Обнаружены несколько серьёзных уязвимостей в sudo-rs

Никогда такого не было, и вот опять!

system containing the username ../../../../bin/cp

О_О штааа?

которые пришлось включить в Ubuntu до того, как они прошли полноценное тестирование

Для этого во временный (Interim) релиз и включили.

Блин, и почему не смешно?

пришлось включить в Ubuntu до того, как они прошли полноценное тестирование

пришлось включить

пришлось

Им паяло в дырку засунули, что аж пришлось? Или так стремились хайпануть первее всех?

Обнаружены несколько серьёзных уязвимостей в Rust-клоне sudo

Зато эти Rust-клоны полностью безопасны с точки зрения управления памятью 😎

Это победа, товарищи. Ура!!!

которые пришлось включить в Ubuntu до того, как они прошли полноценное тестирование.

Я думаю их и включили для тестирования

А я всегда говорю что растаманство - это в первую очередь последствия того что дегенераты программисты которые не умеют ни хрена проектировать устали страдать от последствий своей криворукости и придумали себе костыль с жутким синтаксисом. Но дегенератами они от этого быть не перестали

Не, ну это нечестно! У обычного sudo было сколько лет на развитие, так что нужно просто столько же подождать, и всё будет чики пуки чик чирик!

Sudo was first conceived and implemented by Bob Coggeshall and Cliff Spencer around 1980 at the Department of Computer Science at SUNY/Buffalo.

А если уязвимости будут продолжать находить то там, то здесь, как в программах на любом другом языке, в общем?

Интересно, когда в «обычном» sudo добавили патч, чтобы при килле sudo в то время как юзер вводит пароль с фидбеком, очищались уже выведенные в терминал символы?

Что значит «если»? Ни один язык тебе не поможет, если ты просто не добавишь код для очистки поля ввода в случае получения сигнала на выход из программы.

какая разница на каком языке писать забагованные тулы? я ни разу не адвокат раста, но он здесь ни при чём.

К сожалению, причём. Есть раст как язык, но также есть раст как активизм. sudo-rs и его пропихивание это продукт второго.

Активизм это рак, который убивает довольно неплохой язык.

Активизм это рак, который убивает довольно неплохой язык.

Активизм есть для любых языков, фреймворков, ОС, платформ. Без активизма и Linux в своё время не взлетел бы. Достаточно вспомнить, какие баталии шли в 90-е, что «Linux - говно, вообще не сравнится по возможностям с Windows», и т.д. и т.п.

Или вот, парадокс, который не раз замечаю на ЛОР. Java - искусственно созданный корпоратами язык для дрессировки корпоративных рабов. В своё время, совершенно не скрывалось ни назначение языка, ни что он продвигается сверху за сумасшедшие вливания бабла, подкупаются инфлюэнсеры, все журналы (тогда это был основной источник информации) были забиты явной и неявной рекламой жабы. Тем не менее, на ЛОР жабу нежно и страстно любят, и будут до потери пульса спорить со всеми, кто жабу не любит и не уважает.

Кстати, Java тоже продвигалась в своё время как «надёжный язык, в котором не может быть ошибок». И что, есть теперь тонны хейта каждый раз, когда находят уязвимость в Java приложении или библиотеке (а их хватает)?

Просто у некоторых людей есть почему-то идиосинкразическая непереносимость Rust, и они очень громкие.

При правильном проектировании таких вот простых программ типа sudo с использованием с++, без экстремизма в плане программирования потому что есть особенности всё-таки у языка. Так вот обосраться очень сложно.

Я за свою жизнь видел всего два случая когда программу проектировали. Причём в одном случае это был я кто участвовал в проектировании программы. И всё равно обосрали идею потому что решили за меня что знают лучше и применят ООП. Вторым случаем была компания AMD.

Или вот, парадокс, который не раз замечаю на ЛОР. Java - искусственно созданный корпоратами язык для дрессировки корпоративных рабов. В своё время, совершенно не скрывалось ни назначение языка, ни что он продвигается сверху за сумасшедшие вливания бабла, подкупаются инфлюэнсеры, все журналы (тогда это был основной источник информации) были забиты явной и неявной рекламой жабы. Тем не менее, на ЛОР жабу нежно и страстно любят, и будут до потери пульса спорить со всеми, кто жабу не любит и не уважает.

Не замечал где её любят. Я ненавижу Java, наверное это даже хуже чем раст. Вот только Java давно не обсуждают и не продвигают, так что глаза не мозолит в новостях.

убунтодятлы как не могли в программирование, так и не могут, а виноват конечно же хруст

Не замечал где её любят. Я ненавижу Java, наверное это даже хуже чем раст. Вот только Java давно не обсуждают и не продвигают, так что глаза не мозолит в новостях.

Так это потому что она устарела и уже legacy. Кроме банков, и то не всех, никто уже не начинает новые проекты на Java.

Однако, если сказать это на ЛОРе, сразу придут в тред убеждать, что это не так, и что Java живее всех живых.

Однако, если сказать это на ЛОРе, сразу придут в тред убеждать, что это не так, и что Java живее всех живых.

Я сказал, пока никто не пришел. И вообще не замечал тут защитников Java. Но я лишь периодически захожу, за всеми темами не слежу.

В принципе, использование линуксов для обучения макак программированию не является чем-то новым и непривычным. Ну хорошо, убунта - тестовый полигон растаманов, подумаешь.

Когда жабу пердолили везде где только можно, она тормозила. Как только она перестала тормозить безбожно оказалось что ей можно пользоваться и так.

нормальный синтаксис, но да готовый код на rust (что мне попадался) качеством никогда не отличался, мои измышления: что то привлекает идотов-энтузиазистов (очень плодотворных) к разработке на нём.

Это разработчики с нейросетями так гнались за новыми трендами, что в их продукте чуть ли ни каждую неделю находят уязвимости, или это хейтеры-хакеры нарочно сверхурочно долбят их продукт, чтобы эти самые уязвимости найти? Если это хакеры, то так держать, товарищи! 😎

Обнаружены несколько серьёзных уязвимостей в sudo-rs

Архитектура x86 + технологии разработки (подумайте почему всегда можно создать эксплойт, …) всегда будут иметь «дыры».
Эти две темы хорошо бы обсудить в отдельных тредах.

с жутким синтаксисом

Ну Rust и C это как Kotlin и Java. И в ржавом, и на острове синтаксис перебрали знатно, но всë ещё заявляется, что он си-подобный. Я бы так не сказал.

Только вот Kotlin – это всë же хорошая вещь, насколько мне известно. Во всяком случае Android-приложения на нëм писать быстрее, чем на Java. И он с Java совместим, что, я считаю, тоже плюс.

Однако, если сказать это на ЛОРе, сразу придут в тред убеждать, что это не так, и что Java живее всех живых.

Ныне это вовсе не принципиально, а скорее субъективно.

Эти две темы хорошо бы обсудить в отдельных тредах.

Небольшой пример.
На сайте о 1С решил удалить некоторые свои посты.
Посмотрел исходники движка, который использовал сайт и через пятнацать минут удалил посты.

Java так и тормозит и жрёт ресурсы, если запустить на ней хоть что-то серьёзное. И сравнить с нативным кодом.

Но появился Питон, который по производительности еще хуже Java. Так что есть с чем сравнить. JIT там появился лишь недавно.

Казалось, что хуже Питона уже ничего быть не может, но тут появились приложения на Электроне.

Чем мощнее становятся компьютеры - тем глупее программисты. И языки появляются прямо под них, которые компенсируют человеческую глупость за счёт повышенного потребления ресурсов.

Чем мощнее становятся компьютеры - тем глупее программисты. И языки появляются прямо под них, которые компенсируют человеческую глупость за счёт повышенного потребления ресурсов.

Гм., может быть я и не прав, но производителям компьютеров тоже «кушать хочется и весьма сытно».

Пошучу

Это основная причина почему ныне в свободном доступе движки ИИ.

Я что-то упустил, кажется. Напомни, когда переписывали судо на жаве и пихали его в дефолтный дистр?

Активизм в данном случае - это бессмысленное переписывание того, что работает десятилетиями уже, под лозунгом «memory-safe».

Кстати, на Раст я сначала смотрел с надеждой, что наконец-то люди стали делать новые языки с компиляцией в нативный код. Обещали похожий на Си синтаксис. Но потом оказалось, что разработчики привлекают в сообщество меньшинства, дабы кормиться на популярной на западе повестке. Синтаксис оказался не особо похож на Си. Далее появились «переписыватели» всего на Раст, и тогда я окончательно возненавидел этот язык.

Далее появились «переписыватели» всего на Раст, и тогда я окончательно возненавидел этот язык.

А вот это лишнее.
Rust конечно все проблемы не устранит, но главное что «дым хоть в костре появился» … (в хорошем понимании сказанного).

Синтаксис оказался не особо похож на Си.

Синтаксис, конечно, это самое важное в языке программирования.

Я бы даже сказал архитектура фон Неймана.

Синтаксис, конечно, это самое важное в языке программирования.

Не знаю с сарказмом это сказано или нет. Но если они хотели переманить побольше тех, кто пишет на С/C++/Java/Go, то надо было делать максимально похожий синтаксис.

Кстати, на Раст я сначала смотрел с надеждой, что наконец-то люди стали делать новые языки с компиляцией в нативный код.

Ныне Intel и AMD согласовали между собой набор команд, позволяющих аппаратно отслеживать недопутимый доступ за границы массивов, …
После этого скорее всего хайп на Rust уйдёт в небытие,

Блин, и почему не смешно?

Да очень даже смешно.

А решето то оказалось ржавым. ;)

Ныне Intel и AMD согласовали между собой набор команд, позволяющих аппаратно отслеживать недопутимый доступ за границы массивов, …

Кстати хорошо заработают.
Впрочем «богатые то же плачут» (да и крокодилы).

Ныне Intel и AMD согласовали между собой набор команд, позволяющих аппаратно отслеживать недопутимый доступ за границы массивов,

Решающие проблему выхода за границы массивов (которая есть только в си, но не в других языках), но не решающие проблему безопасности памяти вообще.

После этого скорее всего хайп на Rust уйдёт в небытие

Ну да, как только Intel и AMD согласуют между собой набор команд, позволяющих аппаратно отслеживать, что ты не пользуешься одной переменной из разных потоков без синхронизации. Что ты проверяешь ошибку, которую вернула функция. Что ты не вызываешь два раза функцию, которую нельзя вызывать больше одного раза. Много ещё инструкций надо, одной проверкой индекса в массиве не обойтись.

Много ещё инструкций надо, одной проверкой индекса в массиве не обойтись.

Не знаю как ныне, а ранее не раз встречал статьи об аппаратной реализации ЯП …

Решающие проблему выхода за границы массивов (которая есть только в си, но не в других языках), но не решающие проблему безопасности памяти вообще.

Как сказать.
Дурака то победить никто не сможет …

Ныне Intel и AMD согласовали между собой набор команд, позволяющих аппаратно отслеживать недопутимый доступ за границы массивов, … После этого скорее всего хайп на Rust уйдёт в небытие,

Когда-то Intel делали процессор с такими фичами, iAPX 432, но он не взлетел, оказался слишком сложным для тех времён.

В ARM и RISC-V тоже хотят сделать что-то подобное.

В архитектуре Эльбруса это давно есть.

Между прочим еще в 8086 была команда BOUND, для проверки границ массивов. Но её так и не стали использовать.

Не знаю как ныне, а ранее не раз встречал статьи об аппаратной реализации ЯП …

Когда-то давно процессоры так и разрабатывали под конкретные языки. Но ведь и не так давно в ARM было недокументированное расширение Jazelle, что аппаратно выполняло Java байткод, по несколько тактов на байткод, медленнее нативного кода. Не все байткоды поддерживались, передавало управление нативному коду что эмулировал неподдерживаемые байткоды. А Apple добавили в свои ARM чипы инструкцию FJCVTZS для ускорения JavaScript.

Я что-то упустил, кажется. Напомни, когда переписывали судо на жаве и пихали его в дефолтный дистр?

Переписывать может и не пытались переписывать… Хотя, скорее всего пытались, просто за давностью лет уже не помню. Писать всё на Java - пытались. Даже операционные системы пытались делать, Java CPU тоже пытались делать. А уж весь новый софт в какой-то период времени писался на Java.

Я помню эти серые квадратно-гнездовые поделия, в которых между нажатием любого элемента GUI, и реакцией на нажатие, проходили сотни миллисекунд, а то и секунды. В какой-то период (конец 90-х, начало 2000-х) они были повсюду. Electron на их фоне выглядит системой реального времени с минимальными требованиями к системным ресурсам.

Активизм в данном случае - это бессмысленное переписывание того, что работает десятилетиями уже, под лозунгом «memory-safe».

То же самое можно было сказать и про Linux в своё время. «Да зачем он нужен, есть Solaris, HPUX, Irix, и великолепный Windows, которые закрывают все потребности и делают это в 1000 раз лучше!»

Java так и тормозит и жрёт ресурсы, если запустить на ней хоть что-то серьёзное. И сравнить с нативным кодом.

На Java запущен LOR. Жалоб на тормоза я не слышал. Даже наоборот, сайт, по сравнению с очень многими другими, работает быстро.

Но появился Питон, который по производительности еще хуже Java.

Хронологически Питон появился на несколько лет раньше Java.

Я это к тому, что языками программирования надо ещё уметь пользоваться. GUI на Java реально был тормозной, но она и не для этого была придумана и были какие-то приёмы написания быстрого GUI. Не спец по земноводному, толком уже не помню.

То же самое можно было сказать и про Linux в своё время. «Да зачем он нужен, есть Solaris, HPUX, Irix, и великолепный Windows, которые закрывают все потребности и делают это в 1000 раз лучше!»

Так нельзя было сказать, потому что, как минимум Linux был лучше из-за лицензии, стабильнее винды (не NT-линейки, да и NT тоже) и некоторые другие фишки имелись.

ак нельзя было сказать, потому что, как минимум Linux был лучше из-за лицензии,

Пошучу

Так и винда бесплатная.
Отключаешь пару сервисов и она даже не жалуется, что мол винда не лецинзионная.