#rust #article #suckassstory

parking_lot: ffffffffffffffff...

История разбора противного бага, который в конечном счёте свёлся к логической ошибке в parking_lot. Напоминание о том, что Rust позволяет удостовериться в том, что примитивы синхронизации корректно используются, но не особо помогают с реализацией этих примитивов.

Из хороших новостей: этот баг в parking_lot в итоге пофиксили, а разработчики в процессе фикса бага построили инфраструктуру для сбора метрик об исполнении кода.

#prog #amazingopensource

miniserve — for when you really just want to serve some files over HTTP right now!

Написано на Rust, один бинарь, может отдавать не только отдельные файлы, но и директории. Ещё пачка фичей, почитайте README.

Ну чо ребятки, ждём запрета "международного движения фембоев" и признания его экстремистским? )

Кстати, очень наглядная демонстрация того, во-первых, насколько российские чиновники слоупоки (камон - хайпить на теме фембоев имело бы смысл, быть может, лет десять тому назад), а во-вторых - насколько же им нехуй делать 😁

Хм, быть может стоит навести порядок в региональных детдомах у которых низкий уровень финансирования, а контроль со стороны - и того меньше? И где, соответственно, может порой лютейший пиздец с избиениями и изнасилованиями происходить?

Не, фигня ) Вот то, что какой-то паренёк надел юбочку и пофоткался в ней - это реальная проблема России. Запретим юбочки - и тогда заживём! 👍

С наилучшими пожеланиями, несуществующее международное движение фембоев 🖕🥰
(вдогонку к недавней новости)

Нет

#meme про феминизм (и, видимо, #game?)

(thanks @triteisalrite)

В одном заведении запланировали на сегодня, пятницу 13, лекцию о приметах и суевериях.

Сегодня новость: её отменили.

Я я я

Интересно, а кто из папищеков в отношениях? Расскажите, порадуемся за вас

Кто здесь такой милый?

#meme про экраны

Работаю с ноутбука кстати ._.

#music из замечательной #game, причём из одного из лучших сегментов геймплея.

Кстати, редкий пример композиции в размере 7/8

youtube.com/watch?v=TvzmYizWGiw

#meme #трудовыебудни

#prog #itsec #suckassstory

Уязвимость в KDE Konsole, позволяющая выполнить код при открытии страницы в браузере
https://www.opennet.ru/opennews/art.shtml?num=63410

Оригинал
Code execution from web browser using URL schemes handled by KDE's KTelnetService and Konsole (CVE-2025-49091)
https://proofnet.de/publikationen/konsole_rce.html

> Уязвимость вызвана тем, что в случае, когда в системе не установлена утилита telnet, rlogin или ssh, Konsole при вызове соответствующего обработчика URL запускал командный интерпретатор bash. Например, если отсутствует telnet при открытии в браузере ссылки "telnet:///proc/self/cwd/Downloads/evil" в Konsole запускался "/bin/bash /proc/self/cwd/Downloads/evil". По аналогии можно совершить атаку на обработчики rlogin:// и ssh:// при отсутствии в системе утилит rlogin и ssh.

> если отсутствует telnet при открытии в браузере ссылки "telnet:///proc/self/cwd/Downloads/evil" в Konsole запускался "/bin/bash /proc/self/cwd/Downloads/evil"

> запускался "/bin/bash

Я считаю, что это прекрасно.

Вообще, когда читал описание баги, то в голове сразу родилась мысль, что в коде просто игнорируется отсутствуие нужного бинаря и дальше выполняется что-то типа

bash <переменная_с_путём_к_бинарю> path

, а так как бинаря нет, то строка исполнения "конструируется" неправильно.

Посмотрел фикс, так и оказалось по сути
https://invent.kde.org/utilities/konsole/-/commit/09d20dea109050b4c02fb73095f327b5642a2b75

Тот кто писал на shell скрипты сложнее чем hello world, тот точно ловил проблемы похожие с пустой переменной в окружении. Самое, как по мне, показательное из этой серии что-то типа

sudo rm -rf "$IMPORTANT_DIR"/lib

, где переменная IMPORTANT_DIR теряется, а вместе с ней и либы в системе 🌝