[Перевод] 44 CVE в uutils: что Rust ловит, а что нет на границе с системой

06.05.2026 05:08:37 | Хабр

Хабы: Информационная безопасность, Rust, Системное программирование, Open source, Linux

В апреле 2026 года Canonical раскрыла 44 CVE в uutils. Это переписанная на Rust версия GNU coreutils, которая в Ubuntu идёт по умолчанию с 25.10. Раскрытие пришло из внешнего аудита, заказанного перед релизом 26.04 LTS. Большую часть уязвимостей нашли обычным ревью кода. Ни borrow checker, ни проверки clippy, ни cargo audit не поймали ни одной.

Этот аудит, пожалуй, самый чёткий из существующих примеров того, что Rust ловит, а что нет. Самый внятный разбор списка сделал Маттиас Эндлер в посте «Bugs Rust Won’t Catch» от 29 апреля. Эндлер ведёт консалтинг corrode и подкаст Rust in Production; недавно у него в гостях был Джон Сигер, вице-президент по инженерии в Canonical. Пост построен как разбор того самого раскрытия: 44 CVE распределены по восьми категориям; к большинству приложен git diff фикса.

Ниже разберу каркас Эндлера и добавлю два аргумента сверху. Первый: один из мейнтейнеров GNU coreutils в HN-треде показал бенчмарк, на котором рекомендованный Эндлером фикс не выживает. Второй: структурный аргумент про то, что 40 лет наслоённых POSIX-шрамов делают с любой переписью, независимо от языка.

Подробнее

Читайте также

Анатомия Сплита: как Яндекс упаковал рассрочку и потребкредит в один интерфейс
06.05.2026 04:08:29 | Хабр

DGX Spark: мониторинг unified memory, когда NVML и dcgm‑exporter молчат
06.05.2026 01:40:53 | Хабр

В Сеть утекли характеристики, цены и рендеры Xiaomi 17T и 17T Pro
05.05.2026 22:23:12 | ferra.ru

Апрель стал худшим месяцем в истории криптовалют по объёму взломов
05.05.2026 22:16:48 | ferra.ru

Страшная сказка
05.05.2026 22:08:56 | Хабр

Юрист Маска выяснил, что технический директор OpenAI владеет долей на $30 млрд и был лично заинтересован в переходе к коммерческой структуре
05.05.2026 21:21:33 | vc.ru

Эксперт Бурмистров: звездопады лучше видно в поле или у воды
05.05.2026 20:50:00 | ferra.ru

Илона Маска оштрафовали на $1,9 млн из-за покупки акций Twitter
05.05.2026 20:23:10 | ferra.ru

ИИ Маска Grok заговорит с водителями в Apple CarPlay
05.05.2026 20:16:49 | ferra.ru

Российские учёные создали тест для выявления проблем в работе ИИ-моделей белков
05.05.2026 20:05:00 | ferra.ru

SocratiCode: разбираю MCP-сервер, который даёт ИИ-агенту понимание кодовой базы
05.05.2026 20:03:21 | Хабр

Разбираемся с устройством баз данных
05.05.2026 19:40:30 | Хабр

ТОП лучших инструментов беззатратного продвижения для B2B и B2C в РФ в 2026г
05.05.2026 19:23:19 | Хабр

От песочницы до эпистемического цикла
05.05.2026 19:22:27 | Хабр

Алиханов: «детские болезни» самолётов лечат 3–4 года, модернизируют постоянно
05.05.2026 19:20:00 | ferra.ru

Почему CRM в Битрикс24 тормозит на 50К сделок и что с этим делать
05.05.2026 19:05:53 | Хабр

Meta* будет анализировать фото и видео в профилях пользователей с помощью ИИ для определения возраста
05.05.2026 18:43:02 | vc.ru

В Череповце создали систему для выявления брака в удобрениях в 10–12 раз быстрее
05.05.2026 18:35:00 | ferra.ru

Nonce Observatory:
05.05.2026 18:30:35 | Хабр

Оборудование Huawei и ZTE запретят на телеком-рынке ЕС
05.05.2026 18:23:06 | ferra.ru

Ошибка в YouTube начала заставлять браузеры «есть» до 7 ГБ оперативной памяти
05.05.2026 18:16:50 | ferra.ru

Обзор рынка MDM и UEM: тренды в управлении устройствами
05.05.2026 17:52:00 | it-world

Глава Минпромторга: сертификация импортозамещённого SJ-100 завершится в этом году
05.05.2026 17:50:00 | ferra.ru

Свой маленький GIS: приложение для мультиспектральных и гиперспектральных снимков
05.05.2026 17:13:13 | Хабр

Я ЛОХ, меня развели в максе
05.05.2026 17:12:15 | Хабр

Красивые страницы ошибок HTTP сервера
05.05.2026 17:10:56 | Хабр

В Max добавили функцию расшифровки «видеокружков»
05.05.2026 17:05:19 | vc.ru

Минпромторг: исключение техники из параллельного импорта не сузит ассортимент
05.05.2026 17:05:00 | ferra.ru

«Я починил авторизацию и удалил БД»: краткая история ИИ-агентов
05.05.2026 16:55:03 | Хабр

Почему ваше приложение тормозит и как мы это исправили с помощью PowerSync
05.05.2026 16:37:06 | Хабр

Новая Call of Duty впервые пропустит PS4 и Xbox One
05.05.2026 16:23:07 | ferra.ru

Эксперты: в майские праздники мошенники активизировали схемы с билетами и жильём
05.05.2026 16:20:00 | ferra.ru

OLED 144 Гц, процессор Snapdragon: Asus выпустила ноутбук-трансформер ProArt PZ14
05.05.2026 16:16:51 | ferra.ru

«Самый большой риск — бездействие»: Coinbase уволит 14% штата — около 700 человек
05.05.2026 16:04:10 | vc.ru

[Перевод] 10 уроков агентного кодинга. Что делать в эпоху дешёвого кода?
05.05.2026 15:57:01 | Хабр

Смотреть все

НОВОСТИ

В российском городе под завалами разрушенного при пожаре дома обнаружили тело
26.05.2026 22:45:41 | Lenta.ru

Небензя: теракт в Старобельске показал, что Киев не остановится ни перед чем
26.05.2026 22:45:29 | ТАСС

Госдума внесла обращение к ООН из-за удара ВСУ по Старобельску
26.05.2026 22:39:00 | Life.ru

В Москве пожаловались на ресторан с «налогом на дождь»
26.05.2026 22:38:28 | Lenta.ru

Bild: в ХДС обсуждают сценарий замены Мерца на нового канцлера
26.05.2026 22:38:17 | ТАСС

Полянский назвал верхом цинизма отсутствие осуждения в ОБСЕ теракта в Старобельске
26.05.2026 22:36:12 | ТАСС

Роспотребнадзор: более 34 тыс. лагерей готовы к открытию в летнем сезоне
26.05.2026 22:35:48 | ТАСС

В Новгородской области 93 населенных пункта остаются без света
26.05.2026 22:32:55 | ТАСС

Небензя заявил о делении детей на удобных и неудобных жертв
26.05.2026 22:30:20 | Lenta.ru

В России заявили о панике в «британской пропагандистской машине»
26.05.2026 22:28:34 | Lenta.ru

Путин: Россию и Казахстан связывают прочные узы дружбы
26.05.2026 22:28:09 | ТАСС

Посольство РФ обратило внимание на искажение в СМИ Турции трагедии в Старобельске
26.05.2026 22:25:59 | ТАСС

Посол РФ заявил в МИД ФРГ о переполненной чаше терпения
26.05.2026 22:25:00 | Российская Газета

Россиянам дали советы по выбору вкусной черешни
26.05.2026 22:23:33 | Lenta.ru

Под завалами обрушившегося дома в Липецке найдено тело человека
26.05.2026 22:21:50 | Life.ru

Путин рассказал об отношениях с лидером одной страны
26.05.2026 22:20:42 | Lenta.ru

Дмитриев: британская пропагандистская машина находится в панике
26.05.2026 22:18:17 | ТАСС

Ирина Шейк похвасталась прессом в откровенном бикини
26.05.2026 22:15:51 | Lenta.ru

Курорты Краснодарского края затопило мощным ливнем
26.05.2026 22:15:19 | Lenta.ru

Курорты Краснодарского края затопило после мощного ливня
26.05.2026 22:15:00 | Lenta.ru

Путин назвал взаимодействие по мирному атому составляющей партнерства РФ и Казахстана
26.05.2026 22:14:43 | ТАСС

Путин: "Казахстан - Сириус" и Центр по работе с талантами откроют в 2029 год
26.05.2026 22:13:46 | ТАСС

Путин назвал экологию важным направлением партнерства РФ и Казахстана
26.05.2026 22:13:29 | ТАСС

Киев не получил поддержки Вашингтона в ООН после трагедии в Старобельске
26.05.2026 22:13:01 | Life.ru

Путин: для энергоснабжения Казахстана планируется оптимизация инфраструктуры
26.05.2026 22:12:58 | ТАСС

Путин указал на важность запуска российско-казахстанской ракеты "Союз-5/Сункар"
26.05.2026 22:12:57 | ТАСС

Путин указал на важный совместный шаг Москвы и Астаны в области космонавтики
26.05.2026 22:12:57 | ТАСС

Путин: РФ и Казахстан выступают за демократизацию международных отношений
26.05.2026 22:12:48 | ТАСС

ВМС США возобновили сопровождение судов через Ормузский пролив
26.05.2026 22:12:06 | Lenta.ru

Путин написал статью в преддверии визита в Казахстан
26.05.2026 22:12:05 | Lenta.ru

Генменеджер "Питтсбурга" назвал Малкина выдающимся лидером
26.05.2026 22:12:04 | ТАСС

Путин: через РФ обеспечиваются поставки более 80% экспорта нефти Казахстана
26.05.2026 22:11:41 | ТАСС

Путин: КТК через РФ обеспечивает поставки более 80% экспорта казахстанской нефти
26.05.2026 22:11:41 | ТАСС

На территории Туапсинского округа Кубани объявили угрозу атаки БПЛА
26.05.2026 22:11:26 | ТАСС

Путин сообщил о договоренности открыть в Казахстане второй комплекс "Сириус" в Астане
26.05.2026 22:11:21 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro