Содержимое
Ubuntu 26.04 (LTS) выходит завтра… и компания Canonical опубликовала обновление по своему плану замены GNU Coreutils на реализации, переписанные на Rust. Основные моменты: - После того как разработчики выразили "серьёзные опасения", Canonical привлекла стороннюю компанию по security-исследованиям для аудита Rust-реализаций (известных как uutils). - Эта security-компания быстро обнаружила 113 существенных проблем, причём значительная часть из них оказалась серьёзными уязвимостями безопасности, тянущими на присвоение CVE. - Лишь часть этих проблем в Rust-реализациях была исправлена к релизу Ubuntu 26.04. - Повторим: Ubuntu 26.04 выходит с заметным количеством известных серьёзных багов в новых Rust-версиях coreutils. - В некоторых из наиболее критичных утилит, переписанных на Rust (cp, mv, rm), обнаружено большое количество серьёзных проблем класса TOCTOU (Time-of-Check to Time-of-Use) — это тип уязвимостей, приводящих к race condition. Именно такие баги часто эксплуатируются злоумышленниками. - В итоге cp, mv и rm не будут включены в Ubuntu 26.04. Даже с их довольно либеральным подходом "ок, если в Rust-реализациях для 26.04 есть серьёзные баги" – проблемы в этих утилитах оказались слишком критичными. - Несмотря на этот, без преувеличения, провальный rollout Rust-версий Coreutils, команда Ubuntu планирует в следующем релизе (через 6 месяцев, 26.10) полностью (на 100%) заменить GNU Coreutils на текущие (и пока откровенно сырые) реализации на Rust. https://discourse.ubuntu.com/t/an-update-on-rust-coreutils/80773 @linuxos_tg