Янв-23, 19:14 (131)
  - Например, программа Х собирается версией 1 25, но не собирается новой версией А, Аноним, 11-Янв-23, 03:02 (50) //
    - назови пример такой программы мне никогда не встречались, хотя я на расте пишу , анонимус, 11-Янв-23, 04:33 (56)
      - хеловорды не считаются за активность , Аноним, 11-Янв-23, 22:27 (139)
        
        Т е примера нет, да балабольчик , Советский инженер, 12-Янв-23, 10:30 (151)
- Погоди лет 10, устаканится, тогда и можно будет посмореть что там за раст , Аноним, 11-Янв-23, 03:27 (52)
- фиг с ним пе ерастом, браузер 10-летней свежести не поймёт ни слова на нынОшнем , mos87, 11-Янв-23, 18:52 (128)
Не, ну тут ни раст ни его разработчики не винова W oh wait, shit, Аноним, 10-Янв-23, 22:58 (10) //
- да, раст не виноват Раст это язык программирования Там что, переполнение буфер, Аноним, 11-Янв-23, 15:48 (107) //
  - Им сишники в git е этих 70 типичных ошибок накидали, зачем они этим гитом польз, Аноним, 11-Янв-23, 17:37 (124)
  - Си тоже язык программирования, но почему-то для растоманов дыра в libname это э, keydon, 11-Янв-23, 22:28 (140)
Хотите добавить дыр в системе на C Просто выполните команду sudo pacman -S rus, AlexCr4ckPentest, 10-Янв-23, 23:47 (20) //
- эмм, что , Alladin, 10-Янв-23, 23:53 (21)
- О, свидетели xorg, windows xp и строительства Карпат объявились, Илья, 11-Янв-23, 08:28 (68) //
  - от свидетеля вяленда слышу, mos87, 11-Янв-23, 18:53 (129)
- sudo pacman command not found, 1, 11-Янв-23, 08:58 (70) //
  - pacman это игра такая, я её помню Поищите в репах своего дистрибутива Не понял, Аноним, 11-Янв-23, 12:43 (99) //
    - Если запускать от рута, то пакман призраков жрать может , Kuromi, 12-Янв-23, 01:35 (145)
С чего это вдруг стало уязвимость Это важная фича, которая используется в блоки, ИмяХ, 11-Янв-23, 00:08 (25) //
- не бывает такого блокировщика рекламы бывают только uBlock uMatrix и блокировка, Аноним, 11-Янв-23, 02:09 (45)
Зато без переполнений буфера, выхода за границы массива и обращения к освобождён, YetAnotherOnanym, 11-Янв-23, 02:28 (46) //
- А потом захочешь написать системное приложение опираясь на давно проверенные сис, Аноним, 11-Янв-23, 05:53 (59) //
  - Да я уже понял, что скоро придётся наступит растопесец Надеюсь, к тому моменту , YetAnotherOnanym, 11-Янв-23, 11:45 (90) //
    - Можешь не дожидаться пенсии, у тебя уже логическое мышление и способность учитьс, burjui, 11-Янв-23, 16:19 (110)
      - Нее, я буду сидеть на диване с кофием и печеньками, и неспешно броузить новости , YetAnotherOnanym, 12-Янв-23, 11:53 (154)
        
        Что угодно, лишь бы код не писать , burjui, 12-Янв-23, 17:56 (156)
  - То ли дело C и C , где в unsafe обёрнут весь код Ну, местным экспертам это не , burjui, 11-Янв-23, 16:21 (111)
- Странно, в списке CVE софта на расте даже и такое есть Как ни странно , Аноним, 12-Янв-23, 09:43 (150) //
  - Тссс Зачем выдёргивать детей из сладкого плена иллюзий , YetAnotherOnanym, 12-Янв-23, 11:57 (155)
А пацан-то взрослеет на глазах Вот уже понял, что TOFU до добра не доведёт Дид, Аноним, 11-Янв-23, 02:39 (48)
Что за прикол хранить пакеты на GitHub Perlовский CPAN сам хранит пакеты и его , Аноним, 11-Янв-23, 02:44 (49) //
- Ага, а ещё там мега удобно смотреть последние коммиты с начала 2000х, через зерк, Аноним, 11-Янв-23, 03:41 (53) //
  - Зачем возраждать xp, она итак жива и исходники есть Что-то не нравится - правь , Аноним, 11-Янв-23, 04:09 (55) //
    - А ты пробовал У тебя получилось , Аноним, 11-Янв-23, 09:34 (73)
      - Да Все компилится кроме пинбола и winlogon exe Скопировал софт и игрушки в Liv, Аноним, 11-Янв-23, 10:24 (77)
  - можно подумать это какое-то плохое действо а может даже и не эффективное , perl, 11-Янв-23, 10:19 (75)
  - Свой гит поднять - не , YetAnotherOnanym, 11-Янв-23, 11:43 (89) //
    - На каждый пакет , Аноним, 11-Янв-23, 12:08 (95)
      - Ога, отдельный сервер с гитом на каждый пакет, иначе никак , YetAnotherOnanym, 12-Янв-23, 11:49 (153)
- ну просто перлом занимаются умные но скучные людиникто даже не знает, правильная, mos87, 11-Янв-23, 18:55 (130)
Анти-растеры, пакетный менеджер от языка отличить можете Или извилин понять нов, Аноним, 11-Янв-23, 03:44 (54) //
- Так карго же на этом расте и написан , растоман, 11-Янв-23, 04:38 (57) //
  - И Раст ЯП должен был в проект карго сам, без программистов, код проверки серт, Аноним, 11-Янв-23, 16:09 (109)
- Как только в новости про раст не будет упоминаться cargo, и отношения между carg, yet another anonymous, 11-Янв-23, 06:21 (62)
- Так ведь же пакетный менеджер на безопасном языке написан и не может содержать д, EULA, 11-Янв-23, 06:25 (63)
- Дак вы ведь тож не можете отличить Сишку, от софта на ней написанного Кстати, а , Аноним, 11-Янв-23, 09:15 (72) //
  - Потому что это уже стало очевидно , freecoder, 11-Янв-23, 11:49 (92) //
    - Даже типы ошибок, совершаемые в раст-проектах, каждый раз подчеркивают сишникам , Аноним, 11-Янв-23, 16:32 (119)
      - Помнится кое-кто говорил, что ошибка есть понятие абсолютное, то есть она либо е, 5к, 12-Янв-23, 08:02 (148)
- Можно полный список от чего раст не защищает, что в него не входит и отношения к, Аноним, 11-Янв-23, 14:55 (104) //
  - Это какие растоманы обвиняли синяков в уязвимостях, не связанных с некорректной , burjui, 11-Янв-23, 16:25 (112) //
    - Тогда растоманы должны говорить так это программист некорректно с памятью работ, Аноним, 11-Янв-23, 20:42 (136)
- Можно вопрос - если пакетный менеджер отличается от языка почему его исправили в, Совершенно другой аноним, 11-Янв-23, 17:30 (122)
- Предъявите популярные реализации Rust без Cargo, AKTEON, 12-Янв-23, 00:04 (142)
Внезапно оказалось, что все эти говнозащиты и типизации в принципе не защищают о, Бывалый смузихлёб, 11-Янв-23, 05:08 (58) //
- look I m a rust programmer println Hello Wor, Аноним, 11-Янв-23, 06:05 (61) //
  - Ростовского unwrap на тебя нет , Anonimik, 11-Янв-23, 08:41 (69) //
    - Лучше drop , burjui, 11-Янв-23, 16:25 (113)
  - println , Аноним, 11-Янв-23, 09:10 (71)
  - Unsafe забыл, без него не заработает, Аноним, 11-Янв-23, 18:48 (125)
- Никто такого и не заявлял, так же как и привет теореме о неполноте Геделя с посл, НеЗахлебнись, 11-Янв-23, 10:06 (74) //
  - хочешь сказать в рекламном буклете всё наврали , perl, 11-Янв-23, 10:22 (76) //
    - Интересно и что вам там наплели или вы может сами чего додумали Базовую теори, НеЗахлебнись, 11-Янв-23, 10:48 (84)
    - Сразу видно, что ты его не читал, т к обещали только безопасную работу с память, burjui, 11-Янв-23, 16:27 (115)
- и не должны были Никто и не просил защиты от логических и алгоритмических ошиб, Аноним, 11-Янв-23, 16:44 (120) //
  - бОльшинство разработчиков только-только с дерева слезли и решили, что они програ, деанон, 12-Янв-23, 00:16 (143)
Просто надо было Cargo на расте писать, а не на этом вашем дырявом C , Аноним, 11-Янв-23, 07:47 (64) //
- Просто надо было не заниматься ерундой и писать новый йэзыгъ потому что мы можем, Аноним, 11-Янв-23, 10:40 (79) //
  - Еще один Это который уже по счету , Аноним, 11-Янв-23, 12:43 (98)
Печально, что ни один язык не может защитить от логических ошибок Потому что , Анонн, 11-Янв-23, 10:45 (83) //
- Они не пишут код, в лучшем случае - они собирают пакеты , freecoder, 11-Янв-23, 11:57 (93)
Нужно вообще с Cargo список публичных ключей популярных сервисов поставлять , Аноним, 11-Янв-23, 11:32 (87)
Ну хотя бы не buffer overflow Хотя, с обилием unsafe кода в библиотеках это чу, Нанонимус, 11-Янв-23, 12:43 (100) //
- просто их ещё не дообследовали , Аноним, 11-Янв-23, 14:01 (103)
- Надеюсь, пожилые синяки всё же поумнеют и со временем хотя, сколько уже прошло,, burjui, 11-Янв-23, 16:32 (118)
- Сам дернул пол-фразы про safe-код из контекста, сам и посмеялся поплакал, молоде, Аноним, 11-Янв-23, 16:49 (121) //
  - Боже, да как же достало этот бред слушать про всякие проверки боров, ссылки и пр, Аноним, 12-Янв-23, 02:02 (147) //
    - let p 0x56248d1b7139 as mut i32 unsafe p 0xffffff Иди трусы стирай, , burjui, 12-Янв-23, 18:03 (157)
      - дак тут же никакие проверка не работают, ыксперт, Аноним, 12-Янв-23, 18:59 (158)
      - дак тут же никакие проверка не работают, ыксперт И нахер тогда нужен ваш сраст , Аноним, 12-Янв-23, 19:04 (159)
      - Я имел ввиду без unsafe, чтоб почувствовать крутизну раста над сишкой А ты мне , Аноним, 12-Янв-23, 19:09 (160)
        
        Ой, ну началось, имел он ввиду детский сад Компилятору лучше расскажи, что т, burjui, 12-Янв-23, 20:45 (161)
        
        Слушай, перестань уже всех людей судить по себе Если ты постоянно лажаешь с пам, Аноним, 12-Янв-23, 21:11 (163)
        
        Потому что поддерживать код дорого, когда язык тебя ограничивает меньше вероятно, Анончик, 13-Янв-23, 04:43 (164)
        
        Ыксперт, прежде, чем такой бред писать, ты хотя бы почитай а лучше в универе по, Аноним, 14-Янв-23, 02:24 (166)
        
        а как это в расте сделано , Аноним, 12-Янв-23, 20:47 (162)
пора запилить единый пакето-манагер для всех язычков , mos87, 11-Янв-23, 18:49 (126) //
- 100500 реализаций уже есть, но растаманы придумали и впилили в компилятор свой, , Аноним, 11-Янв-23, 19:44 (134)
Можно подумать, что вам кто-то мешает взять любую версию Rust и написать своё ПО, Аноним, 11-Янв-23, 19:34 (133) //
- а не получится, там даже рандом - внешний , Аноним, 11-Янв-23, 19:46 (135) //
  - дык напиши свой рандом, Аноним, 11-Янв-23, 21:10 (137) //
    - зачем, если есть си , Аноним, 11-Янв-23, 22:29 (141)
      - Потому что нет UB и есть борроу-чекер, Аноним, 12-Янв-23, 01:57 (146)
        
        И какое это имеет отношение к отсутствию рандома в расте , Аноним, 13-Янв-23, 17:11 (165)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру