Ошибка в Haskell-пакете ssh (http://hackage.haskell.org/package/ssh) привела к возможности (http://joyful.com/blog/2015-04-20-ssh-darcs-hub-vulnerabilit...) успешной аутентификации любого пользователя посредством его публичного (не приватного!) ключа. Haskell-реализация SSH, в частности, используется в darcsden (http://hackage.haskell.org/package/darcsden) для организации совместного доступа к репозиториям системы контроля версий Darcs. В связи с этим всем пользователям darcsden (в частности, пользователям онлайн-хранилища репозиториев Darcs Hub (http://hub.darcs.net/)) настоятельно рекомендуется проверить целостность и аутентичность своих репозиториев.
Хронология:- 21.03: От стороннего разработчика получены сведения о проблеме с пакетом ssh: последний некорректно осуществлял проверку подписи публичного ключа во время аутентификации пользователя. Как результат, стало возможным пройти аутентификацию, зная лишь публичный SSH-ключ пользователя.- 21.03: Проблема обсуждается с рядом основных разработчиков Darcs, а также с автором Haskell-пакета ssh.- 25.03: Предварительное исправление вносится на Darcs Hub. Предполагается, что уязвимость уже была этим действием закрыта.- 06.04: Вносится более проработанное и протестированное исправление.- 15.04: Всем пользователям Darcs Hub, кто указал работоспособный адрес электронной почты, отправлены уведомления.- 20.04: Сведения об уязвимости публично раскрыты.
URL: http://joyful.com/blog/2015-04-20-ssh-darcs-hub-vulnerabilit...
Новость: http://www.opennet.me/opennews/art.shtml?num=42083
Haskel - это надёжно и молодёжно!"Покупайте наших слонов!"(C)
> "Покупайте наших слонов!"(C)К счастью, критичность этой проблемы несколько преувеличена. В том плане что найти сервер с этим - надо сильно постараться.
>> "Покупайте наших слонов!"(C)
> К счастью, критичность этой проблемы несколько преувеличена. В том плане что найти
> сервер с этим - надо сильно постараться.Тем не менее, для тех, кто пользуется, проблема критична. Вопрос в подходе, как считать критичность — по общему количеству затронутых пользователей или по серьёзности возможных последствий. Обычно говорят всё же о втором, и я имел в виду именно второй вариант.
> Haskel - это надёжно и молодёжно!Человеку, который не смог переписать семь букв -- хорошо бы задуматься над очередным примером того, что никакой инструмент не может за человека думать, писать, проверять...
Вдруг всё-таки на пользу окажется.
Мишаня, поздравляю! Эк ты меня конкретно, а главное по делу, уел, молодец !
Казалось бы, зачем писать тесты.
А они есть. Только не на все случаи, потому что всего тестов бесконечное количество, и написать их все невозможно. И на написание теста "невозможно пройти аутентификацию с публичным ключом без закрытого ключа" просто фантазии не хватило. Теперь-то он, конечно, будет, но вот будет ли там тест, например, "сервер не принимает свой собственный открытый/закрытый ключ в качестве мастер-ключа для всех пользователей"? По-хорошему надо бы и такой тест провести.
Про sqlite слышали? Даже там находят дефекты и уязвимости (хотя бы недавний прогон его afl). Наличие тестов не показывает отсутствия дефектов.
> Наличие тестов не показывает отсутствия дефектов.Собственно, наличие тестов помогает выявить присутствие дефектов. :)
вот не написали бы новость с таким кричащим заголовком, я бы никогда и не узнал, что существует какой-то Darcs Hub
это типа такая реклама?
> вот не написали бы новость с таким кричащим заголовком, я бы никогда
> и не узнал, что существует какой-то Darcs Hub
> это типа такая реклама?Нет. Я сам ни разу не хаскелист, но случай показался мне любопытным, а для кого-то, возможно, это будет важной новостью. Особенно в свете того, что мейнтейнер пакета ssh не сделал уведомление, поэтому пользователи этого пакета, если не пользуются darcsden — на Darcs Hub или ещё как — могут даже не знать о проблеме.
> вот не написали бы новость с таким кричащим заголовком,
> я бы никогда и не узнал, что существует какой-то Haskell//fixed
демьянщики с их злощасным нерэндомным рэндомом могут вздохнуть свободно. следующие пять лет в пример будут ставить хаскелистов.а все почему - "we are not cryptographers - I’m sure the new ssh maintainer would welcome any help from some of those."
Если верить мейнтейнеру Haskell в OpenBSD, то пакет random, используемый всё тем же пакетом ssh, грешит тем же. :)
Пожелаем Не Криптографам пишущим ssh, чтобы поезд которым они едут вел Не Машинист, чтобы стрелки переводил Не Диспетчер, чтобы таксист оказался Не Таксистом, чтобы пилот самолета был все непременно Не Пилотом, а хирург который их будет оперировать - Не Хирургом.
> а хирург который
> их будет оперировать - Не Хирургом.ну так хирург уже занят, он пишет ck патчи к ядру :)
> ну так хирург уже занят, он пишет ck патчи к ядру :)На самом деле он достаточно нормальный програмер. Кроме всего прочего он написал один из лучших майнеров *коинов в свое время, показав кучке питнистов и прочего сброда как нормальные люди пишут софт. И да, никакие законы природы не запрещают пилоту самолета разбираться в хирургии. Просто за работу стоит браться лишь при способности ее сделать качественно. Если некто совсем не разбирается в криптографии, он не сможет написать ssh без грубых ошибок.
> Пожелаем Не Криптографам пишущим ssh, чтобы поезд которым они едут вел Не
> Машинист, чтобы стрелки переводил Не Диспетчер, чтобы таксист оказался Не Таксистом,
> чтобы пилот самолета был все непременно Не Пилотом, а хирург который
> их будет оперировать - Не Хирургом.ну так иди и сам запили, Крутой Криптограф.
что? не Крутой и не Криптограф? и вообще тебе хаскель не нужен? а кому‐то нужен. и они за неимением гербовой вынуждены писать на простой. и честно сообщают, что они не настоящие сварщики, но были вынуждены.
к чему претензии, я не понял? к тому, что люди не ноют, ожидая Дара Богов, а пытаются решать проблемы с теми ресурсами что у них есть? странные претензии.
> ну так иди и сам запили, Крутой Криптограф.
> что? не Крутой и не Криптограф? и вообще тебе хаскель не нужен?
> а кому‐то нужен. и они за неимением гербовой вынуждены писать на
> простой. и честно сообщают, что они не настоящие сварщики, но были
> вынуждены."есть нюанс"(ТМ)
у меня на работе есть один такой некриптограф. его если носом в его говно потыкаешь, он заламывает руки и громко говорит: "Вы такие умные, берите и делайте лучше!"
проблема не в том, чтобы сделать лучше, чем он - это как раз нетрудно. проблема в том, что он же от этого говно делать не перестает.
ну так берите и делайте. а дурака увольте.есть такое мнение, что те, кто терпят дурака в команде, недалеко от него ушли. если ушли вообще.
> ну так берите и делайте. а дурака увольте.
> есть такое мнение, что те, кто терпят дурака в команде, недалеко от
> него ушли. если ушли вообще.да я не то чтобы жалуюсь и спрашиваю совета, как быть, если чо. с такими, слава богу, давно научился справляться. я просто пример привожу.
я могу, например, шугануть дурака, чтобы он в мою ответственность не совался, и он не суется.
а вот как быть с дураком который дурак забесплатно.
> а вот как быть с дураком который дурак забесплатно.сделать лучше. или не пользоваться тем, что он делает.
Вот так вот - юзать маргинальщину.
> Вот так вот - юзать маргинальщину.Мне вот что интересно -- любящие всё подряд зачислять в таковую сами хоть что-то сделали пусть на три порядка менее, но востребованного, чем та "маргинальщина"?..
Те, кто руками да головой работает -- обычно стараются учиться на чужих ошибках. А кто не работает -- ошибается в самом своём мировоззрении.
Однако при всей невкусности его утверждения, есть и вполне валидный пойнт: малопопулярный софт хуже протестирован, поэтому там могут попадаться весьма брутальные баги.
> Однако при всей невкусности его утверждения, есть и вполне валидный пойнт:Не-а. Тут если и говорить, то о двух сторонах медальки, как обычно.
> малопопулярный софт хуже протестирован,
> поэтому там могут попадаться весьма брутальные баги.Использование "малопопулярного" софта на практике давно известно как один из слоёв защиты вроде той же security through obscurity: гарантии не даёт, но временные и прочие затраты на преодоление увеличивает. Причём мне в своё время такую рекомендацию выдал один из людей, у которых *nix и учился -- весьма матёрый безопасник, среди прочего...
И что сынку, помогла тебе серебрянная пуля ?!