#uutils — Public Fediverse posts on home.social

Ivan Enderlin 🦀 @[email protected] · 2026-05-06 · 07:06 UTC

Bugs Rust Won't Catch, https://corrode.dev/blog/bugs-rust-wont-catch/.

Canonical has disclosed 44 CVE in uutils. The author explains a couple of them.

It’s interesting to learn about these attack vectors. The author insists Rust doesn’t catch these bugs at compile-time nor via Clippy, even if fixes are straightforward.

The author quickly compares uutils to GNU coreutils that has received many CVE related to, e.g. memory management, which are not possible in safe Rust.

#RustLang #security #safety #uutils

#rustlang #security #safety #uutils

Ivan Enderlin 🦀 @[email protected] · 2026-05-06 · 07:06 UTC

Bugs Rust Won't Catch, https://corrode.dev/blog/bugs-rust-wont-catch/.

Canonical has disclosed 44 CVE in uutils. The author explains a couple of them.

It’s interesting to learn about these attack vectors. The author insists Rust doesn’t catch these bugs at compile-time nor via Clippy, even if fixes are straightforward.

The author quickly compares uutils to GNU coreutils that has received many CVE related to, e.g. memory management, which are not possible in safe Rust.

#RustLang #security #safety #uutils

#rustlang #security #safety #uutils

Ivan Enderlin 🦀 @[email protected] · 2026-05-06 · 07:06 UTC

Bugs Rust Won't Catch, https://corrode.dev/blog/bugs-rust-wont-catch/.

Canonical has disclosed 44 CVE in uutils. The author explains a couple of them.

It’s interesting to learn about these attack vectors. The author insists Rust doesn’t catch these bugs at compile-time nor via Clippy, even if fixes are straightforward.

The author quickly compares uutils to GNU coreutils that has received many CVE related to, e.g. memory management, which are not possible in safe Rust.

#RustLang #security #safety #uutils

#rustlang #security #safety #uutils

Ivan Enderlin 🦀 @[email protected] · 2026-05-06 · 07:06 UTC

Bugs Rust Won't Catch, https://corrode.dev/blog/bugs-rust-wont-catch/.

Canonical has disclosed 44 CVE in uutils. The author explains a couple of them.

It’s interesting to learn about these attack vectors. The author insists Rust doesn’t catch these bugs at compile-time nor via Clippy, even if fixes are straightforward.

The author quickly compares uutils to GNU coreutils that has received many CVE related to, e.g. memory management, which are not possible in safe Rust.

#RustLang #security #safety #uutils

#uutils #safety #security #rustlang

Ivan Enderlin 🦀 @[email protected] · 2026-05-06 · 07:06 UTC

Bugs Rust Won't Catch, https://corrode.dev/blog/bugs-rust-wont-catch/.

Canonical has disclosed 44 CVE in uutils. The author explains a couple of them.

It’s interesting to learn about these attack vectors. The author insists Rust doesn’t catch these bugs at compile-time nor via Clippy, even if fixes are straightforward.

The author quickly compares uutils to GNU coreutils that has received many CVE related to, e.g. memory management, which are not possible in safe Rust.

#RustLang #security #safety #uutils

#rustlang #security #safety #uutils

Habr @[email protected] · 2026-05-06 · 05:12 UTC

[Перевод] 44 CVE в uutils: что Rust ловит, а что нет на границе с системой

В апреле 2026 года Canonical раскрыла 44 CVE в uutils . Это переписанная на Rust версия GNU coreutils, которая в Ubuntu идёт по умолчанию с 25.10. Раскрытие пришло из внешнего аудита, заказанного перед релизом 26.04 LTS. Большую часть уязвимостей нашли обычным ревью кода. Ни borrow checker, ни проверки clippy , ни cargo audit не поймали ни одной. Этот аудит, пожалуй, самый чёткий из существующих примеров того, что Rust ловит, а что нет. Самый внятный разбор списка сделал Маттиас Эндлер в посте «Bugs Rust Won’t Catch» от 29 апреля. Эндлер ведёт консалтинг corrode и подкаст Rust in Production ; недавно у него в гостях был Джон Сигер, вице-президент по инженерии в Canonical. Пост построен как разбор того самого раскрытия: 44 CVE распределены по восьми категориям; к большинству приложен git diff фикса. Ниже разберу каркас Эндлера и добавлю два аргумента сверху. Первый: один из мейнтейнеров GNU coreutils в HN-треде показал бенчмарк, на котором рекомендованный Эндлером фикс не выживает. Второй: структурный аргумент про то, что 40 лет наслоённых POSIX-шрамов делают с любой переписью, независимо от языка.

https://habr.com/ru/articles/1031420/

#rust #cve #uutils #coreutils #canonical #ubuntu #toctou #безопасность #системное_программирование

#системное_программирование #безопасность #toctou #ubuntu #canonical #coreutils

Habr @[email protected] · 2026-05-06 · 05:12 UTC

[Перевод] 44 CVE в uutils: что Rust ловит, а что нет на границе с системой

В апреле 2026 года Canonical раскрыла 44 CVE в uutils . Это переписанная на Rust версия GNU coreutils, которая в Ubuntu идёт по умолчанию с 25.10. Раскрытие пришло из внешнего аудита, заказанного перед релизом 26.04 LTS. Большую часть уязвимостей нашли обычным ревью кода. Ни borrow checker, ни проверки clippy , ни cargo audit не поймали ни одной. Этот аудит, пожалуй, самый чёткий из существующих примеров того, что Rust ловит, а что нет. Самый внятный разбор списка сделал Маттиас Эндлер в посте «Bugs Rust Won’t Catch» от 29 апреля. Эндлер ведёт консалтинг corrode и подкаст Rust in Production ; недавно у него в гостях был Джон Сигер, вице-президент по инженерии в Canonical. Пост построен как разбор того самого раскрытия: 44 CVE распределены по восьми категориям; к большинству приложен git diff фикса. Ниже разберу каркас Эндлера и добавлю два аргумента сверху. Первый: один из мейнтейнеров GNU coreutils в HN-треде показал бенчмарк, на котором рекомендованный Эндлером фикс не выживает. Второй: структурный аргумент про то, что 40 лет наслоённых POSIX-шрамов делают с любой переписью, независимо от языка.

https://habr.com/ru/articles/1031420/

#rust #cve #uutils #coreutils #canonical #ubuntu #toctou #безопасность #системное_программирование

#системное_программирование #безопасность #toctou #ubuntu #canonical #coreutils

Habr @[email protected] · 2026-05-06 · 05:12 UTC

[Перевод] 44 CVE в uutils: что Rust ловит, а что нет на границе с системой

В апреле 2026 года Canonical раскрыла 44 CVE в uutils . Это переписанная на Rust версия GNU coreutils, которая в Ubuntu идёт по умолчанию с 25.10. Раскрытие пришло из внешнего аудита, заказанного перед релизом 26.04 LTS. Большую часть уязвимостей нашли обычным ревью кода. Ни borrow checker, ни проверки clippy , ни cargo audit не поймали ни одной. Этот аудит, пожалуй, самый чёткий из существующих примеров того, что Rust ловит, а что нет. Самый внятный разбор списка сделал Маттиас Эндлер в посте «Bugs Rust Won’t Catch» от 29 апреля. Эндлер ведёт консалтинг corrode и подкаст Rust in Production ; недавно у него в гостях был Джон Сигер, вице-президент по инженерии в Canonical. Пост построен как разбор того самого раскрытия: 44 CVE распределены по восьми категориям; к большинству приложен git diff фикса. Ниже разберу каркас Эндлера и добавлю два аргумента сверху. Первый: один из мейнтейнеров GNU coreutils в HN-треде показал бенчмарк, на котором рекомендованный Эндлером фикс не выживает. Второй: структурный аргумент про то, что 40 лет наслоённых POSIX-шрамов делают с любой переписью, независимо от языка.

https://habr.com/ru/articles/1031420/

#rust #cve #uutils #coreutils #canonical #ubuntu #toctou #безопасность #системное_программирование

#системное_программирование #безопасность #toctou #ubuntu #canonical #coreutils

Habr @[email protected] · 2026-05-06 · 05:12 UTC

[Перевод] 44 CVE в uutils: что Rust ловит, а что нет на границе с системой

В апреле 2026 года Canonical раскрыла 44 CVE в uutils . Это переписанная на Rust версия GNU coreutils, которая в Ubuntu идёт по умолчанию с 25.10. Раскрытие пришло из внешнего аудита, заказанного перед релизом 26.04 LTS. Большую часть уязвимостей нашли обычным ревью кода. Ни borrow checker, ни проверки clippy , ни cargo audit не поймали ни одной. Этот аудит, пожалуй, самый чёткий из существующих примеров того, что Rust ловит, а что нет. Самый внятный разбор списка сделал Маттиас Эндлер в посте «Bugs Rust Won’t Catch» от 29 апреля. Эндлер ведёт консалтинг corrode и подкаст Rust in Production ; недавно у него в гостях был Джон Сигер, вице-президент по инженерии в Canonical. Пост построен как разбор того самого раскрытия: 44 CVE распределены по восьми категориям; к большинству приложен git diff фикса. Ниже разберу каркас Эндлера и добавлю два аргумента сверху. Первый: один из мейнтейнеров GNU coreutils в HN-треде показал бенчмарк, на котором рекомендованный Эндлером фикс не выживает. Второй: структурный аргумент про то, что 40 лет наслоённых POSIX-шрамов делают с любой переписью, независимо от языка.

https://habr.com/ru/articles/1031420/

#rust #cve #uutils #coreutils #canonical #ubuntu #toctou #безопасность #системное_программирование

#rust #cve #uutils #coreutils #canonical #ubuntu

David Cantrell 🏏 @DrHyde · 2026-05-05 · 09:38 UTC

@ChuckMcManis @lcamtuf are the #uutils crowd working from the C source (in which case these bugs are really really stupid) or are they writing code /de novo/ based on a spec? If the latter then these bugs are understandable, provided that they are dealt with when reported.

The real problem here though is Ubuntu, just changing stuff for teh lolz.

#uutils

David Cantrell 🏏 @[email protected] · 2026-05-05 · 09:38 UTC

@ChuckMcManis @lcamtuf are the #uutils crowd working from the C source (in which case these bugs are really really stupid) or are they writing code /de novo/ based on a spec? If the latter then these bugs are understandable, provided that they are dealt with when reported.

The real problem here though is Ubuntu, just changing stuff for teh lolz.

#uutils

David Cantrell 🏏 @[email protected] · 2026-05-05 · 09:38 UTC

@ChuckMcManis @lcamtuf are the #uutils crowd working from the C source (in which case these bugs are really really stupid) or are they writing code /de novo/ based on a spec? If the latter then these bugs are understandable, provided that they are dealt with when reported.

The real problem here though is Ubuntu, just changing stuff for teh lolz.

#uutils

David Cantrell 🏏 @[email protected] · 2026-05-05 · 09:38 UTC

@ChuckMcManis @lcamtuf are the #uutils crowd working from the C source (in which case these bugs are really really stupid) or are they writing code /de novo/ based on a spec? If the latter then these bugs are understandable, provided that they are dealt with when reported.

The real problem here though is Ubuntu, just changing stuff for teh lolz.

#uutils

David Cantrell 🏏 @[email protected] · 2026-05-05 · 09:38 UTC

@ChuckMcManis @lcamtuf are the #uutils crowd working from the C source (in which case these bugs are really really stupid) or are they writing code /de novo/ based on a spec? If the latter then these bugs are understandable, provided that they are dealt with when reported.

The real problem here though is Ubuntu, just changing stuff for teh lolz.

#uutils

Jörg 🇩🇪🇬🇧🇪🇺 @[email protected] · 2026-05-05 · 06:50 UTC

Why does #Canonical wants to replace the fully developed #GNU #coreutils by their newly developed #uutils?
The only difference is, that the uutils are a reimplementation in #RUST of the coreutils, written in #C.
All they obviously do is to put issues into these absolute basic utilities that doesn’t exist in the originals.