#rust #article #suckassstory
parking_lot: ffffffffffffffff...
История разбора противного бага, который в конечном счёте свёлся к логической ошибке в parking_lot. Напоминание о том, что Rust позволяет удостовериться в том, что примитивы синхронизации корректно используются, но не особо помогают с реализацией этих примитивов.
Из хороших новостей: этот баг в parking_lot в итоге пофиксили, а разработчики в процессе фикса бага построили инфраструктуру для сбора метрик об исполнении кода.
parking_lot: ffffffffffffffff...
История разбора противного бага, который в конечном счёте свёлся к логической ошибке в parking_lot. Напоминание о том, что Rust позволяет удостовериться в том, что примитивы синхронизации корректно используются, но не особо помогают с реализацией этих примитивов.
Из хороших новостей: этот баг в parking_lot в итоге пофиксили, а разработчики в процессе фикса бага построили инфраструктуру для сбора метрик об исполнении кода.
Fly
parking_lot: ffffffffffffffff...
Gnarliest Rust proxy bug yet.
#prog #amazingopensource
miniserve — for when you really just want to serve some files over HTTP right now!
Написано на Rust, один бинарь, может отдавать не только отдельные файлы, но и директории. Ещё пачка фичей, почитайте README.
miniserve — for when you really just want to serve some files over HTTP right now!
Написано на Rust, один бинарь, может отдавать не только отдельные файлы, но и директории. Ещё пачка фичей, почитайте README.
Forwarded from Астрофизика и митенки
Ну чо ребятки, ждём запрета "международного движения фембоев" и признания его экстремистским? )
Кстати, очень наглядная демонстрация того, во-первых, насколько российские чиновники слоупоки (камон - хайпить на теме фембоев имело бы смысл, быть может, лет десять тому назад), а во-вторых - насколько же им нехуй делать 😁
Хм, быть может стоит навести порядок в региональных детдомах у которых низкий уровень финансирования, а контроль со стороны - и того меньше? И где, соответственно, может порой лютейший пиздец с избиениями и изнасилованиями происходить?
Не, фигня ) Вот то, что какой-то паренёк надел юбочку и пофоткался в ней - это реальная проблема России. Запретим юбочки - и тогда заживём! 👍
Кстати, очень наглядная демонстрация того, во-первых, насколько российские чиновники слоупоки (камон - хайпить на теме фембоев имело бы смысл, быть может, лет десять тому назад), а во-вторых - насколько же им нехуй делать 😁
Хм, быть может стоит навести порядок в региональных детдомах у которых низкий уровень финансирования, а контроль со стороны - и того меньше? И где, соответственно, может порой лютейший пиздец с избиениями и изнасилованиями происходить?
Не, фигня ) Вот то, что какой-то паренёк надел юбочку и пофоткался в ней - это реальная проблема России. Запретим юбочки - и тогда заживём! 👍
Forwarded from Астрофизика и митенки
С наилучшими пожеланиями, несуществующее международное движение фембоев 🖕🥰
(вдогонку к недавней новости)
(вдогонку к недавней новости)
Блог*
Ну чо ребятки, ждём запрета "международного движения фембоев" и признания его экстремистским? ) Кстати, очень наглядная демонстрация того, во-первых, насколько российские чиновники слоупоки (камон - хайпить на теме фембоев имело бы смысл, быть может, лет…
Please open Telegram to view this post
VIEW IN TELEGRAM
В одном заведении запланировали на сегодня, пятницу 13, лекцию о приметах и суевериях.
Сегодня новость: её отменили.
Сегодня новость: её отменили.
#music из замечательной #game, причём из одного из лучших сегментов геймплея.
Кстати, редкий пример композиции в размере 7/8
youtube.com/watch?v=TvzmYizWGiw
Кстати, редкий пример композиции в размере 7/8
youtube.com/watch?v=TvzmYizWGiw
YouTube
26 | Joint Reasoning [TYPE A] (Dai Gyakuten Saiban Soundtrack)
It doesn't look like anyone has uploaded a non-extended version of most of the first Dai Gyakuten Saiban soundtrack, so I'll be uploading the entire thing. I hope this doesn't increases the chances of my channel getting taken down, but we'll see.
Composer(s):…
Composer(s):…
Forwarded from Технологический Болт Генона
Уязвимость в KDE Konsole, позволяющая выполнить код при открытии страницы в браузере
https://www.opennet.ru/opennews/art.shtml?num=63410
Оригинал
Code execution from web browser using URL schemes handled by KDE's KTelnetService and Konsole (CVE-2025-49091)
https://proofnet.de/publikationen/konsole_rce.html
> Уязвимость вызвана тем, что в случае, когда в системе не установлена утилита telnet, rlogin или ssh, Konsole при вызове соответствующего обработчика URL запускал командный интерпретатор bash. Например, если отсутствует telnet при открытии в браузере ссылки "telnet:///proc/self/cwd/Downloads/evil" в Konsole запускался "/bin/bash /proc/self/cwd/Downloads/evil". По аналогии можно совершить атаку на обработчики rlogin:// и ssh:// при отсутствии в системе утилит rlogin и ssh.
> если отсутствует telnet при открытии в браузере ссылки "telnet:///proc/self/cwd/Downloads/evil" в Konsole запускался "/bin/bash /proc/self/cwd/Downloads/evil"
> запускался "/bin/bash
Я считаю, что это прекрасно.
Вообще, когда читал описание баги, то в голове сразу родилась мысль, что в коде просто игнорируется отсутствуие нужного бинаря и дальше выполняется что-то типа
, а так как бинаря нет, то строка исполнения "конструируется" неправильно.
Посмотрел фикс, так и оказалось по сути
https://invent.kde.org/utilities/konsole/-/commit/09d20dea109050b4c02fb73095f327b5642a2b75
Тот кто писал на shell скрипты сложнее чем
, где переменная
https://www.opennet.ru/opennews/art.shtml?num=63410
Оригинал
Code execution from web browser using URL schemes handled by KDE's KTelnetService and Konsole (CVE-2025-49091)
https://proofnet.de/publikationen/konsole_rce.html
> Уязвимость вызвана тем, что в случае, когда в системе не установлена утилита telnet, rlogin или ssh, Konsole при вызове соответствующего обработчика URL запускал командный интерпретатор bash. Например, если отсутствует telnet при открытии в браузере ссылки "telnet:///proc/self/cwd/Downloads/evil" в Konsole запускался "/bin/bash /proc/self/cwd/Downloads/evil". По аналогии можно совершить атаку на обработчики rlogin:// и ssh:// при отсутствии в системе утилит rlogin и ssh.
> если отсутствует telnet при открытии в браузере ссылки "telnet:///proc/self/cwd/Downloads/evil" в Konsole запускался "/bin/bash /proc/self/cwd/Downloads/evil"
> запускался "/bin/bash
Я считаю, что это прекрасно.
Вообще, когда читал описание баги, то в голове сразу родилась мысль, что в коде просто игнорируется отсутствуие нужного бинаря и дальше выполняется что-то типа
bash <переменная_с_путём_к_бинарю> path, а так как бинаря нет, то строка исполнения "конструируется" неправильно.
Посмотрел фикс, так и оказалось по сути
https://invent.kde.org/utilities/konsole/-/commit/09d20dea109050b4c02fb73095f327b5642a2b75
Тот кто писал на shell скрипты сложнее чем
hello world, тот точно ловил проблемы похожие с пустой переменной в окружении. Самое, как по мне, показательное из этой серии что-то типаsudo rm -rf "$IMPORTANT_DIR"/lib , где переменная
IMPORTANT_DIR теряется, а вместе с ней и либы в системе 🌝