The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость во Flatpak, позволяющая обойти режим изоляции

24.01.2021 20:07

В инструментарии для создания самодостаточных пакетов Flatpak выявлена уязвимость (CVE-2021-21261), позволяющая обойти режим sandbox-изоляции и выполнить произвольный код в окружении основной системы. Проблема устранена в версиях 1.10.0 и 1.8.5, но позднее в исправлении всплыло регрессивное изменение, вызывающее проблемы при сборке на системах с прослойкой bubblewrap, установленной с флагом setuid. Регрессия устранена в выпуске 1.10.1 (обновление для ветки 1.8.x пока недоступно).

Уязвимость присутствует в D-Bus сервисе flatpak-portal, обеспечивающем запуск "порталов", которые применяются для организации доступа к ресурсам вне контейнера. Сервис позволяет изолированным приложениям запустить собственный дочерний процесс в новом sandbox-окружении, к которому применяются те же или более усиленные настройки изоляции (например, для обработки не заслуживающего доверия содержимого). Уязвимость заключается в том, что flatpak-portal передаёт переменные окружения, специфичные для обращающегося к сервису процесса, в обработчики, не изолированные от основной системы (например, запуская команду "flatpak run"). Вредоносное приложение может выставить переменные окружения, влияющие на работу "flatpak run", и запустить любой код на стороне хост-окружения.

Следует напомнить, что многие разработчики flatpak-пакетов отключают режим изоляции или оставляют полный доступ к домашнему каталогу. Например, с ограниченным режимом изоляции поставляются пакеты GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC. В случае компрометации пакетов с доступом к домашнему каталогу, несмотря на наличие в описании пакета метки "sandboxed", атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc. Отдельным вопросом является контроль за внесением изменений в пакеты и доверие к сборщикам пакетов, которые часто не связаны с основным проектом или дистрибутивами.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.10.0
  3. OpenNews: Для Flatpak подготовлена технология управляемого доступа к ресурсам вне контейнера
  4. OpenNews: Уязвимость во Flatpak, позволяющая повысить привилегии в системе
  5. OpenNews: Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции
  6. OpenNews: Выпуск Bubblewrap 0.4.0, прослойки для создания изолированных окружений
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54461-flatpak
Ключевые слова: flatpak, bubblewrap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (96) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:08, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +29 +/
    Уязвимость в Flatpak, позволяющая сделать ненужное нужным?
     
     
  • 2.35, VINRARUS (ok), 00:15, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Уязвимость в Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик пакетов в себе.
     
     
  • 3.52, Аноним (52), 01:08, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Уязвимость во Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик дыр.
     
     
  • 4.81, An O Nim (?), 09:31, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так и есть, в общем-то. Зависимости третьей стороны в каждом пакете свои, неизвестно кто собирает, а то и просто чужие готовые бинари.

    Если исходники нужного приложения ещё можно посмотреть/пересобрать, например. То зависимости - трудоёмко.

    Выходит, тащишь в систему непроверяемый/неизвестный код третьей стороны. А вот классическое устройство дистрибутива позволяет легко получить и собрать все части - apt get install *src*deb

     
     
  • 5.91, Аноньимъ (ok), 14:13, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >А вот классическое устройство дистрибутива позволяет легко получить и собрать все части
    >apt

    Не позволяет.
    Депенденси Хелл протухшие либы и конфликты зависимостей.

     
     
  • 6.98, Аноним (98), 23:38, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Таких проблем не существует.
     
     
  • 7.105, An O Nim (?), 13:20, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Типа того.

    В инфраструктуре дистра собрать удавалось с меньшими трудозатратами. Чем разбежавшийся зоопарк третьей стороны.

    Может потому как дистр славен своей системой контроля качества. Бывают и другие, да.

     
  • 6.106, Аноним (106), 15:37, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Именно поэтому, я за NixOS!
     

  • 1.2, Аноним (2), 20:09, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Snap нужнее не стал.
     
     
  • 2.31, ОхотникНаОленей (?), 23:09, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему Ставить всякий прикладной софт через snap нежели из пакетов, самое оно, ... большой текст свёрнут, показать
     
     
  • 3.33, Аноним (33), 23:21, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > когда каждая софтина живёт в своём snap-окружении

    Как и во флатпак

    > А ещё в snap унифицирован контроль над ресурсами приложению

    Как и во флатпак. А еще во флатпаке есть разделяемые рантаймы

    Но как видим, это все не спасает, и в снапе найдут дыры когда-нибудь

     
     
  • 4.58, Анон1632776693 (?), 02:51, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Охотник на оленей поймал оленя за рога
     
  • 4.101, ОхотникНаОленей (?), 07:34, 26/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Разумеется, ведь snap и flatpak сестринские проекты, flatpak моложе, у флетпака свои фишки есть.
     
  • 4.102, ОхотникНаОленей (?), 18:51, 26/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Как и в Flatpak

    Дадад snap и flatpak это две палочки Твикс, но как сказал человек где-то выше

    > Когда нибудь найдут дыру и в snap

    Ну вообще методологию эшелонированой защиты никто не отменял, и как правильно сказал человек выше, любая дырявось в flatpak превращает "изолированные" flatpak приложения в обычные "из папки opt" (как у 99% оленей сейчас, которым "ненужное не нужно")

     
  • 3.44, Аноним (44), 00:48, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вот вангую что через года 2 каноникал выбросит свой снап. И перейдет на flatpak...
     
     
  • 4.53, Аноним (52), 01:09, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Неее, через пару лет всё это выкинут и напишут флетснапак.
     
     
  • 5.56, муу (?), 01:50, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    системд-флетснаппакд
     
  • 4.90, Аноним (90), 11:30, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    к тому времени все перейдут на фрю
     
  • 3.73, лютый жабби__ (?), 08:44, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >телеграмы

    веб-версия

    >хромы

    chromium из под su, смысл его песочить, самый секурный браузер )

    >прочая снедь

    еда? может просто совсем не устанавливать откровенное гомно?

     
  • 3.104, Щас начнем анонимно (?), 12:00, 27/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "...каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки,..."
    Смешно. На днях по приколу поставил snap chromium и он автоматом подтянул в себя все настройки и расширения из установленного Chromium.
     
  • 2.87, Аноним (87), 11:10, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Нет, только AppImage.
     

  • 1.3, Аноним (3), 20:10, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > несмотря на наличие в описании пакета метки "sandboxed"

    Шедевр, девляпсы!!!

     
     
  • 2.7, Аноним (7), 20:20, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    смузихлебы
     
     
  • 3.8, Аноним (7), 20:20, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    растофаны
     
     
  • 4.82, An O Nim (?), 09:34, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть, следующие рекомендациям отдела кадров - дерзай, дерзай... Но вот как правильно дерзать - этому, почему-то, уже не учат в кадрах. Т.к. это дело ВУЗ'а/Универа.
     

  • 1.4, Аноним (2), 20:10, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    FlatHub пакеты не дают доступ к домашнему каталогу, нужно переопределение доступов.
     
     
  • 2.16, ilyafedin (ok), 20:58, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    у некоторых пакетов прописан доступ к домашнему каталогу по дефолту. Например, хромиум не умеет в порталы, так что электроноподелкам для работы нужен доступ к домашнему каталогу, или они становятся бесполезными.
     
     
  • 3.37, Аноним (44), 00:34, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и поделия на електроне прекрасно работают без доступа вообще ко всему.
    Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета неможет в сандбокс. Там одну строку изменить.
     
     
  • 4.38, ilyafedin (ok), 00:35, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и
    > поделия на електроне прекрасно работают без доступа вообще ко всему.
    > Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета
    > неможет в сандбокс. Там одну строку изменить.

    Как только попытаешься открыть файловый диалог без доступа к /home, увидишь, что файловый диалог ничего не видит

     
     
  • 5.41, Аноним (44), 00:40, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ммм, файловый диалог видит вообще-то все, если он системный. И еще и может передать ОДИН файл в прогу. Обнови flatpak дружище.
     
     
  • 6.42, Аноним (44), 00:42, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А еще. если совсем все плохо да. можно сделать вот так
    mkdir /home/user/fakehome_forapp
    HOME=/home/user/fakehome_forapp flatpak run com.garbageapplication
     
  • 6.46, ilyafedin (ok), 00:52, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ммм, файловый диалог видит вообще-то все, если он системный. И еще и
    > может передать ОДИН файл в прогу. Обнови flatpak дружище.

    "системный"... файловый диалог предоставялет тулкит, что ты имеешь в виду под системным? Есть, конечно, портальный, но его хромиум/электрон как раз и не умеют.
    Ну и сам флатпак на это влиять не может, только версия рантайма, с которой приложение собрано и версия порталов в системе.

     
  • 5.43, Аноним (44), 00:46, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ из flatpaka.
    Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли, или будут проблемы.
     
     
  • 6.47, ilyafedin (ok), 00:54, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
    > и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
    > из flatpaka.
    > Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
    > нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
    > или будут проблемы.

    Ох, ты сам же мануалы-то и не читал, тогда бы знал, что приложение должно юзать xdg-desktop-portal в флатпаке для диалогов.
    https://github.com/electron/electron/pull/19159

     
  • 6.48, ilyafedin (ok), 00:56, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
    > и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
    > из flatpaka.
    > Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
    > нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
    > или будут проблемы.

    Портальный диалог может ходить по хостовой системе (часть системы же) и пробрасывать файлы в песочницу. Ничего руками делать не должно быть нужно.

     

  • 1.5, Аноним (5), 20:14, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Суидные бинарники, опять суидные бинарники. И почему меня никто не слушает?
     
     
  • 2.6, Аноним (5), 20:16, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ах да, про порталы я уже тоже ныл. Порталы это тупик, как ни крути.
     
  • 2.97, Аноним (97), 17:53, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это только в Debian'е, там user namespaces отключено. В Arch'е бинарники без SUID.
     

  • 1.9, Тов Майор (?), 20:39, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    По со вершенно непонятному стечению обстоятельств практичеки все хипсторы страдают от недуга "напихай по больше про безопастнось и непофтормые фичи твоего смузи продукта даже не понимая смысла использованных терминов"
    отягощенного транспозицией головного мозга и седалища.
    Потому то хипстоподелки видимо и напоминают разваливающиеся китайские игрушки из 90х.
     
     
  • 2.11, дохтурЛол (?), 20:50, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    зачем ты пишешь чушь на опеннете?
     
     
  • 3.69, n00by (ok), 07:39, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему чушь? В результате транспозиции межушный ганглий перестаёт быть межушным.
     
  • 2.12, Аноним (12), 20:53, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Как хорошо, что  все лучшие разработчики мира собрались в комментах на опеннете, так мне спокойней за любимый сайт.
     
     
  • 3.19, Lex (??), 21:00, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дык они ж на нем комментят а не кодят :)
     
     
  • 4.23, Аноним (23), 21:18, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Хороший программист умеет грамотно и понятно написать комментарий и пишет их много
     

  • 1.10, Аноним (52), 20:49, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Без ФэтФака как-то надёжней было.
     
     
  • 2.15, Аноним (15), 20:58, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На самом деле нет.
     
     
  • 3.72, Аноним (72), 08:39, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле, да. Не было иллюзии безопасности.
     

  • 1.13, псевдонимус (?), 20:53, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ну кто бы мог подумать! Дырявые линуксконтейнеры опять показали себя во всей красе.

    Но опенвзлевое использовать не будем. Там патчи не шапкины.

     
  • 1.14, псевдонимус (?), 20:55, 24/01/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
  • 1.17, Онаним (?), 20:59, 24/01/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +5 +/
     
  • 1.18, Нанобот (ok), 21:00, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak. Вот только во flatpak ошибку исправили и теперь порядок, а deb/rpm как соответствовали дырявыми версиями flatpak, так и останутся такими навсегда
     
     
  • 2.36, VINRARUS (ok), 00:33, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В каком пакете идёт сам flatpak?
     
  • 2.64, iPony129412 (?), 04:57, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak.

    Ну это теория. На практике неочень.

    Вот ставишь ты Flatpak пакет криптовалютного кошелька. А его естественно делает левый пионер, не связанный с основным проектом (это обычное явление во Flathub).

    Он попионерит, и забьёт, а ты будешь с дырявой версий сидеть с возможностью пенетрации.
    Ну или вообще захочет вредонос встроить — сложности не составит. Особых уж проверок нет.

     
  • 2.71, Аноним (71), 08:37, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В пакете из дистрибутива есть цепочка доверия к мэйнтейнеру и жёсткий контроль сообщества, а во Flathub пакеты публикует непойми кто и проверяют непойми как. Поэтому изоляция запуска содержимого во flatpak должна быть обязательной и полной, но её каждый второй автор пакета отключает. Как следствие, если на пакет не ссылается основной проект как заслуживающий доверия, риски при запуске  flatpak  мало чем отличаются от запуска первого попавшегося в интернете бинарника.
     
     
  • 3.96, Нанобот (ok), 16:16, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Возможность отключить изоляцию, создаёт проблемы с безопасностью, не спорю. Имхо, могли бы запилить какой-нибудь режим повышеной безопасности, не позволяющий устанавливать пакеты со слабой изоляцией...

    А насчёт доверия мейнтейнеру - можно, на доверии всё человеческое общество устроено, но я бы всё же предпочёл доверять алгоритму, а не людишкам (компьютеры ненадёжны, люди - ещё ненадёжнее -- из законов мерфи)

     
  • 2.99, Аноним (98), 23:42, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Через deb/rpm не едет неизвестно как и кем собранный блоб в комплекте с устаревшими дырявыми зависимостями.
     

  • 1.26, Аноним (26), 22:17, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC

    Вот он, набор ненужного!) Ну кроме Audacity может быть.

     
     
  • 2.27, Аноним (33), 22:25, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Опять какой то анонимный хрен в интернете лучше других знает, кому что нужно
     
     
  • 3.29, Аноним (26), 22:36, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно! :)

    > кому что нужно

    А мне это не интересно, чего там может быть нужно какой-то обезьянке.

     
  • 3.30, Аноним (1), 22:40, 24/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Во флатпаке - точно не нужно.
     
  • 2.59, Я твой господин смерд (?), 03:52, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    VLC не тронь
     
  • 2.88, Аноним (87), 11:12, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    GIMP не тронь
     
  • 2.89, Аноним (87), 11:13, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Octave не тронь
     
  • 2.103, Аноним (103), 01:48, 27/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > GIMP, Inkscape, Audacity и VLC

    Эти апликухе есть и в виде AppImage

     

  • 1.34, Zitz (?), 23:26, 24/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Base OS + pkg/ports = profit

    Зачем они городят какие-то костыли?

     
     
  • 2.40, Аноним (44), 00:38, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот хочу я на debian stable установить новый libreoffice. Или не хочу засырать систему стимом. Или хочу чтоб у меня работал последний месенджер, разрабы которого постоянного обновляют его.
     
     
  • 3.45, Zitz (?), 00:50, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вот и нужно сделать, как в нормальных ОС: базовая система и программы отдельно. Windows, macOS, FreeBSD так и работают. Там всегда самый новейший софт при том, что сама система от него вообще никак не зависит.
     
     
  • 4.51, Dzen Python (ok), 01:05, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это в которых до 2021 года в \system32 кладутся левые общие либы при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs, где, подумать только, лежат хардилнки на все библиотеки, которые только есть в системе, и без работы с дисмом расплывшуюся до неприличных размеров после пары кумулятивок хрен сожмешь (удалая ненужные обновления, лишая себя возможности отката системы)?
    До-до, нам в лянуксах такого шедевра костылестроения только не хватало.
     
     
  • 5.84, Zitz (?), 09:47, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А у вас негров линчуют.(c)
     
  • 5.95, анонн (ok), 15:31, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это в которых до 2021 года в \system32 кладутся левые общие либы
    > при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs,

    Это в которых можно вот так:



    # mount -o exec /tmp
    $ pkg fetch gcc48
    # pkg --rootdir /tmp/test add --accept-missing -f /var/cache/pkg/gcc48-4.8.5_13.txz
    Installing gcc48-4.8.5_13...
    pkg: Missing dependency 'binutils'
    pkg: Missing dependency 'gmp'
    pkg: Missing dependency 'indexinfo'
    pkg: Missing dependency 'mpc'
    pkg: Missing dependency 'mpfr'
    Extracting gcc48-4.8.5_13: 100%
    ...
    Unsupported by upstream since 2015. Use GCC 10 or newer instead
    $ /tmp/test/usr/local/bin/gcc48 -v
    Using built-in specs.
    COLLECT_GCC=/tmp/test/usr/local/bin/gcc48
    COLLECT_LTO_WRAPPER=/tmp/test/usr/local/bin/../libexec/gcc48/gcc/x86_64-portbld-freebsd12.1/4.8.5/lto-wrapper
    Target: x86_64-portbld-freebsd12.1
    Configured with: /wrkdirs/usr/ports/lang/
    ...
    /info/gcc48 --build=x86_64-portbld-freebsd12.1
    Thread model: posix
    gcc version 4.8.5 (FreeBSD Ports Collection)



    но да, можно вместо этого попетросянить о венде и заявить "нищитаица!!1"

     
  • 3.49, Dzen Python (ok), 00:59, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > На дебиан-стейбл

    Наркоман.
    Зачем пихать в сервер-ориентед ор критикал-воркстайшн (с заранее известной смесью рабочих приложений) но-гуй-бест-вей сборку дебиана, ради которой и затевается вся это мура с фильтрацией sid-unstable-testing, патчами и заморозками мокрокисечный софт. Ну или околопрориентарь, вроде стимов/мессенджеров?
    Нет, просто ход мыслей непонятен.

     
     
  • 4.76, Аноним (76), 09:02, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ок, какой дистр мне поставить, в котором я могу заиметь несколько версий нужной мне проги одновременно, ну или просто взять ту, которая нужна, не важно, новая она или старая?
     
     
  • 5.78, Dzen Python (ok), 09:08, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Специально под такие потребности есть хипстерские зборачки, вроде никос.
    Зачем тянуть в специально стабилизированную систему проприентарь?
     
     
  • 6.79, Аноним (76), 09:16, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > хипстерские зборачки, вроде никос

    Который ничем не лучше флатпака

    > Зачем тянуть в специально стабилизированную систему проприентарь?

    Потому что хочу. Ну надо.

     
  • 3.55, Аноним (52), 01:15, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот хочу я ... новый ...

    Но не получится, ибо новый требует либо libc, которой у тебя нет в системе, либо libc вшита в пакет, но требует новое ядро. И нифига в этом фэтфаке у тебя не работает.

     
  • 3.66, Аноним (66), 06:42, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пользователь debian stable не хочет устанавливать НОВОЕ каждые 5 секунд. Он для того такой дистр и выбрал.
     
     
  • 4.86, Аноним (86), 10:44, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я не хочу чтобы что-то ВНЕЗАПНО отваливалось, поэтому и выбирал такой дистр (точнее одна из причин). А вот новое оно или нет, мне как-то без разницы в большинстве случаев.
     
  • 3.92, Аноньимъ (ok), 14:21, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте Guix!
    Он решит все ваши проблемы.
     
  • 2.100, Аноним (98), 23:45, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо в нормальных системах этого костыля. Когда один и тот же софт нужно обновлять размыми несовместимыми способами, системный openssl конфликтует с портовым, и в системе всегда есть сендмейл и прочее никому ненужное говно которое простым способом не удалить. FreeBSD переедет целиком на пакеты рано или поздно.
     

  • 1.39, VINRARUS (ok), 00:37, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Балин, это получается шобы безопасно пользоваться контейнерами Linux нада сам Linux в контейнере виртуалки запускать, а лучше ещо пару вложеных контейнера в контейнере?
     
     
  • 2.50, Dzen Python (ok), 01:01, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Контейнер на линуксе в гипервизоре контейнеризованного линукса, внутри линуксовой виртуалки на линуксовом гипервизоре.
    Базарю, хакеры сами тебе денег отсыпят, лишь бы перестал так упарываться
     

  • 1.57, Аноним (57), 02:01, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если бы написать на Раст...
     
     
  • 2.60, Аноним (52), 04:21, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    равносильно x10 росту дыр + утечка памяти.
     

  • 1.61, leibniz (??), 04:27, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc

    Ток баш? Или zsh или рыбку по аналогии?

     
     
  • 2.80, iPony129412 (?), 09:25, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хоть что.
    Можно и скриптов в пользовательский авторан засунуть.
     

  • 1.63, Аноним (63), 04:55, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А может просто не нужно всякую не внушающую доверия ерунду себе устанавливать В... большой текст свёрнут, показать
     
     
  • 2.65, Аноним (52), 05:58, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > В Android вот есть изоляция приложений и разграничение прав

    А толку от этого, если любая уважающая себя ведрограмма запрашивает доступ на всё на свете, иначе отказывается работать.

     
     
  • 3.75, Dzen Python (ok), 09:00, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Открываешь для себя fdroid
    @
    Оказывается, что софт может работать с минимумом разрешений
     
     
  • 4.85, Аноним (52), 09:48, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Наивный чукотский мальчик, оказывается, что софт может НЕ работать с минимумом разрешений.
     

  • 1.68, iPony129412 (?), 07:13, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А так что вы хотите от проекта, где инструкцию на сайте поменять в два предложения - это целое дело, требующее серьёзного разбирательства: "а как же это? а кто этим занимается? как это сделать?".

    https://github.com/flatpak/flatpak.github.io/issues/450

     
  • 1.70, Аноним (70), 08:17, 25/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эта ссылка должна была быть в первом же комментарии про flatpak: http://flatkill.org/2020/

    NixOS и GNU Guix System - наше всё.

     
     
  • 2.74, Gnus (?), 08:55, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Guix был бы хорош, если они сделали как в NixOS, где можно указать опцию и у тебя есть non-free, а так приходится собирать самому ядро с доступом к firmware, без которых AMD карты - тыквы.
     
     
  • 3.93, Аноньимъ (ok), 14:24, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы можете гуикс на любой линукс установит.
    Ос же на основе гуикса называется GuixSD.
     
  • 3.94, Аноньимъ (ok), 14:26, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но я согласен что нужна нонфри версия. Ну или возможность это легко включить.
     
  • 2.77, Dzen Python (ok), 09:02, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Системы все так же отжирают собой все доступное место, спасая диск от юзерских файлов?
     
  • 2.83, iPony129412 (?), 09:43, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что то, что это — сплошная пионерия на палках и этом самом.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру