forum.opennet.ru - "Обновление XZ Utils 5.8.1 с устранением уязвимости" (34)

"Обновление XZ Utils 5.8.1 с устранением уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление XZ Utils 5.8.1 с устранением уязвимости"	+/–
Сообщение от opennews (?), 04-Апр-25, 10:43
Опубликован выпуск пакета XZ Utils 5.8.1, включающего библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz". XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. На прошлой неделе в Git был создан тег 5.8.0, но релиз не был объявлен официально из-за выявленных после публикации тега проблем с производительностью и совместимостью со старыми версиями GNU make... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63017
Ответить \| Правка \| Cообщить модератору

Оглавление

Here we are again , Витюшка (?), 10:43 , 04-Апр-25, (1) +1

Просто XZ Utils писался ненастоящими сишниками Настоящие сишники такого бы не д, Аноним (49), 15:41 , 04-Апр-25, (49)

Вы думаете расты такое не напишут Они мало что такое же могут написать, так ещё, Аноним (-), 15:46 , 04-Апр-25, (51) –1

Во-первых, причём здесь Rust У вас какие-то комплексы на этот счёт Где автор в, Прохожий (??), 14:15 , 05-Апр-25, (65)

Я вот не сишник, но мне вот честно обидно как русские люди друг к другу относятс, Аноним (-), 15:56 , 04-Апр-25, (53)

Если они выступают в роли луддитов - да В других случаях - нет Для поддержки с, Прохожий (??), 14:19 , 05-Апр-25, (66) –1

Jia Tun уже занялся переписыванием на соседнюю новость, User (??), 10:47 , 04-Апр-25, (2) +3

В смысле, это где он бэйсик чтоли выложил А бэкдор там где , Аноним (-), 13:45 , 04-Апр-25, (37) +2
North Korea rules , Аноним (-), 15:36 , 04-Апр-25, (48)

После прошлого года вообще нет доверия к этому XZ, потому что XЗ что там с безоп, Аноним (4), 11:06 , 04-Апр-25, (4) –5
Так а где уязвимость , Аноним (6), 11:16 , 04-Апр-25, (6) +1
Даааааа Все ошибки непреднамеренные Просто непреднамеренно забыли проверить н, Аноним (-), 11:29 , 04-Апр-25, (9) –3

А ничего что assert разворачивается в noop в релизном билде , Да ну нахер (?), 11:49 , 04-Апр-25, (13) +1

Не всегда Надо смотреть переопределено ли NDEBUG, и если да, то как в релизном , HyC (?), 12:02 , 04-Апр-25, (19)

Прошу прощения, но как говорится, вот Вы говорите, а кажется, что Вы бредите , Совершенно другой аноним (?), 13:22 , 04-Апр-25, (34)
За любовь к assert ам надо жестоко бить ногами Проверки надо делать не только , Neon (??), 21:47 , 04-Апр-25, (58) +1

Это как, они случайно дырявый язык взяли С каких пор использование Си - не сабо, Аноним (-), 12:01 , 04-Апр-25, (17) –3

Со времён K R , Аноним (20), 12:03 , 04-Апр-25, (20) +1
Добро пожаловать, евангелист Просветите нас А то тут все темные, священного сло, Аноним (47), 15:22 , 04-Апр-25, (47)
libxz порядка 15 лет, тогда из memory-safe языков были только языки с GC типа жа, blkkid (?), 11:18 , 05-Апр-25, (63)

debian 11 xz --versionxz XZ Utils 5 2 5liblzma 5 2 5, Аноним (-), 12:05 , 04-Апр-25, (21)

Ну и к чему этот пост К тому что в Debian более старые версии, ну так об этом з, Аноним (33), 13:21 , 04-Апр-25, (33)

поправлю - более рабочие , Аноним (-), 16:54 , 04-Апр-25, (56)

5 2 5-2 1 deb11u1 5 4 0 5 6 0Всё верно Проблемы не применимы Работает, не , Аноним (38), 13:47 , 04-Апр-25, (38)

Когда-нибудь они дойдут до SSE3 и SSE4 Лет через 20 Но это не точно , Аноним (22), 12:27 , 04-Апр-25, (22)

memcpy не реализует те же самые инструкции, тем более с включёнными уровнями опт, Аноним (29), 12:58 , 04-Апр-25, (29) +2

Это сильно зависит от компелятора и libc Для той же FreeBSD там внутри memcpy ес, Ivan_83 (ok), 15:44 , 04-Апр-25, (50)

К этому не мешало бы добавить The bug has been fixed in XZ Utils 5 8 1, and the , Аноним (31), 13:13 , 04-Апр-25, (31)
прааальна, перемещаем уязвимости в старые версии прикольная опечатка, RM (ok), 13:47 , 04-Апр-25, (39)

А теперь сделай поиск lzma dll на своей секурной винде , Аноним (38), 14:30 , 04-Апр-25, (42)
А мне нраица Ом-ном-ном усиленна кушоед кагтуз , Аноним (43), 14:33 , 04-Апр-25, (43)

подскажите для сжатия что указывать чтобы максимум тредов использовать , Аноним (46), 14:39 , 04-Апр-25, (46)
Как же так вышло Неужели лучшие умы человечество опять допустили такую банальн, Аноним (-), 16:00 , 04-Апр-25, (54) –1
в генту обновился до 5 6 4-r1, dannyD (?), 17:47 , 04-Апр-25, (57) +2

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Витюшка (?), 04-Апр-25, 10:43 +1 +/–

Here we are again

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

2. Сообщение от User (??), 04-Апр-25, 10:47 +3 +/–

Jia Tun уже занялся переписыванием на соседнюю новость

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #48

4. Сообщение от Аноним (4), 04-Апр-25, 11:06 –5 +/–

После прошлого года вообще нет доверия к этому XZ, потому что XЗ что там с безопасностью.

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 04-Апр-25, 11:16 +1 +/–

>приводящая к аварийному завершению при попытке распаковки специально оформленных архивов
Так а где уязвимость?

Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (-), 04-Апр-25, 11:29 –3 +/–

> Проблема рассматривается как непреднамеренная ошибка, так как
> вызвавшее её изменение было внесено в код задолго до прихода
> в проект разработчика Jia Tan, деятельность которого привела к
> внедрению бэкдора.
Даааааа! Все ошибки непреднамеренные)))
Просто непреднамеренно забыли проверить на NULL.
А потом еще раз непреднамеренно забыли проверить не вышли ли за границы))
+ assert(in != NULL || *in_pos == in_size);
+ assert(out != NULL || *out_pos == out_size);
+ assert(*in_pos <= in_size);
+ assert(*out_pos <= out_size);
Возможно там этих ЖыТянок половина контрибьюторов, просто они за разные фракции играют.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #34, #58

13. Сообщение от Да ну нахер (?), 04-Апр-25, 11:49 +1 +/–

А ничего что assert разворачивается в noop в релизном билде?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19

17. Сообщение от Аноним (-), 04-Апр-25, 12:01 –3 +/–

> Проблема рассматривается как непреднамеренная ошибка
Это как, они случайно дырявый язык взяли? С каких пор использование Си - не саботаж, а "непреднамеренная ошибка"?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #47, #63

19. Сообщение от HyC (?), 04-Апр-25, 12:02 +/–

Не всегда. Надо смотреть переопределено ли NDEBUG, и если да, то как в релизном билде.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

20. Сообщение от Аноним (20), 04-Апр-25, 12:03 +1 +/–

Со времён K&R.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

21. Сообщение от Аноним (-), 04-Апр-25, 12:05 +/–

> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd.
debian 11
$ xz --version
xz (XZ Utils) 5.2.5
liblzma 5.2.5

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #38

22. Сообщение от Аноним (22), 04-Апр-25, 12:27 +/–

> декодировщик LZMA/LZMA2 добавлена возможность использования инструкций SSE2 вместо функции memcpy() на 32- и 64-разрядных системах x86.
Когда-нибудь они дойдут до SSE3 и SSE4.
Лет через 20.
Но это не точно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

29. Сообщение от Аноним (29), 04-Апр-25, 12:58 +2 +/–

memcpy не реализует те же самые инструкции, тем более с включёнными уровнями оптимизаций и встроенным в компилятор memcpy?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #50

31. Сообщение от Аноним (31), 04-Апр-25, 13:13 +/–

>Уязвимость устранена в выпуске XZ Utils 5.8.1, а также перенесена в стабильные ветки 5.4 и 5.6
К этому не мешало бы добавить:
The bug has been fixed in XZ Utils 5.8.1, and the fix has been committed to the v5.4, v5.6. No new release packages will be made from the old stable branches, but a patch is available

Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (33), 04-Апр-25, 13:21 +/–

>> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd.
> debian 11
> $ xz --version
> xz (XZ Utils) 5.2.5
> liblzma 5.2.5
Ну и к чему этот пост? К тому что в Debian более старые версии, ну так об этом знают все кто знает про Debian чуть больше, чем то что на нём основана их Убунточка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #56

34. Сообщение от Совершенно другой аноним (?), 04-Апр-25, 13:22 +/–

Прошу прощения, но как говорится, "вот Вы говорите, а кажется, что Вы бредите" (с)
Там правка совсем не в assert()-ах, тем более, что assert()-ы вообще не для этого предназначены. Если так интересно, то патч находится по адресу https://tukaani.org/xz/xz-cve-2025-31115.patch

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

37. Сообщение от Аноним (-), 04-Апр-25, 13:45 +2 +/–

> Jia Tun уже занялся переписыванием на соседнюю новость
В смысле, это где он бэйсик чтоли выложил? А бэкдор там где?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

38. Сообщение от Аноним (38), 04-Апр-25, 13:47 +/–

5.2.5-2.1~deb11u1 < 5.4.0 < 5.6.0
Всё верно. Проблемы не применимы. Работает, не трожь. А мелочи и патчем поправить можно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

39. Сообщение от RM (ok), 04-Апр-25, 13:47 +/–

> Уязвимость устранена в выпуске XZ Utils 5.8.1, а также перенесена в стабильные ветки 5.4 и 5.6.
прааальна, перемещаем уязвимости в старые версии...
прикольная опечатка

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #43

42. Сообщение от Аноним (38), 04-Апр-25, 14:30 +/–

А теперь сделай поиск *lzma*.dll на своей секурной винде.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

43. Сообщение от Аноним (43), 04-Апр-25, 14:33 +/–

А мне нраица! Ом-ном-ном! *усиленна кушоед кагтуз*

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

46. Сообщение от Аноним (46), 04-Апр-25, 14:39 +/–

подскажите для сжатия что указывать чтобы максимум тредов использовать?

Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 04-Апр-25, 15:22 +/–

Добро пожаловать, евангелист!
Просветите нас! А то тут все темные, священного слова не знают!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

48. Сообщение от Аноним (-), 04-Апр-25, 15:36 +/–

North Korea rules.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

49. Сообщение от Аноним (49), 04-Апр-25, 15:41 +/–

> Уязвимость вызвана обращением к уже освобождённой области памяти (use after free).
Просто XZ Utils писался ненастоящими сишниками. Настоящие сишники такого бы не допустили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #51, #53

50. Сообщение от Ivan_83 (ok), 04-Апр-25, 15:44 +/–

Это сильно зависит от компелятора и libc.
Для той же FreeBSD там внутри memcpy есть уже код для более свежих SSE/AVX и куча других оптимизаций.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

51. Сообщение от Аноним (-), 04-Апр-25, 15:46 –1 +/–

Вы думаете расты такое не напишут? Они мало что такое же могут написать, так ещё не видеть и не проверять нечто подобное, потому что язык у них типо безопастный.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #65

53. Сообщение от Аноним (-), 04-Апр-25, 15:56 +/–

Я вот не сишник, но мне вот честно обидно как русские люди друг к другу относятся. Что вы этим хотите сказать? Что к сишникам нужно хуже относиться? Что не нужна работа на си? Я помню время когда рассказывали что дельфисты не программисты, хотя вот был отличный сайт Королевство Делфи и много книг об этом языке, да и софт был весьма неплохой. У меня вот на телефоне до сих пор есть AIMP. А упаковать самораспаковывающийся архив с выполнением вредоносной программы, да может даже и оформить это как бинарный файл нынче и школьник может после курса "этического" хакинга. Причем некоторые форматы сжатия предполагают выполнение таких сценариев после распаковки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #66

54. Сообщение от Аноним (-), 04-Апр-25, 16:00 –1 +/–

> Уязвимость вызвана обращением к уже освобождённой
> области памяти (use after free).
Как же так вышло??
Неужели лучшие умы человечество опять допустили такую банальную ошибку!

Ответить | Правка | Наверх | Cообщить модератору

56. Сообщение от Аноним (-), 04-Апр-25, 16:54 +/–

поправлю - более рабочие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

57. Сообщение от dannyD (?), 04-Апр-25, 17:47 +2 +/–

в генту обновился до 5.6.4-r1

Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от Neon (??), 04-Апр-25, 21:47 +1 +/–

За любовь к assert'ам надо жестоко бить ногами.) Проверки надо делать не только в дебаге,но и в релизах тоже

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

63. Сообщение от blkkid (?), 05-Апр-25, 11:18 +/–

libxz порядка 15 лет, тогда из memory-safe языков были только языки с GC типа жабы, и тот был намертво фризящей всё помойкой с реализацией через подсчет ссылок

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

65. Сообщение от Прохожий (??), 05-Апр-25, 14:15 +/–

Во-первых, причём здесь Rust? У вас какие-то комплексы на этот счёт? Где автор высказывания хоть слово сказал про этот язык?
Во-вторых, нет, не напишут, там компилятор за это по рукам надаёт. Программистам на Rust не надо проверять свой код на наличие подобных ошибок (не корректная работа с памятью) вручную, это делает за них компилятор.
В-третьих, безопасный (и производные слова) пишется без буквы "т".
В-четвертых, тут любители языка Си часто любят говорить про токсичное Раст-сообщество. А бревна в своём глазу не замечают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

66. Сообщение от Прохожий (??), 05-Апр-25, 14:19 –1 +/–

>Что к сишникам нужно хуже относиться?
Если они выступают в роли луддитов - да. В других случаях - нет.
>Что не нужна работа на си?
Для поддержки существующего кода нужна. В других случаях - нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Витюшка (?), 04-Апр-25, 10:43	+1 +/–
Here we are again
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #49

2. Сообщение от User (??), 04-Апр-25, 10:47	+3 +/–
Jia Tun уже занялся переписыванием на соседнюю новость
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #37, #48

4. Сообщение от Аноним (4), 04-Апр-25, 11:06	–5 +/–
После прошлого года вообще нет доверия к этому XZ, потому что XЗ что там с безопасностью.
Ответить \| Правка \| Наверх \| Cообщить модератору

6. Сообщение от Аноним (6), 04-Апр-25, 11:16	+1 +/–
>приводящая к аварийному завершению при попытке распаковки специально оформленных архивов Так а где уязвимость?
Ответить \| Правка \| Наверх \| Cообщить модератору

9. Сообщение от Аноним (-), 04-Апр-25, 11:29	–3 +/–
> Проблема рассматривается как непреднамеренная ошибка, так как > вызвавшее её изменение было внесено в код задолго до прихода > в проект разработчика Jia Tan, деятельность которого привела к > внедрению бэкдора. Даааааа! Все ошибки непреднамеренные))) Просто непреднамеренно забыли проверить на NULL. А потом еще раз непреднамеренно забыли проверить не вышли ли за границы)) + assert(in != NULL \|\| in_pos == in_size); + assert(out != NULL \|\| out_pos == out_size); + assert(in_pos <= in_size); + assert(out_pos <= out_size); Возможно там этих ЖыТянок половина контрибьюторов, просто они за разные фракции играют.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #34, #58

13. Сообщение от Да ну нахер (?), 04-Апр-25, 11:49	+1 +/–
А ничего что assert разворачивается в noop в релизном билде?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #19

17. Сообщение от Аноним (-), 04-Апр-25, 12:01	–3 +/–
> Проблема рассматривается как непреднамеренная ошибка Это как, они случайно дырявый язык взяли? С каких пор использование Си - не саботаж, а "непреднамеренная ошибка"?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #20, #47, #63

19. Сообщение от HyC (?), 04-Апр-25, 12:02	+/–
Не всегда. Надо смотреть переопределено ли NDEBUG, и если да, то как в релизном билде.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

20. Сообщение от Аноним (20), 04-Апр-25, 12:03	+1 +/–
Со времён K&R.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

21. Сообщение от Аноним (-), 04-Апр-25, 12:05	+/–
> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. debian 11 $ xz --version xz (XZ Utils) 5.2.5 liblzma 5.2.5
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #33, #38

22. Сообщение от Аноним (22), 04-Апр-25, 12:27	+/–
> декодировщик LZMA/LZMA2 добавлена возможность использования инструкций SSE2 вместо функции memcpy() на 32- и 64-разрядных системах x86. Когда-нибудь они дойдут до SSE3 и SSE4. Лет через 20. Но это не точно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #29

29. Сообщение от Аноним (29), 04-Апр-25, 12:58	+2 +/–
memcpy не реализует те же самые инструкции, тем более с включёнными уровнями оптимизаций и встроенным в компилятор memcpy?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #50

31. Сообщение от Аноним (31), 04-Апр-25, 13:13	+/–
>Уязвимость устранена в выпуске XZ Utils 5.8.1, а также перенесена в стабильные ветки 5.4 и 5.6 К этому не мешало бы добавить: The bug has been fixed in XZ Utils 5.8.1, and the fix has been committed to the v5.4, v5.6. No new release packages will be made from the old stable branches, but a patch is available
Ответить \| Правка \| Наверх \| Cообщить модератору

33. Сообщение от Аноним (33), 04-Апр-25, 13:21	+/–
>> XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. > debian 11 > $ xz --version > xz (XZ Utils) 5.2.5 > liblzma 5.2.5 Ну и к чему этот пост? К тому что в Debian более старые версии, ну так об этом знают все кто знает про Debian чуть больше, чем то что на нём основана их Убунточка.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21 Ответы: #56

34. Сообщение от Совершенно другой аноним (?), 04-Апр-25, 13:22	+/–
Прошу прощения, но как говорится, "вот Вы говорите, а кажется, что Вы бредите" (с) Там правка совсем не в assert()-ах, тем более, что assert()-ы вообще не для этого предназначены. Если так интересно, то патч находится по адресу https://tukaani.org/xz/xz-cve-2025-31115.patch
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

37. Сообщение от Аноним (-), 04-Апр-25, 13:45	+2 +/–
> Jia Tun уже занялся переписыванием на соседнюю новость В смысле, это где он бэйсик чтоли выложил? А бэкдор там где?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

38. Сообщение от Аноним (38), 04-Апр-25, 13:47	+/–
5.2.5-2.1~deb11u1 < 5.4.0 < 5.6.0 Всё верно. Проблемы не применимы. Работает, не трожь. А мелочи и патчем поправить можно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

39. Сообщение от RM (ok), 04-Апр-25, 13:47	+/–
> Уязвимость устранена в выпуске XZ Utils 5.8.1, а также перенесена в стабильные ветки 5.4 и 5.6. прааальна, перемещаем уязвимости в старые версии... прикольная опечатка
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #42, #43

42. Сообщение от Аноним (38), 04-Апр-25, 14:30	+/–
А теперь сделай поиск lzma.dll на своей секурной винде.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #39

43. Сообщение от Аноним (43), 04-Апр-25, 14:33	+/–
А мне нраица! Ом-ном-ном! усиленна кушоед кагтуз
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #39

46. Сообщение от Аноним (46), 04-Апр-25, 14:39	+/–
подскажите для сжатия что указывать чтобы максимум тредов использовать?
Ответить \| Правка \| Наверх \| Cообщить модератору

47. Сообщение от Аноним (47), 04-Апр-25, 15:22	+/–
Добро пожаловать, евангелист! Просветите нас! А то тут все темные, священного слова не знают!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

48. Сообщение от Аноним (-), 04-Апр-25, 15:36	+/–
North Korea rules.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

49. Сообщение от Аноним (49), 04-Апр-25, 15:41	+/–
> Уязвимость вызвана обращением к уже освобождённой области памяти (use after free). Просто XZ Utils писался ненастоящими сишниками. Настоящие сишники такого бы не допустили.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #51, #53

50. Сообщение от Ivan_83 (ok), 04-Апр-25, 15:44	+/–
Это сильно зависит от компелятора и libc. Для той же FreeBSD там внутри memcpy есть уже код для более свежих SSE/AVX и куча других оптимизаций.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

51. Сообщение от Аноним (-), 04-Апр-25, 15:46	–1 +/–
Вы думаете расты такое не напишут? Они мало что такое же могут написать, так ещё не видеть и не проверять нечто подобное, потому что язык у них типо безопастный.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #49 Ответы: #65

53. Сообщение от Аноним (-), 04-Апр-25, 15:56	+/–
Я вот не сишник, но мне вот честно обидно как русские люди друг к другу относятся. Что вы этим хотите сказать? Что к сишникам нужно хуже относиться? Что не нужна работа на си? Я помню время когда рассказывали что дельфисты не программисты, хотя вот был отличный сайт Королевство Делфи и много книг об этом языке, да и софт был весьма неплохой. У меня вот на телефоне до сих пор есть AIMP. А упаковать самораспаковывающийся архив с выполнением вредоносной программы, да может даже и оформить это как бинарный файл нынче и школьник может после курса "этического" хакинга. Причем некоторые форматы сжатия предполагают выполнение таких сценариев после распаковки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #49 Ответы: #66

54. Сообщение от Аноним (-), 04-Апр-25, 16:00	–1 +/–
> Уязвимость вызвана обращением к уже освобождённой > области памяти (use after free). Как же так вышло?? Неужели лучшие умы человечество опять допустили такую банальную ошибку!
Ответить \| Правка \| Наверх \| Cообщить модератору

56. Сообщение от Аноним (-), 04-Апр-25, 16:54	+/–
поправлю - более рабочие.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33

57. Сообщение от dannyD (?), 04-Апр-25, 17:47	+2 +/–
в генту обновился до 5.6.4-r1
Ответить \| Правка \| Наверх \| Cообщить модератору