Прошедшие пару недель ознаменовались очередным расширением списка дырищ в экосистеме Linux.
Согласно мнению некоторых персонажей, в опенсорсе присутствуют волшебные бесплатные фиксики, поэтому, если в опенсорсе и есть какие-то баги, живущие там десятилетиями, то это пропаганда Microsoft, Oracle, IBM (все трое – крупнейшие из разработчиков Opensource\Linux, IBM с недавних пор – владелец Red Hat).

В реальности

В одной из вариаций на тему Git – Gogs, еще 23 декабря 2024, год назад, нашли дыру с дверь ангара для Боинга: CVE-2024-55947
Спустя год оказалось, что дыру не закрыли, а кое-как залатали досками, и теперь владельцев сервиса, злые люди активно пользуют в ту же самую дыру, только с другим названием - CVE-2025-8110. Новость в мире появилась еще вчера на  theregister (Wed 10 Dec 2025 // 21:31 UTC), сегодня ее потащили по новостным каналам.

В Tika (сервис по определению типа файла и его метаданных)
20 августа 2025 в нем нашли дыру на 10 из 10 - CVE-2025-54988. Вроде кое-как заколотили досками, но – 4.12.2025 ни разу не было и вот опять, CVE-2025-66516.

Что тут сказать? Полгода-год, на повторную дыру, это еще быстро. Серьезные дыры в базовых сервисах Linux существуют годами, как Heartbleed (CVE-2014-0160) и SambaCry (CVE-2017-7494), а просто кривой код на уровне ядра, типа проблемы планировщика Completely Fair Scheduling (CFS) может быть и лет 10, может и больше, начиная с kernel 2.6.38+ и далее.

На фоне таких новостей очень интересно читать рассекреченные документы АНБ – и про то, что Windows стал очень плохо взламываться, и про то, что в сообщество Linux разработки вполне удается проносить специально ослабленный код, как было с Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), и не только:

Команда специалистов по кибербезопасности из китайской Pangu Lab опубликовала отчет, посвященный бэкдору Bvp47, работающему в операционных системах семейства Linux. Программу связывают с хакерской группировкой (APT) Equation Group, которая, по данным аналитиков, действует в интересах Агентства национальной безопасности (АНБ) США.
В ОС Linux 10 лет работает «жучок» АНБ США, следящий за «военкой» и телекомом по всему миру

Очень мне в свое время понравился метод - Обход шифрования диска в Linux через непрерывное нажатие клавиши Enter.

Заключение

Тут должна быть умная мысль, но мне недавно люди, не отличающие vi от chown, популярно пояснили, что перевод бабушек через дорогу, и почты из Microsoft Exchange в PostgreSQL (PostgreSQL Global Development Group,  Regents of the University of California) – это успешный успех импортозамещения.

Все идет по прежнему ..

Замена американской ОС Windows на американскую ОС на базе linux называется “импортозамещением”.
Шпаргалка по общению с СПО-сектантами

Есть во всем происходящем какая-то сложно уловимая ирония.
Но я подумаю про нее завтра – у меня до сих пор не получается собрать на орбите транспорт до Мюн. Мне до КР-700 (Кербинская ракета - 700) еще как .. Впрочем, сравнение придумайте сами.

Хорошо хоть с понедельника у основных заказчиков приостановка работ, в связи с близким рождеством. Можно будет не выкатывать и откатывать до ночи, но спокойно собрать ракету и написать документацию.

HO. HO. HO. Happy Hogswatch!

PS. Прошу при комментариях не забывать про новую классику, в том числе "я сама дочь офицера разработчик программист и не все так однозначно" и классику, не устаревшую за 100 лет:

1. Despicere (смотреть свысока - лат.), или прием первый.
Состоит  в  том,  что  участник  диспута  должен  дать  почувствовать противнику свое интеллектуальное  и моральное  превосходство, иными словами, дать  понять, что противник  -  человек ограниченный, слабоумный,  графоман, болтун,  совершенный нуль, дутая  величина, эпигон,  безграмотный  мошенник, лапоть,  плевел, подонок и  вообще субъект, недостойный того,  чтобы  с  ним разговаривали. Такая априорная  посылка дает вам затем право на тот барский, высокомерно-поучающий  и  самоуверенный тон,  который неотделим  от  понятия "дискуссия". Полемизировать,  осуждать  кого-то, не соглашаться  и сохранять при этом известное  уважение к противнику - все это не входит в национальные традиции.
Карел Чапек. Двенадцать приемов литературной полемики или Пособие по газетным дискуссиям

Если кто хочет комментировать, а вот беда - не может, то он всегда может написать опровержение, и даже написать его на сайте новостей Минцифры. Там сейчас вообще что угодно можно писать, и про живую воду, и про Эльбрус-128к.
Я такое провержение даже, наверное, прочитаю, если пришлют. Но это не точно.