- Таки работает схема с тысячей глаз , Аноним (2), 12:57 , 30-Мрт-24 (2) +69 [^]
Таки работает схема с тысячей глаз!
- Скрыто модератором, Oe (?), 13:03 , 30-Мрт-24 (12) –74 [---]
- Скрыто модератором, Аноним (14), 13:06 , 30-Мрт-24 (14)
- Скрыто модератором, Аноним (16), 13:09 , 30-Мрт-24 (15) +6 [^]
- Скрыто модератором, Аноним (26), 13:38 , 30-Мрт-24 (26) +16 [^]
- Скрыто модератором, Аноним (82), 16:07 , 30-Мрт-24 (82) –1 [---]
- Объясните, а что даст взломщику локальный рут у простого пользователя Файлы и т, microcoder (ok), 01:04 , 31-Мрт-24 (170) +1
- Ага, покажите мне эти 171 тысячи способов получить рут 187 , у меня тут как р, вымя (?), 14:01 , 30-Мрт-24 (41) +9 [^]
- Анализировали коды обоих Результаты представьте , Аноним (112), 17:44 , 30-Мрт-24 (112) +8 [^]
- а как винде получить рут , Аноним (127), 19:27 , 30-Мрт-24 (127) +1
- А винде фурифокс прям изолирован , Аноним (142), 20:14 , 30-Мрт-24 (142) +3
- Напиши свой репозиторий за бесплатно Я тебе даже помогу 8212 имя придумаю П, Аноним (154), 21:00 , 30-Мрт-24 (154)
- В винде все просто работают из под рута Даже получать ничего не надо Удобно , Легивон (?), 08:14 , 31-Мрт-24 (192)
- Ты наивное дитя на поводу у зла 8230 Отсутствие изкоробочного root-а 8212 эт, AlexYeCu (ok), 09:36 , 31-Мрт-24 (196)
- Не работает Просто хакеры зевнули , Аноним (26), 13:39 , 30-Мрт-24 (27)
- Только в МС надо стукнуть чтобы посмотрели,а так да , сщта (?), 13:51 , 30-Мрт-24 (36) +4
- Где же она работает Тыщщи глаз два года ничего не замечали Потом пришел профи и, Анонин (-), 15:04 , 30-Мрт-24 (65) –3
- не совсем так, месяц продержалось, в основном или на мелких дистрибутивах, котор, Всем Анонимам Аноним (?), 16:42 , 30-Мрт-24 (95) +1
- А кто, по вашему, пишет опенсорс Домохозяйки Вот эти самые профи из Майкрософ, Hashnames (?), 19:16 , 30-Мрт-24 (123) +9 [^]
- с пауками чтоль , майнеймис (?), 19:15 , 30-Мрт-24 (122) –1
- Так будет иск или расследование с открытием дела , pic (?), 12:58 , 30-Мрт-24 (3) +2
Так будет иск или расследование с открытием дела?
- Расследование уже началось Дело будет, если найдут подозреваемого Судя по всему, Аноним (16), 13:01 , 30-Мрт-24 (8) –1
- Proof https www cisa gov news-events alerts 2024 03 29 reported-supply-chain-, Аноним (16), 13:46 , 30-Мрт-24 (34)
- Вот кто-то подумает, что во всем опять VPN виновен Архив релиза, говорят, был по, Аноним (47), 14:16 , 30-Мрт-24 (47) +11 [^]
- Ну вот, траванули разраба, а он передал управление проектом непонятно кому Где к, Аноним (47), 14:24 , 30-Мрт-24 (50) +4
- На самом деле просто ключами PGP разработчики пользоваться не умеют в своей масс, timur.davletshin (ok), 15:11 , 30-Мрт-24 (70) +1
- Лет 5 назад лично проводил исследование применение OpenPGP для подписи пакетов В, Аноним (47), 15:22 , 30-Мрт-24 (73) +1
- Разработчики хм Вот к примеру раздают LibreOffice, сам пакет и подпись asc к н, Аноним (76), 15:34 , 30-Мрт-24 (76)
- Кто пользует то что на работе работает , Аноним (136), 19:49 , 30-Мрт-24 (136)
- У меня zip, все работает не просто отлично, а шикарно Пользователи виндоус кста, Oe (?), 12:59 , 30-Мрт-24 (4) –37 [VVV]
У меня zip, все работает не просто отлично, а шикарно. Пользователи виндоус кстати тоже это подтверждают. Продолжайте использовать name.zm.tg.jh.qu.md *овнорхивы в 2024.
- Кинул в Федору предложение https pagure io fesco issue 3185Может, соберутся и, Аноним (16), 12:59 , 30-Мрт-24 (5) –5 [V]
Кинул в Федору предложение: https://pagure.io/fesco/issue/3185Может, соберутся и реализуют, но надежды примерно 0.00001%, а по факту, скорее всего, скажут: "Не туда написал, ищи тех и тех, закрываем, и вообще не к нам". На opennet не хочу больше писать под собой, из-за лютой ярой ненависти и фанатизма.
- Andres Freund, залогиньтесь , Аноним (39), 13:58 , 30-Мрт-24 (39) +2
- Хорошее предложение , Rev (?), 14:22 , 30-Мрт-24 (49)
- С одной стороны выглядит назревшим и необходимым С другой - это ж дораспугает в, аннаним (?), 15:05 , 30-Мрт-24 (66) –1
- Можно было бы помягче написать Троллить каждый может и советовать Проблема не , Всем Анонимам Аноним (?), 16:46 , 30-Мрт-24 (98)
- Так Fedora тебя тоже кинет , Аноним (141), 16:50 , 30-Мрт-24 (100)
- Разрабы Fedora сказали, что это предложение anti-freedom , при этом ничего не у, Аноним (169), 23:51 , 30-Мрт-24 (169) –1
- Скрыто модератором, Карлос Сношайтилис (ok), 13:00 , 30-Мрт-24 (6) +4 [---]
Пацан[ы] к успеху шли, но Andres Freund всё испортил.Сразу предлагаю конспирологическую теорию в стиле opennet: на самом деле, бэкдор был внедрён в проект самой компанией MS, но сотрудник, отвечающий за эту операцию вышел из под контроля, поэтому пришлось инфу слить.
- Майкрософт как обычно приходит и спасает положение, Аноним (7), 13:00 , 30-Мрт-24 (7) +11 [^]
Майкрософт как обычно приходит и спасает положение
- Ну, по крайней мере тезис про тысячу глаз работает , Vf (?), 13:01 , 30-Мрт-24 (9) +5
Ну, по крайней мере тезис про тысячу глаз работает.
- Это, кажется, требует личной встречи с участниками проекта для удостверения публ, Аноним (13), 13:04 , 30-Мрт-24 (13) –1
>17 марта Hans Jansen, разработавший ранее патчи с поддержкой IFUNC, был зарегистрирован в качестве участника проекта DebianЭто, кажется, требует личной встречи с участниками проекта для удостверения публичных ключей, должен быть предоставлен выданный государством ID-документ.
- Опять дебианчик со своими патчами Когда уже им по рукам надавают, чтобы переста, Шарп (ok), 13:10 , 30-Мрт-24 (17)
>openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.Опять дебианчик со своими патчами. Когда уже им по рукам надавают, чтобы перестали лезть в чужой софт.
- Изначальный автор xz-utils вообще ушел давно из проекта по состоянию здоровья Т, Аноним (7), 13:14 , 30-Мрт-24 (18) +7 [^]
Изначальный автор xz-utils вообще ушел давно из проекта по состоянию здоровья. Теперь вот эти мутные типы с полным доступом, которых вообще не существует походу, делают релизы с бэкдором. Да тут весь xz проект скомпрометирован.
- А в винде есть zlib Хочу протроянить винду Или другой BSD лицензированный паке, kusb (?), 13:26 , 30-Мрт-24 (22)
А в винде есть zlib? Хочу протроянить винду. (Или другой BSD лицензированный пакет, который может быть в винде) В XP были зип папки. Стоп, я же с десятки пишу, можно проверить...
- Вот что CoC животворящий делает , Аноним (141), 13:32 , 30-Мрт-24 (25) +1
>Jigar Kumar в апреле 2022 года способствовал принятию в xz ранних патчей Jia Tan c реализацией поддержки строковых фильтров и оказывал моральное давление на Lasse Collin, тогдашнего сопровождающего, критикуя, что он не способен выполнять свои обязанности и не принимает полезные патчи. В июне Lasse Collin согласился, что проекту нужен новый сопровождающий, посетовал на выгорание и проблемы с психическим здоровьем, и передал право мэйнтейнера Jia Tan.Вот что CoC животворящий делает!
- Сам напросился и пролез Всего лишь А теперь представьте, что там может натвори, AKTEON (?), 13:41 , 30-Мрт-24 (29) +1
Сам напросился и пролез. Всего лишь. А теперь представьте, что там может натворить скромная уругвайская разведка с трешником на подкуп президента ...
- Скрыто модератором, Аноним (39), 14:03 , 30-Мрт-24 (44) +1 [---]
- Я ведь уже блин писал в сети как работает разведка, спецслужбы етк Берётся отпра, robot228 (?), 20:25 , 30-Мрт-24 (146) +2
- Это скорее всего она и есть, Отражение луны (ok), 23:42 , 30-Мрт-24 (167)
- Всё-таки надо подтверждать личности разработчиков и мэинтейнеров , Rev (?), 14:25 , 30-Мрт-24 (53) –2
> В организации продвижения бэкдора также замечены ещё два участника - Jigar Kumar и Hans Jansen, которые, судя по всему, являются виртуальными персонажами.Всё-таки надо подтверждать личности разработчиков и мэинтейнеров.
- Максим Fedora 40 не была подвержена уязвимости, слава те, господи Я чуть не обо , birdie (ok), 14:32 , 30-Мрт-24 (58)
- И опять microsoft за день сделала для опенсорса больше чем все любители вместе в, Аноним (59), 14:32 , 30-Мрт-24 (59) +1
И опять microsoft за день сделала для опенсорса больше чем все любители вместе взятые.
- И всё равно они зло , birdie (ok), 14:59 , 30-Мрт-24 (62) –1
- Ты имеешь в виду, что МС и внедрила Не исключено Сначала внедряем малварь в по, Аноним (78), 15:02 , 30-Мрт-24 (64) +3
- а причем тут ms работник из ms нашел уязвимость , капитошка2 (?), 22:20 , 30-Мрт-24 (161) +1
- Никогда такого не было, и вот опять , aname (?), 02:33 , 31-Мрт-24 (177)
- Ох и ржачная история Чел с 2022 года, как истинный стратег, шаг за шагом реализ, Аноним (60), 14:38 , 30-Мрт-24 (60) +3
Ох и ржачная история. Чел с 2022 года, как истинный стратег, шаг за шагом реализовал свой темный коварный план на протяжении двух лет - чтобы потом за месяц его раскусили. У него по ходу не все в порядке с головой.Ей богу, даже не верится, что это не какой-то нелепый анекдот.
- Причём здесь человек, это вполне может быть какая-нибудь трёхбуквенная контора , Аноним (67), 15:09 , 30-Мрт-24 (67) +1
- Самое интересное, что он не один такой Другие, пока что не вскрыли свои карты , Слава Линуксу (?), 15:49 , 30-Мрт-24 (79) +1
- На самом деле нет Это как в фильмах про вычурные планы ограбления банка - все п, Kuromi (ok), 16:11 , 30-Мрт-24 (83) +3
- Если чувак на зарплате в чем проблема Заплатишь 100к бачинских чуваку за внедре, Аноним (115), 18:26 , 30-Мрт-24 (115)
- Погоди, хакеры интернетные спустя 40 лет только учиться начинаютhttps www open, robot228 (?), 20:28 , 30-Мрт-24 (147)
- Судя по имени - китайса С другой стороны, это имя тоже ничего не значит, но вне, Kuromi (ok), 16:06 , 30-Мрт-24 (81)
Судя по имени - китайса? С другой стороны, это имя тоже ничего не значит, но внедреж впечатляющий.
- Китайцам доверять - себя не уважать И так во всем, от договоров до их поделок, , Аноним (93), 16:40 , 30-Мрт-24 (93)
- Уверены,что это имя реального человека , Аноним (101), 16:53 , 30-Мрт-24 (101) +1
- Судя по идиотизму истории, можно сделать вывод что этим занималась бюрократия ил, Аноним (-), 18:18 , 30-Мрт-24 (114) –6 [V]
- туда нормальному человеку вообще не попасть, в Debian, даже если ты захочешь им , Всем Анонимам Аноним (?), 16:29 , 30-Мрт-24 (89) +5
> был зарегистрирован в качестве участника проекта Debianтуда нормальному человеку вообще не попасть, в Debian, даже если ты захочешь им помочь чем-то
- Заявление от Лассе Коллина, основного разработчика xz https tukaani org xz-ba, Аноним (92), 16:38 , 30-Мрт-24 (92)
- Если после этого везде выпилят xz, то как тогда работать с архивами tar xz , Аноним (101), 16:45 , 30-Мрт-24 (97)
Если после этого везде выпилят xz, то как тогда работать с архивами tar.xz?
- FAQ on the xz-utils backdoor 129761 https gist github com thesamesam 223949d5, Hamanit (ok), 17:00 , 30-Мрт-24 (104) +1
- Ну вот тут - нашли А интересно, в скольких случаях - не нашли , Аноним (105), 17:06 , 30-Мрт-24 (105)
Ну вот тут - нашли. А интересно, в скольких случаях - не нашли?
- В ядре шинды и мака пока что ничего не нашли , Аноним (130), 19:31 , 30-Мрт-24 (130)
- Потому что заобскьюрено , Аноним (141), 20:24 , 30-Мрт-24 (145)
- Ну то есть в одном случае нашли и в двух не нашли Ну тогда свободное по явно в , Аноним (186), 05:55 , 31-Мрт-24 (186)
- Так там еще только 100 строчек кода на Расте, просто не успели внедрить , Аноним (224), 17:36 , 31-Мрт-24 (224)
- Linux, Windows, а про Android забыли В этой стране официальный маркетплейс Goog, Аноним (106), 17:07 , 30-Мрт-24 (106) –1
Linux, Windows, а про Android забыли. В этой стране официальный маркетплейс Google.Play банит российский софт, пользователи вынуждены ставить софт из недостоверных источников. Ставят блобы, предоставляют полный доступ. Такая беспечность не только может привести к порче данных и железа, но может симулировать противозаконную деятельность пользователя, что чревато уголовкой.
- История поучительная, но совсем не эпичная И внедряли маскировали дырочку кривов, люблю Стекляные бусы (?), 18:44 , 30-Мрт-24 (116) +3
История поучительная, но совсем не эпичная. И внедряли/маскировали дырочку кривовато и слабовато (даже без модного нонче sleep obfuscation), и нашли быстро.Занятно будет, когда подобные патчи будут найдены в каком-нибудь открытом ядре RISC-V. Хотя, при правильном подходе, шанс обнаружить стремится к нулю - сильно меньше народу реально понимающего как их можно поиметь. А если учесть ходы через последующую смену полярности примеси, то на уровне открытой/доступной (видимой через коммиты и т.п.) шансов обнаружить закладку примерно нет. Короче, жду... но видимо еще года три.
- Когда уже человечишки перестанут писать фичи ради кипиша Большинство пакетов мо, pelmaniac (?), 19:01 , 30-Мрт-24 (120) +1
Когда уже человечишки перестанут писать фичи ради кипиша? Большинство пакетов можно спокойно замораживать, в ядре обновлять только дрова. Ну файлуху путнюю одну дополировать. И будет всем щастье...
- Все носятся как ошпаренные с Jia Tan и xz-5 6 0, 5 6 1 Using systemd on publicl, Аноним (121), 19:12 , 30-Мрт-24 (121) +2
Все носятся как ошпаренные с Jia Tan и xz-5.6.0, 5.6.1 (Using systemd on publicly accessible ssh: update RIGHT NOW NOW NOW) Но ни кто не бросает камни в Debian, которым пришло в голову пропатчить критический сервис удаленного доступа openssh для привязки его к systemd. И ради чего? Непатченый openssh замечательно стартует из systemd [Service] Type=simple Дык нет! Подавай им Type=notify
- При чем тут Дебиан если все так же сделали И генту и арч и даже Федора роухайд , Аноним (130), 19:29 , 30-Мрт-24 (128) –2
- Содержимое deb, rpm пакетов запаковано lzma GCC использует lzma для сжатия отлад, Алексей (??), 21:49 , 30-Мрт-24 (160) –2
- Да, тоже удивило Либо этому факту 0 внимания, либо ыыыааа снова systemd Проце, Аноним (235), 21:06 , 31-Мрт-24 (235) +1
- На Пенни Сейчас мир больших облаков и HDD, чего мелочиться как детям , Аноним (136), 20:01 , 30-Мрт-24 (138)
> Ну да, только даже gzip сжимает лучше.На Пенни. Сейчас мир больших облаков и HDD, чего мелочиться как детям.
- Вот что выходит когда пренебрегают безопасным языком, который умеет безопасно ра, Аноним (144), 20:22 , 30-Мрт-24 (144) +1
Вот что выходит когда пренебрегают безопасным языком, который умеет безопасно работать с памятью.
- Уровень эпичности всей этой истории - 98 Операция длилась два года и такой про, Аноним (-), 21:14 , 30-Мрт-24 (155) +1
Уровень эпичности всей этой истории - 98%. Операция длилась два года и такой провал и все из-за того что какой-то Andres Freund не в свое дело полез. Представляю как наверное обидно. История с внедрением бэкдора началась в 2022-м. Предствляю как сейчас в каком-нибудь институте ребят успокаивают, ничего, в следующий раз лучше получится.
- Санта Барбара Садить надо за такое, найти и посадить, чтобы неповадно было , Аноним (159), 21:36 , 30-Мрт-24 (159)
Санта Барбара. Садить надо за такое, найти и посадить, чтобы неповадно было.
- Кстати говоря, закачал сейчас последний veracrypt на debian testnig Вылет на л, AKTEON (?), 23:20 , 30-Мрт-24 (163)
Кстати говоря, закачал сейчас последний veracrypt на debian testnig . Вылет на линковке (process:43033): GLib-GObject-CRITICAL **: 23:18:02.881: g_object_get: assertion 'G_IS_OBJECT (object)' failed free(): invalid pointer Aborted (core dumped) make[1]: *** [Main.make:165: veracrypt] Error 1 make: *** [Makefile:529: all] Error 2У меня закрадываются подозрения ... Если там падает сам линкер ....
- Подозрения, что ты скачал файлы собранные под другой дистрибутив , Аноним (78), 23:34 , 30-Мрт-24 (165)
- Проблема в wxWidgets, решение там приведеноhttps github com veracrypt VeraCryp, Аноним (171), 01:48 , 31-Мрт-24 (171)
- Бросайте этот veracrypt, заместо него есть LUKS Или хочется GUI и еще один вект, Аноним (181), 02:52 , 31-Мрт-24 (181)
- 1 Ни GNU ld binutils , ни lld llvm НЕ используют glib 2 Если падает компоно, Алексей (??), 09:57 , 01-Апр-24 (250)
- Некоторые пакеты статически линкуют libunwind и статическая libunwind требует ст, Аноним (78), 23:34 , 30-Мрт-24 (164)
Некоторые пакеты статически линкуют libunwind и статическая libunwind требует статические файлы xz-utils. У меня ощущение, что планы были большие, спешка обернулась провалом. Есть причины нервничать?
- Скрыто модератором, Аноним (198), 02:33 , 31-Мрт-24 (178) [---]
Никогда не было в сертифицированных астре, альте и росе (нет).
- Вот дурень, сперва надо было получить все награды от гугла, а потом палиться , Аноним (198), 02:46 , 31-Мрт-24 (180) +1
Вот дурень, сперва надо было получить все награды от гугла, а потом палиться.
- Альт неуязвим , Аноним (-), 08:35 , 31-Мрт-24 (194) +1
- Технично Социальная инженерия для смены сопровождающего Исправление бага через, mustai (ok), 15:01 , 31-Мрт-24 (209)
Технично. Социальная инженерия для смены сопровождающего. Исправление бага через создание вредоносной функции. Отключение проверки функции под предлогом, что проверка её ломает.
- Чтобы избавиться от бэкдора достаточно вернуть xz-5 4 , Аноним (101), 15:05 , 31-Мрт-24 (210)
Чтобы избавиться от бэкдора достаточно вернуть xz-5.4?
- Оказывается выгорание очень опасно У меня сначало было выгорание на неделю, пот, Аноним (217), 16:58 , 31-Мрт-24 (217)
> В июне Lasse Collin согласился, что проекту нужен новый сопровождающий, посетовал на выгорание и проблемы с психическим здоровьем ...Оказывается выгорание очень опасно. У меня сначало было выгорание на неделю, потом на две, потом я восстанавливался месяц, потом два, три. Потом не мог восстановиться год. Недавно мне досталась по работе очень сложная задача с контейнерами под винду. Месяц я возился. Потом полтора месяца отдыхал. А потом началось, свист в ушах, головокружение. Это длилось неделю, потом я узнал, что нужно пить таблетки циннаризин. Вот уже месяц на таблетках, вроде как нужно пить полгода. Вот такие дела. Осторожнее с выгоранием.
- Хорошо что вообще обнаружили, причем благодаря случайности А сколько таких же с, Аноним (224), 18:58 , 31-Мрт-24 (232) +1
Хорошо что вообще обнаружили, причем благодаря случайности. А сколько таких же спящих бэкдоров дожидается своего времени например в репозитории cargo? Все же невозможно проверить.
- Сильно намудрил он с бекдором Если бы процесс сборки и производительность не да, Аноним (238), 23:01 , 31-Мрт-24 (238) +1
Сильно намудрил он с бекдором. Если бы процесс сборки и производительность не давали сбоев, никто бы не полез ковырять исходники и в теории можно было бы пропихнуть это дело в стабильные релизы дистров. А так всего пара мамкиных линуксойдов которые сидят на unstable ветках.
- Интересно, а сколько ещё не выявленных задних дверей в других пакетах прячется , Аноним (248), 09:14 , 01-Апр-24 (248) +2
Интересно, а сколько ещё не выявленных задних дверей в других пакетах прячется? Скорее всего это только вершина айсберга.
- Вот, отличное доказательство того, что критиков надо слать на три буквы не стесн, Аноним (255), 13:46 , 01-Апр-24 (255)
> оказывал моральное давление на Lasse Collin, тогдашнего сопровождающего, критикуя, что он не способен выполнять свои обязанности и не принимает полезные патчиВот, отличное доказательство того, что критиков надо слать на три буквы не стесняясь.
- Модель с тестированием и обкаткой приложений перед выпуском в официальный релиз , Аноним (-), 14:20 , 02-Апр-24 (268)
Модель с тестированием и обкаткой приложений перед выпуском в официальный релиз еще раз доказала свою работоспособность. +1 Debian
- Дальше не интересно , pavlinux (ok), 16:18 , 02-Апр-24 (269)
> Получив права мэйнтейнера Jia Tan стал активно добавлятьДальше не интересно
- FreeBSD не зацепило , Аноним (-), 18:08 , 03-Апр-24 (273)
|