#uutils — Public Fediverse posts

[Перевод] 44 CVE в uutils: что Rust ловит, а что нет на границе с системой

В апреле 2026 года Canonical раскрыла 44 CVE в uutils . Это переписанная на Rust версия GNU coreutils, которая в Ubuntu идёт по умолчанию с 25.10. Раскрытие пришло из внешнего аудита, заказанного перед релизом 26.04 LTS. Большую часть уязвимостей нашли обычным ревью кода. Ни borrow checker, ни проверки clippy , ни cargo audit не поймали ни одной. Этот аудит, пожалуй, самый чёткий из существующих примеров того, что Rust ловит, а что нет. Самый внятный разбор списка сделал Маттиас Эндлер в посте «Bugs Rust Won’t Catch» от 29 апреля. Эндлер ведёт консалтинг corrode и подкаст Rust in Production ; недавно у него в гостях был Джон Сигер, вице-президент по инженерии в Canonical. Пост построен как разбор того самого раскрытия: 44 CVE распределены по восьми категориям; к большинству приложен git diff фикса. Ниже разберу каркас Эндлера и добавлю два аргумента сверху. Первый: один из мейнтейнеров GNU coreutils в HN-треде показал бенчмарк, на котором рекомендованный Эндлером фикс не выживает. Второй: структурный аргумент про то, что 40 лет наслоённых POSIX-шрамов делают с любой переписью, независимо от языка.

https://habr.com/ru/articles/1031420/

#rust #cve #uutils #coreutils #canonical #ubuntu #toctou #безопасность #системное_программирование

Why does #Canonical wants to replace the fully developed #GNU #coreutils by their newly developed #uutils?
The only difference is, that the uutils are a reimplementation in #RUST of the coreutils, written in #C.
All they obviously do is to put issues into these absolute basic utilities that doesn’t exist in the originals.

To me that makes no sense. The only idea I get why Canonical might do this is to get more control over basic utilities of #Linux.
https://seclists.org/oss-sec/2026/q2/332

RE: https://mastodon.social/@mre/116488165568459661

"What’s left is, frankly, a more interesting class of #bug. It lives at the boundary between our controlled #Rust environment and the messy, chaotic outside world, where paths, bytes, strings, and syscalls are all tangled up in one eternal ball of sadness. That’s the new #security boundary of modern systems code."

Thank you @mre for this excellent blog post and categorization of security bugs.

And thank you to #Canonical for being the canary in the coal mine. 🦜

#RustLang #uutils #Bugs

Ubuntu 26.04 is coming out today with uutils (Rust coreutils reimplementation) by default and I expect this huge exposure to unearth a good number of compatibility issues, like the one I just found: https://github.com/uutils/coreutils/issues/11956

#RustLang #uutils #coreutils #Ubuntu #ubuntu2604

The Rust uutils' du command in Ubuntu 25.10 shows incorrect disk size usage when parent and subdirectories overlap. A Bug Report Filed.

More details here: https://ostechnix.com/rust-uutils-du-command-wrong-size-ubuntu-25-10/

#du #Directorysize #Diskusage #Rust #Uutils #Ubuntu2510 #Bug #Linux

Let me underline again: #Ubuntu and #Snap is just another #WalledGarden, another attempt at encircling #Linux in a way to co-opt #libre software. #uutils is just another step.

At this point, I'll have to remind people that systems such as #NixOS exist, or that you can pretty much isolate and sandbox apps and services in many ways.

But the difference with Ubuntu is how you have to jump through hoops to get things like #AppImages and #Flatpak to work - and that's by design.