The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в подсистеме io_uring, приводящая к повышению привилегий

23.11.2022 18:57

В реализации интерфейса асинхронного ввода/вывода io_uring, входящего в ядро Linux начиная с выпуска 5.1, выявлена уязвимость (CVE-2022-3910), позволяющая непривилегированному пользователю выполнить код с привилегиями ядра. Проблема проявляется в выпусках 5.18 и 5.19, и устранена в ветке 6.0. Debian, RHEL и SUSE используются выпуски ядра до 5.18, в Fedora, Gentoo и Arch уже предлагают ядро 6.0. В Ubuntu 22.10 задействовано уязвимое ядро 5.19.

Уязвимость вызвана обращением к уже освобождённому блоку памяти (use-after-free) в подсистеме io_uring, связанному с некорректным обновлением счётчика ссылок - при вызове io_msg_ring() с фиксированным файлом (постоянно находящемся в кольцевом буфере) осуществляется вызов функции io_fput_file(), по ошибке уменьшающий счётчик ссылок.

  1. Главная ссылка к новости (https://access.redhat.com/secu...)
  2. OpenNews: Уязвимость в подсистеме io_uring ядра Linux, позволяющая повысить привилегии в системе
  3. OpenNews: Уязвимость в подсистеме io_uring ядра Linux, позволяющая получить права root из контейнера
  4. OpenNews: Применение асинхронной буферизированной записи на базе io_uring до 80 раз снизило задержки в XFS
  5. OpenNews: Уязвимость в подсистеме io_uring ядра Linux, позволяющая поднять свои привилегии
  6. OpenNews: Уязвимости в ядре Linux, затрагивающие реализации VSOCK, Futex и io_uring
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58181-io_uring
Ключевые слова: io_uring, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (76) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Шарп (ok), 19:07, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    >use-after-free

    Rust.

     
     
  • 2.2, Vlad (??), 19:09, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Статические анализаторы
     
     
  • 3.24, Шарп (ok), 21:21, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Окстись. Какие статические анализаторы? Это же сишка, в которой ехал void* через void* видит в касте void*-void*. Никакой статический анализ тут не поможет.
     
     
  • 4.28, Аноним (28), 21:41, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Индусам за void* (именно void) ещё руки не обрубают? Вот гугл хорошую стратегию внедряет: на основе рейтинга худшие 10 тыс. вебмакак будут уволены.
     
     
  • 5.40, Аноним (40), 23:27, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Они тебя даже не примут, чтобы потом уволить. Ну и конечно ты должен быть особым ССЗБ, чтобы уехать в гулаг на инженерную должность.
     
  • 5.62, eganru (?), 10:45, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Индусам за void* (именно void) ещё руки не обрубают? - у многих функций контракт предусматривает использование указателя на сырую память, в силу того, что на работу функции никак не влияет содержимое. Тот же memcpy, к примеру.

    По поводу не отрубают ли руки - их нанял эйчар, который заместо того чтобы выяснить уровень квалификации уточнял потратил лишний час на уточнение толерантны ли они к фрикам и педерастам.

     
     
  • 6.83, Аноним (83), 00:11, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > их нанял эйчар, который заместо того чтобы выяснить уровень квалификации уточнял потратил лишний час на уточнение толерантны ли они к фрикам и педерастам

    Казалось бы, такая халява — наплёл эйчару с три короба и стриги купоны на непыльной работёнке, левой пяткой пописывая CVE. Но эксперты с опеннета почему-то не осиливают даже это. То ли не всё так просто, то ли эксперты выходят тупее тех индусов.

     
  • 4.61, Anonymus (?), 09:51, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это так как работает ассемблер. В чем проблема?
     
     
  • 5.71, Троллейбус (?), 13:03, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А Раст выглядит как ассемблер.
     
  • 4.82, Аноним (-), 23:11, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Окстись. Какие статические анализаторы? Это же сишка, в которой ехал void* через
    > void* видит в касте void*-void*. Никакой статический анализ тут не поможет.

    Хочу посмотерть что ты будешь с ioctl делать. Не, удалить это тебе таки не дадут, софт сломается :)

     
  • 2.8, Аноним (8), 19:53, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поступает хитро. На самом деле не освобождает память, а делает вид. Поэтому use-after-free нет, но течёт. ;)
     
     
  • 3.15, Аноним (15), 20:22, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Симулирует освобождение памяти :)
     
     
  • 4.17, Аноним (28), 20:44, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Симулирует переполнение памяти и зависание.
     
  • 2.32, Аноним (32), 21:59, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как насчёт нет
     
  • 2.64, Аноним (64), 11:55, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Потом ещё после хруста учиться новые проблемы 20 лет солвить. Уж лучше бы голанге тащили
     
  • 2.69, Троллейбус (?), 12:38, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И чем panic() отказ в обслуживании лучше? А еще без unsafe как быть?
     
     
  • 3.75, Аноним (75), 19:16, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    проблема ловится ещё при тестировании, а не едет к пользователям
     

  • 1.3, Аноним (3), 19:12, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Какие значимые применения io_uring сегодня существуют или можно держать отключённым?
     
     
  • 2.5, НяшМяш (ok), 19:24, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    По-моему до сих пор ни один веб- или файловый сервер это не использует.
     
     
  • 3.95, uis (??), 13:52, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Nginx с самого начала
     
  • 2.10, Аноним (8), 19:55, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё с появления просто не успели применить.
     
     
  • 3.85, pin (??), 11:20, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    app-containers/lxc
    app-emulation/qemu
    sys-cluster/glusterfs
    sys-block/fio
    sys-apps/plocate
     
  • 2.13, Анонус (?), 20:05, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Например
    >Применение асинхронной буферизированной записи на базе io_uring до 80 раз снизило задержки в XFS
     
     
  • 3.18, Аноним (28), 20:45, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > задержки в XFS

    А если в других системах задержек нет, как в кособокой XFS?

     
     
  • 4.34, Аноним (83), 22:01, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То, что в xfs считают задержками в других системах называют штатным режимом работы.
     
  • 4.41, Аноним (-), 23:31, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А если в других системах задержек нет, как в кособокой XFS?

    А ты попробуй что-то типа энтерпрайзных NVMe - тогда поймешь что им не нравилось. Там скорости такие что оно упирается в оверхед ядра.

     
     
  • 5.54, Аноним (28), 05:02, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > энтерпрайзных NVMe

    я в курсе, что тут каждый второй таскал трансконтинентальный плуг.

     
     
  • 6.77, Аноним (-), 21:16, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно даже просто компильнуть ядро линукса, там и нагрузки проца и IO хватает. При том если тому NVME под стать и проц нормальный взять, типа новых амд, можно проникнуться перфомансом так то.
     
  • 4.63, Анонус (?), 11:39, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> задержки в XFS
    > А если в других системах задержек нет, как в кособокой XFS?

    Не бывает здоровых - бывают недообследованные.

     
  • 3.90, edo (ok), 22:53, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Применение асинхронной буферизированной записи на базе io_uring до 80 раз снизило задержки в XFS

    Это формулировка кривая, речь про ускорение приложений, использующих io_uring

     
  • 2.31, Аноним (31), 21:59, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Scylla вроде уже умеет работать через io_uring
     

  • 1.4, Аноним (4), 19:23, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > связанному с некорректным обновлением счётчика ссылок

    Срочно расскажите об этом тому дяденьке, который накатал опус про плохой Раст, пусть знает что сишечка — это ровно настолько же язык со сборщиком мусора, как Раст

     
     
  • 2.7, Ivan_83 (ok), 19:42, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Учитывая что это не первый и не второй баг в этом модуле то видимо там проблема с дизайном/архитектурой.
    Раст не поможет написать хороший код.
     
     
  • 3.22, пох. (?), 21:03, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Раст прекрасно поможет не написать плохого. Нет кода, нет проблемы.

    Те у кого проблемы с архитектурой а на деле в счетчике запутались - просто никогда не удовлетворят borrow checker и оно у них не соберется. А если соберется- безопастно упадет по panic и снова все в полном порядке и никому вреда от этого нет.

     
     
  • 4.46, yet another anonymous (?), 00:25, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Раст прекрасно поможет не написать плохого.

    Это врядли (C).

    > Нет кода, нет проблемы.

    Хотя, да, резонно.

    > Те у кого проблемы с архитектурой а на деле в счетчике запутались - просто никогда не удовлетворят borrow checker...

    Толпы индусов после прослушивания воодушевляющих курсов и не то забороть могут. Хотя что индусы --- тут вот шедевры от татарина мегабайтами сыпятся... Б...ь. Короче, _хипстерский код_ от эффективных, команндно-ориенированных социально раскрепощённых архитекторов/кодировщиков, нацеленных на результат --- НЕ ИМЕЕТ НАЦИОНАЛЬНОСТИ.

     
  • 3.91, edo (ok), 22:59, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Учитывая что это не первый и не второй баг в этом модуле
    > то видимо там проблема с дизайном/архитектурой.

    Идея-то хорошая, просто интеграция этого в существующее ядро — это тот ещё квест. Как и неймспейсы, например.

     
  • 2.11, Аноним (11), 19:55, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты так говоришь как будто раст в чём-то хорош.
     
     
  • 3.65, Аноним (64), 12:03, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пока единственная вменяемая утилита которая на нём нашлась - ripgrep... и то только потому что под фортки нужен был "нативный" единый бинарь
     
     
  • 4.89, Анонн (?), 17:03, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А как же resvg? Они собой заменила предыдущую либу (уже не помню какую, librsvg вроде бы)
     

  • 1.6, Аноним (6), 19:40, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > Уязвимость вызвана обращением к уже освобождённому блоку памяти (use-after-free)

    Проверки указателей замедляют программы! Что-то такое, видимо, думают программисты, пишущие на C :}

     
     
  • 2.14, Аноним (14), 20:11, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну, когда пишешь на любом языке, каждый if вызывает в душе вопрос, а нужен ли здесь этот if, и неважно, к чему он относится, к указателям или к "бизнес-логике". В высокоуровневых языках ты не имеешь контроля над указателями, ифы для них не пишешь и про них вообще не думаешь, за тебя уже подумали. А на си тебя заставляют думать над указателями, так что, вводя новый if, задаешься вопросом, а нужен ли он конкретно здесь, быть может конкретно здесь указатель уже подразумевается корректный и не-нулл? У меня всё, всем спасибо за внимание.
     
     
  • 3.26, YetAnotherOnanym (ok), 21:30, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Передвигаясь по пересечённой местности, смотреть и выбирать, куда наступаешь - это слишком сложно. Проще и быстрее зажмуриться и бежать так быстро, как только можно.
     
     
  • 4.78, Аноним (-), 21:18, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Видишь ли, в зависимости от ситуации иногда и так приходится. Если за тобой чешут несколько злобных, а может еще и вооруженных типов, ты врядли будешь наслаждаться пейзажами.
     
  • 4.80, Аноним (80), 22:08, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, проще на транспортном средстве с воздушной подушкой (раст) там проехать и вертеть головой, выискивая уже глубокие овраги, а не мелкие кочки и трещинки, где ты пешком рано или поздно ноги сломаешь, как бы ни смотрел и выбирал, куда наступаешь
     

  • 1.12, Аноним (12), 20:01, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В дебиан тестинг давно 6.0
     
  • 1.19, Аноним (28), 20:47, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Проблема проявляется в выпусках 5.18 и 5.19, и устранена в ветке 6.0

    А что, патчи для 5.* нельзя сделать по религиозным соображениям?

     
  • 1.20, Golangdev (?), 20:59, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Ubuntu

    Корень проблем, дистрибутив с пакетами, стабильно отстающими на 2-3 года.

    Используйте Fedora, там софт/ядро свежее.

     
  • 1.21, Аноним (21), 21:01, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    у меня в дебиане-9 еще 4.9, а в 11ом 5.10...

    вот что значит стабилен как скала!

     
     
  • 2.60, anonima (?), 09:03, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Версия KDE:  3.5.5
      Пользователь:  user
      Имя узла:  debian
      Система:  Linux
      Ядро:  2.6.18-6-vserver-686
      Процессор:  i686
      Используйте вкладку "Поиск", если вы не уверены, где именно искать нужный параметр.
     
  • 2.96, uis (??), 13:57, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Стабилен как Scala
     

  • 1.23, YetAnotherOnanym (ok), 21:20, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и что, что урина дырявая. Зато быстрая-пребыстрая.
     
  • 1.25, Аноним (25), 21:25, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Опять корпорастическая поделка отличилась.
    Все эти нужные 1.5 применениям счастья надо выкидывать в модули и по умолчанию делить на 0.
     
     
  • 2.42, Аноним (-), 23:32, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скоростной IO с низким оверхедом имеет чуть более 1.5 применений.
     
     
  • 3.55, Аноним (28), 05:05, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > чуть более 1.5 применений

    1.5(0)1
    Что такое "в периоде", наверно, тебе не надо объяснять?

     

  • 1.29, Аноним (29), 21:57, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Шутки шутками, а диды действительно более качественный код писали. БОльшая часть уязвимостей, в новостях последних месяцев, начинаются с версии ядра 5.*. Видимо студенты за чашку риса от корпораций писали.
     
     
  • 2.35, Аноним (83), 22:07, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Да это просто тысячи глаз дидов уже слепые все, пропускают написанное ненастоящими сишниками. Раньше-то о-го-го! Хотя нет, погодите, в сях use-after-free уже 50 лет ловят, всё никак не научатся.
     
     
  • 3.39, Аноним (29), 22:35, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Есть код - есть баги.
    Нет кода - нет багов.
     
     
  • 4.81, Аноним (80), 22:10, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    но баги-то разные и 70% из них можно было бы избежать
     
  • 2.52, Аноним (52), 03:45, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Диды пять тысяч строк юникса (для одной-единственной архитектуры) написали, тогда можно было распечатку вечером за чашечкой кофе изучить.
    Это плата за сложность.
     

  • 1.37, Вы забыли заполнить поле Name (?), 22:16, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Есть ощущение, что такие новости в последнее время специально пишутся, чтобы сформировать у неопытных нужное кому-то мнение про небезопасность сами знаете чего и замену его на сами знаете что, а там и вендор лок и прочие прелести.

    У кого-то есть реальная статистика изменения кол-ва уязвимостей в ядре за  
    Последнее время?

     
     
  • 2.38, Аноним (38), 22:26, 23/11/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Новости лишь отражают те баги, которые выявляют (по статистике Google 70% уязвимостей вызваны некорректной работой с памятью). Вы ещё скажите, что уязвимости в ядро специально добавляют чтобы дискредитировать Си.
     
     
  • 3.44, Вы забыли заполнить поле Name (?), 00:12, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Новости лишь отражают те баги, которые выявляют (по статистике Google 70% уязвимостей
    > вызваны некорректной работой с памятью). Вы ещё скажите, что уязвимости в
    > ядро специально добавляют чтобы дискредитировать Си.

    Уходишь от ответа, приводишь левую статистику. Давай статистику по кол-ву уязвимостей в ядре по времени.


     
     
  • 4.67, Аноним (64), 12:12, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Давай статистику по количеству уязвимостей в ядре на других языках на 100000 строк кода) А то как-то нечестно сравнивать то, что есть и отлично работает, с пшиком
     
  • 3.70, Троллейбус (?), 13:01, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У Гугла есть уже Го -- и он приятнее выглядит гораздо, чем Раст. А проверять параметры и буферы надо обязательно. И прочие знаковые и беззнаковые типы.
    Из-за семантики и синтаксиса Раста даже если не будет ошибок с памятью, то будут проблемы внимательности и опечаток, ошибок в условиях и операторах сравнения.
     
  • 2.45, yet another anonymous (?), 00:15, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > У кого-то есть реальная статистика изменения кол-ва уязвимостей в ядре за Последнее время?

    Не надо на это уповать: прикладная статистика --- это такая штука, что для ловли манипулятора нужны недюжинные знания и усилия.

     
  • 2.58, лютый ж.... (?), 08:00, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >У кого-то есть реальная статистика изменения кол-ва уязвимостей в ядре за Последнее время

    лень этим заниматься, но могу сказать что подавляющая часть недавних дырок (и в ядре и в openssl) неактуальна для например centos7 или oracle linux 8. не юзай убунту и всё будет гуд. а на десктопе пофиг, наоборот чем новее, тем лучше (void, arch, gentoo)

     
  • 2.84, Анонн (?), 10:53, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О, любители теории заговоров пожаловали.
    А может это растовики прокрались и н̶а̶д̶е̶л̶а̶л̶и̶ ̶с̶и̶ш̶н̶и̶к̶а̶м̶ ̶в̶ ̶ш̶т̶а̶н̶и̶ш̶к̶и̶  понаписывали багов в ядро?
     
     
  • 3.87, Троллейбус (?), 14:09, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если твое мировоззрение ограничено, это не значит, что ты все знаешь о мире так, как считаешь
     
  • 2.86, Аноним (86), 13:57, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Большинство  всплывающих последнее время дыр, как правило, касаются новомодных систем, добавленных относительно недавно, таких как BPF, nftables и io_uring. Плюс огромный пласт уязвимостей, которые раньше воспринимались как безобидные ошибки и могли быть эксплуатированы только root-ом, но после появления user namespace всё изменилось и для атаки теперь стало достаточно виртуального root в отдельном пространстве имён.

     
  • 2.88, Аноним (88), 14:35, 25/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А может просто нашелся смелый человек, который решил рассказать всем ПРАВДУ про эту багованную подстилку корпорастов?
    Про АНБ, которые туда напихивают туда бэкдоров использую д̶р̶е̶в̶н̶е̶е̶ ̶г̶о̶в̶н̶о̶ ̶м̶а̶м̶о̶н̶т̶а̶  божественный язык си, пользуясь тем, что всегда можно съехать "ну, это просто очередная бажина с памятью, таких у нас куча, расходитесь граждане, тут нет ничего интересного"?
    И хоть как-то пытается противостоять их пропаганде "Линух надежный! Разворачивай на своем серваке! s/Наши/Ваши/ данные будут в безопасности! Не нужна вам никакая BSD"
     
     
  • 3.92, Вы забыли заполнить поле Name (?), 02:59, 26/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Про АНБ, которые туда напихивают туда бэкдоров использую д̶р̶е̶в̶н̶е̶е̶ ̶г̶о̶в̶н̶о̶ ̶м̶а̶м̶о̶н̶т̶а̶  божественный язык си, пользуясь тем, что всегда можно съехать "ну, это просто очередная бажина с памятью, таких у нас куча, расходитесь граждане, тут нет ничего интересного"?

    АНБ (внезапно) С более не рекомендует: https://www.opennet.ru/opennews/art.shtml?num=58111 А вот язчок, который завязан на одного поставщика, генерит фиг пойми что - это ок. Гораздо ведь проще договориться с кем-то одним. А напихать бэкдор можно куда угодно.

     
     
  • 4.93, Аноним (88), 12:23, 26/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > АНБ (внезапно) С более не рекомендует

    Потому что это (внезапно) хитрый план. Посмотри какой "спор" был в той теме и сколько людей сказало "о, раз анб не рекомендует, то буду писать на своей сишечке до скончания времен!"
    А это не только не опеньке так. На реддите, хабре, даже в твиттере (какие-то неадекваты) написали что мол "это заявление доказательство что во всех рекомендуемых языках есть закладки!"
    И хитрый анбшник уже потирает свои ручонки "Пишите на сишечке, облегчайте мне работу".

    Ну-ну. Попробуй напихать бекдор в софт на хаскеле. Тебе на первом же ревью спросят "что за фигня?"
    А тут "просто забыл проверить на null, ну с кем не бывает, дело-то житейское..."

     
     
  • 5.94, Вы забыли заполнить поле Name (?), 04:07, 27/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Попробуй напихать бекдор в софт на хаскеле. Тебе на первом же ревью спросят "что за фигня?"

    Бэкдор будет в самом компиляторе.

     

  • 1.57, лютый ж.... (?), 07:57, 24/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интересно как там unbreakable оракель-линукс c 5.4, вляпался или на самом деле неломаха?
     
  • 1.76, Аноним (76), 19:51, 24/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ничего нового. Чем больше система, которая разрабатывается с помощью инструмента, безопасность которого зависит исключительно от человеческого фактора (квалификация, внимательность), тем больше zero-day дыр в каждой новой фиче. Сишка хороша для микроконтроллеров, выполняющих строго одну задачу, которую нужно впихнуть в драконовские ограничения по памяти. Но не для тридцатилетнего ядра циклопических размеров
     
     
  • 2.79, egan (?), 22:07, 24/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В микроконтроллерах тоже самое, что и везде - куча задач, потоков и.т.д. Только еще и с ресурсами плохо все.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру