| |
| 2.2, vas (??), 23:52, 13/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Только CentOS. Точка.
То, что не пишет про ЦентОС, не значит, что там нету уязвимостей. Тот факт, что уязвимость нашли и исправили является очень и очень положительным, что показывает, что работа ведется не покладая рук. За что респект. А красноглазие удел школьников.
| | |
| |
| 3.4, Аноним (-), 23:59, 13/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.
| | |
| |
| 4.12, Аноним (12), 02:56, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.
Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _такого_ уровня. Ы?
| | |
| 4.51, User294 (ok), 03:49, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.
У дебианщиков сроду паранойя.Что в плане лицензий, что в плане секурити, что в плане стабильности, что вообще в ряде вопросов.Иногда даде нездоровая слегка.А вы не знали?Даже PoC никакого нет и не предвидится пока а дебианщики тупо перестраховались.Не вижу ничего плохого в перестраховке.А редхат, равно как и многие коммерческие компании вероятно не считают нужным кого-либо оповещать о своих внутренних проблемах, изменениях и прочая оставляя это сугубо для своих сотрудников.
| | |
|
| 3.11, Michael Shigorin (ok), 01:42, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >>Только CentOS. Точка.
Ни за какие коврижки. Опять ткну пальцем в http://bugs.centos.org/view.php?id=2177 :-/
>То, что не пишет про ЦентОС, не значит, что там нету уязвимостей.
Вы не поняли.
>Тот факт, что уязвимость нашли и исправили является очень и очень
>положительным, что показывает, что работа ведется не покладая рук.
Не покладающий рук майнтейнер openssl в дебиане попросту сломал пакет для себя, коллег по команде, а также и для всех производных Debian, включая Ubuntu аккурат перед LTS-выпуском.
http://secunia.com/advisories/30220/
http://secunia.com/advisories/30221/
Лучше бы он руки... гм... положил хотя бы в тот день :-(
PS: из соболезнования от соображений по поводу того, почему за себя радуюсь -- воздержусь. Им теперь предстоит изрядный головняк по возвращению работоспособности инфраструктуры для людей :-(
| | |
| |
| |
| 5.32, Имя (?), 14:31, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Прошу прощения за нецензурщину заранее.
Господа, разницу почувствуйте? Debian - делают сами.
CentOS - тырят у RHEL. Т.е господа приверженцы CentOS посмотрите на RHEL.
| | |
| |
| 6.34, none (??), 16:32, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
правильнее сказать ;) - собранный из открытых исходников РХЕЛа
| | |
| |
| |
| |
| 9.56, Аноним (-), 14:04, 15/05/2008 [^] [^^] [^^^] [ответить] | +/– | То что Ваш CentOS тоже не без проблем Успокойтесь Все стараются решать проблем... текст свёрнут, показать | | |
|
|
|
| |
| 7.61, User294 (ok), 13:53, 25/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Я вообще живу под Fedora и мне хорошо... =)
Замечательно.А чего в федорином горе хорошего?Тестовый полигон редхата он и есть тестовый полигон редхата.
| | |
|
|
|
|
|
| 2.50, User294 (ok), 03:45, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Только CentOS. Точка.
Что-точка?А если в каком-то пакете оного окажется дырень(а пакетов много и это наверняка) - еще на что-то сваливать?В итоге вы так со всех ос свалите и уйдете улицы мести.А то вон даже в бсд нашли баг 25-летней :) давности.А у винды опять месячные вообще с критикал багами а не всякой фигней которая где-то там в теории может быть как-то юзабельна.И что?Лично мне центос не нравится.Довольно тупорылый халявный ripoff редхата.Что в нем хорошего?Кроме бесплатности в общем то ничего в нем такого и нет.Дебильный манагер пакетов RPM который редхат к тому же постоянно изволит перекореживать и с которым вечно что-то не так?Может энтерпрайз системы и получше но поюзав CentOS, Дебиан и Убунту мой выбор явно за debian-based.По удобству администрежа и вообще конфигурежки.А у убунтовых еще и направление развития предсказуемое и понятное и контора поддержкой занимается и даже нахаляву баги чинит.
| | |
| |
| 3.55, Анонимно (?), 12:09, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Неосилившему rpm:
Пипец. Вот чем "конфигурежка" в Дебьяне отличается от "конфигурежки" в ЦентОС?
Как она может быть лучше/хуже? Одни и те же пакеты, только в Дебьяне еще и траханина с железом на голову выше Редхата.
| | |
| 3.57, Michael Shigorin (ok), 16:12, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
...ещё многое впереди ;)
>мой выбор явно за debian-based.
В свете темы -- где что корёжат, окромя как в редхате... вопрос... открытый.
В дебиане поклоняются полиси и инструментарию, а не применяют здравый смысл по назначению; в убунте, как кто-то неплохо оформил:
---
Лично мне не нужен Debian "пионэр эдишн" выходящий точно по графику,
но с ошибками в инсталляторе, кучей багов в пакетах и т. д.
---
>А у убунтовых еще и направление развития предсказуемое
Возможно, это Вам так кажется.
| | |
|
|
| 1.9, гость (?), 00:56, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Каким местом думал кретин, выкативший этот идиотский патч?!
Как хорошо, что я всегда и везде использую lsh & GnuTLS...
| | |
| 1.14, Аноним (12), 03:16, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дык как раз сегодня привалил апдейт по apt-get update / apt-get upgrade - там какраз это фиксится. Даже попросил sshd рестартануть ....
| | |
| 1.18, Аноним (10), 09:39, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
молодцы ребята однозначно за то что ищут и за то говорят об этом открыто.
| | |
| 1.19, fa (??), 10:55, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать по какому-то их подмножеству?
| | |
| |
| 2.58, guest (??), 11:02, 16/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и
>публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по
>публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать
>по какому-то их подмножеству?
Ключи можно перебрать по подмножеству из примерно 260.000 вариантов. Обычная машина сделает за секунду.
https://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezopasnyekljuchivdebi
| | |
|
| 1.22, Дмитрий Ю. Карпов (?), 11:59, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении какого-нибудь физического процесса. Идеальным является ядерный распад, т.к. ядра распадаются независимо друг от друга; но это опасно. Неплохо подходит измерение какой-нибудь физической величины (например, температуры) с высокой точностью и отброс старших цифр (можно ещё переставить цифры). А вообще, неплохо годится время запроса на генерацию случайного числа (тоже младшие цифры с точностью до тактов процессора).
| | |
| |
| 2.26, Гость (?), 12:11, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Гдето я слышал что в какихто процессорах интел, просто снимается помеха с какогото резистора для этих целей. Другое дело насколько случайны помехи на процессоре...
| | |
| 2.30, Logo (ok), 14:04, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Апаратные существуют, но с ростом вычислительной мощности всеравно, ранше или позднее, приходит момент их предсказания.
| | |
| 2.33, ilia kuliev (?), 15:58, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении
Вы в своем репертуаре, Дмитрий.
| | |
|
| 1.23, geekkoo (??), 12:03, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Уязвимости подвержен только openssl пакет входящий в состав Debian и
>Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
>некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
>(начиная с версии пакета 0.9.8c-1).
Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...
| | |
| |
| 2.28, exn (??), 13:32, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...
+10000000000000000000
| | |
| |
| 3.29, exn (??), 13:33, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Точнее даже будет сказать - пределывает все и вся только для своего дистрибутива.
| | |
|
| 2.64, Michael Shigorin (ok), 18:03, 28/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Вот за что можноуважать Патрика Фолькердинга, так это за то, что он
>не лезет внутрь сорцов грязными руками...
Это грабли о двух концах. Не знаю насчёт грязных (не встречался), но то, что рук у Патрика скорее две, чем двести -- предполагаю довольно уверенно.
Слакварь за это ванильное свойство любят иные ленивые апстримы, которым влом принимать и интегрировать стороннюю разработку ;)
В одном месте майнтейнер протупит, в другом -- апстрим... но не везде ж майнтейнеры только думают, что они умней апстрима.
| | |
|
| 1.27, ZANSWER (??), 12:59, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Эх... что-то не везёт Debian на узявимости, приводящие к неработоспособности их инфраструктуры...:(
З.Ы. Радует, что административная практика защиты в таких случаях у них работает...:)
| | |
| 1.40, ZANSWER (??), 18:28, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
| | |
| |
| 2.42, Аноним (12), 18:44, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
закоментировал - для удобства отладки. ну ошибся человек, с кем не бывает ? не ошибается только тот, кто ничего не делает. вот например ZANSWER тока на форумах может языком чесать, поэтому он никогда не ошибается. *BRAVO* ZANSWER, так держать ! :)
| | |
| |
| 3.43, geekkoo (??), 18:54, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
>
>закоментировал - для удобства отладки. ну ошибся человек, с кем не бывает
>? не ошибается только тот, кто ничего не делает. вот например
>ZANSWER тока на форумах может языком чесать, поэтому он никогда не
>ошибается. *BRAVO* ZANSWER, так держать ! :)
Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.
| | |
| |
| 4.44, Andrey Mitrofanov (?), 18:59, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>А то эти distribution-specific патчи
>уже достали. В хорошем дистрибутиве все должно быть ванильным.
"Возьмём хороший сферический дистрибутив в вакууме"...
| | |
| |
| 5.46, geekkoo (??), 19:15, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>>"Возьмём хороший сферический дистрибутив в вакууме"...
Не понял. Если есть патч, то что мешает отправите его разработчикам? Или просто разработчики отказываются его принимать? А потом приходится с кислым видом повторять -"Не ошибается тот кто ничего не делает". По-моему, пусть уж лучше каждый занимается своим делом \
| | |
|
| 4.45, Аноним (12), 19:10, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.
полностью согласен, Вы абсолютно правы.
И в данной ситуации, разработчики из debian как ответственные люди - обсуждали с разработчиками openssl это исправление, но вот в чём проблема - ни первые ни вторые, не заметили этой ошибки...
| | |
| |
| 5.48, PereresusNeVlezaetBuggy (ok), 20:14, 14/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.
>
>полностью согласен, Вы абсолютно правы.
>И в данной ситуации, разработчики из debian как ответственные люди - обсуждали
>с разработчиками openssl это исправление, но вот в чём проблема -
>ни первые ни вторые, не заметили этой ошибки...
Насколько я понял, там всё малость сложнее (и тупее)...
В Debian натравливают valgrind на OpenSSL. Тот ругается на строчку, связанную с чтением из неинициализированной области памяти. Недолго думая, в Debian строчку комментируют, и отсылают патчег в OpenSSL. Разработчики OpenSSL говорят, что патч некорректен, и через какое-то время делают свой фикс, не затрагивающий строчку, фигурировавшую в изначальном патче.
Фактически PRNG в OpenSSL использует различные методы для увеличения энтропии, и один из них - чтение неинициализированной части стека. Прошу заметить: не в качестве единственного или основного метода, а в дополнение к другим, т.е., энтропия от этого не ухудшалась в любом случае. В Debian своим патчем затронули не только этот метод, но и результаты работы остальных методов... со всеми (ныне) вытекающими.
Так что ошибка была замечена, но OpenSSL-разработчики не стали утруждать себя информированием о том, _почему_ исходный патч был некорректен, ну а Debian-овцы, положившись на valgrind ("миллионы мух не могут ошибаться!"), в итоге лажанулись.
Тем не менее, как уже было не раз сказано, в Debian свои ошибки не побоялись открыто признать и оперативно исправить, и за это их _администраторов_ нельзя не уважать.
BTW: http://daniel.molkentin.de/blog/archives/118-On-the-topic-of-recent-PRNG-disc
| | |
|
|
|
|
| 1.41, vehn (??), 18:38, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
..всегда относился с достаточной долей сомнительности к привычке дебианистов накладывать патчи на всё и вся. Собственно, за что боролись, на то и напоролись. Хорошо хоть оперативно решают.
| | |
| 1.47, Аноним (12), 19:31, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дырки в пакете дебиана, а пострадают - редхатовцы :) Потому, что дебиановци вытравят все дырявые public keys в помощью 'ssh-vulnkey', а не-дебиановцы не смогут автоматически обнаружить такие ключи на своих серверах.
Например, CPanel, ставящаяся на RHEL/Centos, имеет систему импорта ключей для организации доступа по ключу. Ждём сообщений о взломах :)
| | |
| |
| 2.49, Акфтл (?), 00:16, 15/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Дырки в пакете дебиана, а пострадают - редхатовцы :) Потому, что дебиановци
>вытравят все дырявые public keys в помощью 'ssh-vulnkey', а не-дебиановцы не
>смогут автоматически обнаружить такие ключи на своих серверах.
>Например, CPanel, ставящаяся на RHEL/Centos, имеет систему импорта ключей для организации доступа
>по ключу. Ждём сообщений о взломах :)
Если подумать, то это вряд ли. Вероятно, уязвимости подвержены debian-based сервера, у которых уязвимые хост-ключи, и у которых можно получить юзерский public key (именно юзера этого же сервера, генерённый на этом серваке). Я не думаю, что сервер без уязвимости подвержен опасности при использовании "слабого" публичного ключа для доступа к такому серверу.
| | |
|
| 1.65, Sol (?), 12:28, 30/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
| | |
| |
| 2.66, Pilat (ok), 02:03, 18/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
>
В своём репертуаре программисты openssl, не написавшие комментарии.
| | |
|
|
