В процессе изучения выявленной на прошлой неделе критической уязвимости в OpenSSH, обнаружена ещё одна похожая уязвимость (CVE-2024-6409), позволяющая добиться удалённого выполнения кода без прохождения аутентификации. Новая уязвимость не столь опасна как прошлая, так как проявляется после сброса привилегий в запущенном SSH-сервером дочернем процессе. Уязвимость присутствует в пакетах openssh из дистрибутива Red Hat Enterprise Linux 9, основанных на опубликованном в 2021 году выпуске OpenSSH 8.7. Проблема также затрагивает пакеты для Fedora Linux 36 и 37, основанные на выпусках OpenSSH 8.7 и 8.8...Подробнее: https://www.opennet.me/opennews/art.shtml?num=61509
У каждой уязвимости есть имя и фамилия. Есть коммитер есть мейнтейнер, но конечно же их упоминать мы не будем, плохой только Jia Tan.
Канешно есть фамилия, даже две: Керниган и Ричи.
Стальные ножи и топоры опасны, надо срочно заменить на пластмассовые!
Или на плазменные резаки...
А если что нарезать надо - в специализированную фирму пойдут, им там профессионально нарежут. Заодно и кто надо прибыль получат, и с неё кому надо дань заплатят. Отработано в Пекине, готово к распространению на весь мир.
Давно в аэропортах не был, да?
Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное
> Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальноеУгу, а вот криптогафия, это универсальное решение!
Каждый уважающий пограммист обязан написать свою криптолибу.
И главное, чтобы она был быстрой, то что дырявая, то дело житейское, все равно бракоделы по другому не умеют.
> Давно в аэропортах не был, да?Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей - очень нишевое удовольствие, я бы сказал.
> Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей
> - очень нишевое удовольствие, я бы сказал.Можешь пешком ходить)
Я вот только за чтобы всяких подобных б-ланов, тщательно проверили.
А то еще сядет подобное на соседнее сиденье, и начнет рассказывать про теории заговора, химтрейлы и тд.
>> Давно в аэропортах не был, да?
> Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей
> - очень нишевое удовольствие, я бы сказал."С удовольствием" - это уже какое-то лядство, а мы тут честную проституцию обсуждаем. Положено медосмотр - проходим медосмотр - но нет, обязательно найдутся любители почти-даром-за-амбаром, зато "со всем удовольствием и немного даже по любви!" - и лечи потом за ними разные CVE-RCE...
И все изображения колюще-режущих заменить на акртинки ромашек
Из них только один может иметь хоть какое-то отношение к сигналам
не ошибается тот кто ничего не делает! не делает и ядовитые комменты везде оставляет! вот он то, да, он молодец!
Jia Tan тоже всего лишь ошибся. А воя на несколько новостей на одном только опеннете.
И в чем же он ошибся? В том, что его спалили?
>У каждой уязвимости есть имя и фамилия.вставьте имя админа который на важный сервер поставил RHEL9. 8ке ещё стоять и стоять. предыдущая дырка тоже мимо пролетела. я знаю челов, у которых до сих пор всё на 7ке ))) их в принципе можно понять.
Это какая-то логика госпараш? Коммитер должен всегда делать идеальные правки с риском после любой ошибки сесть на кол как при Иване Грозном?Все ошибаются кто-то чаще кто-то реже, если возможность ошибится есть - ошибка гарантированно случится, тому нет никакого смысла выяснять даже кто её допустил. Нужно менять процессы ревью, анализа, тестирования и так далее, чтобы ошибок было меньше. Тыкать в людей смысла абсолютный ноль.
Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт важном сервисе. Важен не сам факт ошибки, а какой был рабочий процесс внесения изменения. Если прошляпиля куча глаз, включая апстрим, то ~ сделали всё что смогли. Если же в одно рыло под одеялом ночью патчили, то таки да - на кол.
> Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт
> важном сервисе.вон там тебе человек, нашедший уязвимость (так что да - куча глаз - внезапно, в этот раз не прошляпила), пытался разжевать - проблема создана именно апстримом.
Так что вероятнее всего - даже если бы кто-то оттуда снизошел до посмотреть, и даже всерьез бы задумался точно тут все работает или не совсем - нет никаких гарантий что заметил бы проблему.
Но на деле тот и не собирается этим заниматься, ему твой редхат - пофигу абсолютно.
Технически, баг не в этом коммите и исправление тоже не затрагивает это изменение.
А сколько вы заплатили за использование? Какова ответственность поставщика этого по вашему договору?
Как мгу подготовило так и написали
Угадайте, на каком языке он написан. На размышление дается 30 секунд.
Молоток опасен для того, у кого руки из опы. Ну или в руках того, кто твёрдо вознамерился нанести урон. Но есть и обратная сторона - когда в руках молоток, всё становится похожим на гвоздь. Вот такая диалектика.
А, если это молоток с кривой ручкой) и притом все окружающие утверждают ведь что оня прямее всех прямых!...> Угадайте, на каком языке он написан
Чего копаться с сортах дерьма гадая?!...
Ну вот я про один из - только что написал своё видение(в "Критическая уязвимость в GitLab"):
> "Gitlab - новый sendmail" - причем на безопасном рубиИ на безопасном линукс, молодцы!
А, чтобы не было никаких уязвимостей в ч.н.в гите* - отменить пароли,
вот я например сижу даже в линуксе не только без антивируса а и даже рутового пароля - неверится? Только что расписал тут:
- https://www.opennet.me/opennews/art.shtml?num=61517#25
Приведи пример безопасного языка, который нужно было взять на момент начала разработки OpenSSH.
Ada?
Какого качества были свободные компиляторы Ada в то время? Знал автор первых строчек кода OpenSSH язык Ada? Какова вероятность найти нужного количества "помощников" со знанием Ada? И так далее...На заре становления open source проектов кроме C, C++ выбора особо и не было. Либо закрытые компиляторы, либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ...
> Какого качества были свободные компиляторы Ada в то время?А они обязательно свободные должны быть? Типа ради шbo6oдки и омно жрать готовы?
Ты ж понимаешь что все вопросы к качеству компилятора нужно задавать сообществу.
Вот почему сообщество не запилило хороший компилятор, а?
Сообщество никому ничего не должно. Запомни это. Это раз.Трудно использовать в floss проектах закрытое платное программное обеспечение, проще взять бесплатное открытое с некоторыми изъянами ПО. Это два.
Почитай историю про Ada, тогда поймёшь почему этот язык довольствуется узкой нишей и почему его в здравом уме во floss проектах не используют.
> Сообщество никому ничего не должно. Запомни это. Это раз.Так и я щообществу™ тоже)
И потыкать их мордочков в лужу, никто мне запретить не может.> Трудно использовать в floss проектах закрытое платное программное обеспечение, проще взять
> бесплатное открытое с некоторыми изъянами ПО. Это два.С несколькими ФАТАЛЬНЫМИ изьянами.
Типа дырявая криптолиба))> Почитай историю про Ada, тогда поймёшь почему этот язык довольствуется узкой нишей и почему его в здравом уме во floss проектах не используют.
Естественно не используют.
Во-1х, у поехавших фанатиков, до 2008 кажется года, весь код который компилялся ЖЦЦ должне был заражаться гну-раком. пришлось отдельный экстеншн пилить.
Во-2х, чтобы писать на АДА нужны мозги, а чтобы прдолить каст к void*, внезапно нет.
> Так и я щообществу™ тоже)Ну вот и не пользуйся программой, например. Напиши свою, как там тебе удобно, лучше, а мы постебем тебя как раз. Так намного интереснее все соотношения будут!
> И потыкать их мордочков в лужу, никто мне запретить не может.
Так и фак тебе в ответ показать - тоже. Такой вот нюанс.
> С несколькими ФАТАЛЬНЫМИ изьянами.
> Типа дырявая криптолиба))Не нравистя -> не пользуйся. Какие-то проблемы с пониманием этого факта? :)
> Во-1х, у поехавших фанатиков, до 2008 кажется года, весь код который компилялся
> ЖЦЦ должне был заражаться гну-раком.Казалось бы при чем тут лужков^W openssh?....
> Во-2х, чтобы писать на АДА нужны мозги, а чтобы прдолить каст к void*, внезапно нет.
Ну ты ж на этом сблюве не написал вон то, весь такой фильдиперсовыЙ, так что кюшай что дают и не вякай, или пиши свое и лучше сам.
>>> Приведи пример безопасного языка, который нужно было взять на момент начала разработки OpenSSH.
>> Ada?
> ... Знал автор первых строчек кода OpenSSH язык Ada?Демагог мелкого пошиба. Сначала спросил, какой язык надо было брать (видимо, ожидая, что не ответят), а когда ответили, выдал - "а автор его не знал! Вот!". Л - логика, аж фонтаном прёт. Создан сабж был под руководством Тео де Раадта. Уж у такого чувака вопросы с "новым языком" не возникли бы, думаю. Причем, если забыть о его огромном опыте работы в ИТ, то и образование у него профильное, бакалавр информатики Университета Калгари. Могу предположить, "студентов-информатиков" там не только Си с паскалем, SuperCalc'у и dBase'у с фокспро учили. Про аду уж всяко хотя бы слышал, учитывая, что в 1987 году язык Ада был официально стандартизован ISO, переведен Министерством обороны США в общественное достояние и к 1990 году в мире существовало уже около 200 компиляторов, соответствовавших стандарту языка Ада. А сам Раадт 92-го года университетского выпуска, а OpenSSH - вообще 1999-го.
И вообще, безотносительно к Аде, утверждать, что "автор не знал языка" - это обвинить профессионала от ИТ в неспособности выучить более подходящий задаче новый язык, т.е. в профессиональной недееспособности.
Я - "Знал автор первых строчек кода OpenSSH язык Ada?"Ты - ...утверждать, что "автор не знал языка"...
Видишь свою первую допущенную ошибку?
На разбор всей остальной твоей писанины жалко даже минуты свободного времени.
Рассуждаешь неплохо, но не владеешь фактами. Тео не создал OpenSSH, а форкнул форк. Программист он посредственный, а как человек — конфликтный, неуживчивый. Разработка любого сложного софта — а OpenSSH это очень сложный софт — занятие прежде всего социальное, и только во вторую очередь требующее специальных навыков. Поэтому даже если кто-то и предлагал переписать на Аде (что крайне сомнительно, культура разработки в те годы была крайне плохая, в первую очередь в опенсорсе), то вряд ли Тео услышал, если вообще был готов слушать. А сейчас уже поздно. Одна надежда на раст-сообщество, у них и задор пока есть, и необходимость занять нишу.
> Одна надежда на раст-сообщество,
> у них и задор пока есть, и необходимость занять нишу.но пока они прячутся от борова.
А CoC.md и README.md занимают только нишу проверенных эталонных м-ков.
Тебе виднее от чего они прячутся. Я пока что наблюдаю, как они уверенно закладывают базу для того, чтобы спуститься с холма и покрыть стадо. Случится ли это, и если случится, то когда — время покажет.
вдогонку> либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ...
Автор, что за фэнтези ты там из пальца высасываешь, описывая какого-то сферического коня в вакууме? Что за гаражные кодеры-"наколеночники"? Это не какая-то скрытая история:
"OpenSSH был создан командой OpenBSD [под руководством Тео де Раадта] как альтернатива SSH, который все ещё является проприетарным ПО"
это в викивракии нынче такое вранье?
Ну. Прям рядом с рассказом, как Столлман Емакс ваял ). Everybody knows(C)
Все врут! И только нах - пох! :)
Вот ещё врули лопоухие, так к примеру:
https://www.oreilly.com/library/view/ssh-the-secure/05960089...
> Вот ещё врули лопоухие, так к примеру:
> https://www.oreilly.com/library/view/ssh-the-secure/05960089...тут не написано что что-то было "создано" командой недоучек.
Тут написано правильно - они сп-ли последний бесплатный релиз у Йлонена, переименовали и понаставили своих убогих копирайтов.> It has been ported successfully
вот это особенно смешно. Потому что настоящий ssh и так работал на всем перечисленном.
> OpenSSH был создан командой OpenBSDА чем же тогда занимались Tatu Ylönen и IETF secsh group?
>> OpenSSH был создан командой OpenBSD
> А чем же тогда занимались Tatu Ylönen и IETF secsh group?вредительством! Попытками очернения и скрытия ценного кода от соворщества!
Кто владеет прошлым, тот владеет будущим. А других источников информации у поколения смузихлебов кроме викивракии - нет.
Ассемблер.
Очевидно же: великий и могучий.
Работать надо уметь.
Угадайте, на каком языке он не написан и почему.
На любом кроме дыряшки.
Его не переписали ни на АDA/Spark, ни на современных плюсах.
Можно было бы попробовать V или зиг.А почему?
Потому что сейчас культ дидов, которые 40 лет назад одну сишку выучили, а новое освоить уже не могут.
Вот и тащут сотни UB и производят CVE.
Максимально копротивляются любым изменениям, ибо такие деятели пойдут мести улицы, вместо написанеия программ от которых зависит благополучие тысяч людей.
Так, надо подумать. Он реально существует, значит, точно не на раст. Он должен работать на максимально возможном числе систем, значит точно не яве/сишарпе с их полутора поддерживаемыми платформами. Он не монструозный микросервис, работающий по хттп, значит точно не на похапе/руби/питон/го/нодежс.Ну, вроде как остаётся только си. Я угадал?
Нет, плюсы пропустил.
> Он должен работать на максимально возможном числе систем, значит точно не яве/сишарпе
> с их полутора поддерживаемыми платформами. Он не монструозный микросервис, работающий
> по хттп, значит точно не на похапе/руби/питон/го/нодежс.
> Ну, вроде как остаётся только си. Я угадал?Ты забыл добавить, он должен быть дырявый как портовая девка, тк без этого будет трудно ломать криптографию.
И чтобы такая ситуация была максимально долгой, нужно придумывать всякие отмазки типа "а вдруг нашу либу захотят напустить на Motorola 6809!",
"а вдруг над пользователь захочет чтобы все шифровалось побыстрее, и пофиг что хартблид!"
Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый исполняемый код, и при этом абсолютно свободный от состояния гонки. 30 секунд пошли.
> Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый
> исполняемый код, и при этом абсолютно свободный от состояния гонки. 30
> секунд пошли.С++? )
> Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый исполняемый код, и при этом абсолютно свободный от состояния гонки. 30 секунд пошли.Ассемблер! Хорошо оптимизированный ассемблер будет побыстрее дыряшки.
А если не столь быстрый?
Когда нечем больше хвастаться начинается меранье в скорости?
Жене в кровате тоже будешь хвастаться "за 30 секунд успел!"?Криптолиба имеет основную характеристику, самое важное свойство - надежность.
Остальное это уже вторично.
А то получится как в анекдоте про машинистку "1000 слов в минуту печатаю, но такая фигня получается"
> Ассемблер!Было условие - наличие в языке средств, исключающих возникновение состояния гонки.
Ассемблер и не будет быстрее Си. По крайней мере, в руках того эксперта.
SPIRAL.
> SPIRAL.Спасибо. Интересная штука.
>но в пакетах к RHEL 9 и Fedora был применён дополнительный патчОпять мейнтейнеры запустили свои ручки в чужой код. Это какое-то бедствие уже. Им пора усвоить, что они не программисты и в чужой код лезть нельзя.
Это ж ради аудита (а потом и телеметрии) ... Не трогай святое !!!
Проблема присутствует, но в данной ситуации я бы не стал критиковать кого-либо или какой-либо проект. Мне ситуация видится так: части пользователей дистрибутива требуется аудит-лог (вероятно, из-за каких-то законов, применимых для какой-то категории внедрений, и написанных из лучших побуждений), Red Hat эту функциональность добавляет корректно используя внутрение интерфейсы OpenSSH, а проект OpenSSH по ошибке вызывает одну из своих же функций некорректно. Это о появлении уязвимости. Попутно мы также нашли пару других проблем с аудит-патчем, одна из которых по-видимому связана с его некорректным переносом с более старых версий OpenSSH на новые, но это непосредственно не связано с появлением уязвимости.
> Мне ситуация видится так: части пользователей дистрибутива требуется аудит-лог (вероятно, из-за
> каких-то законовпричем тут - законы? audit.log защищен selinux, в отличие от сислогов, и есть шансы что в нем останется та попытка, которая внезапно оказалась удачной, даже когда обычные логи подчистят.
И если в системе есть аудит - феноменально глупо выглядит пускать ssh работать в обход, не оставляя в нем никаких следов.
Ну а дальше да - трэш собственно в самом openssh, и always have been.
Но другого sshd (на безопастном йезычке) нам, к сожалению, никто не напишет. А Йлонен поди на пенсии.
> в отличие от сислогова сислог, внезапно, на другом сервере (сием).
> причем тут - законы?
журналирование событий в "крит." важных системах - обязательное.
> audit.log защищен selinuxО чём ты? Три четверти гайдов по настройке чего угодно на RHEL начинается с "setenforce 0", который бездумно копируется из системы в систему.
9/10 постов и коментов в интернете имеют отрицателььную пользу. Если бездумно копировать гайды не читая и не разбираясь - ожидаемо получится небезопасная система, потому что авторы их оптимизируют под аудиторию, а НЕ под безопасность.
Дооооо, расскажи мне какой ты весь в белом и на коне, а остальные плебеи. Я насмотрелся вдоволь что в топ500, что в стартапах, что на производствах (особенно на производствах — нет хуже админа чем цискарь со своим 10.0.0.0/8 и минимум месяц чтобы порт в фаерволле открыть даже с аппрувом от CTO). В комментариях все такие прохаваные, а в реальности одинаковый рутовый пароль на всех серверах, принтеры с админскими правами в АД ходят, а SELinux был отключен для дебага в 2019.
обычно это означает что чегоугодно либо не стоит пользоваться вообще, либо не стоит пользоваться этим гайдом, потому что его писал кексперт с локалхостом, даже хуже здешних.
Ага. А потом смотришь в реальную сеть, а там не система, а набор локалхостов, хоть сейчас под кровать ставь.
> Ага. А потом смотришь в реальную сеть, а там не система, а
> набор локалхостов, хоть сейчас под кровать ставь.не работай в помойках.
Да, мне это тоже непонятно. С каких пор ментейнер стал программистом?Это скорее поддерживающий в оригинальном понимании значения слова.
Но корпорасты это практикуют активно 🤷🏻♀️
В большинстве случаев, что я видел, англоязычные используют глагольную форму ("я поддерживаю"). Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и не по ГОСТ-у.
Инфраструктура патчей задумана наложения секьюрити-фиксов и для тривиальных изменений типа дефолтных путей. Но мейнтенеры решили, что они во всем поставляемом в дистрибутиве софте разбираются лучше, чем его авторы.
>>но в пакетах к RHEL 9 и Fedora был применён дополнительный патч
> Опять мейнтейнеры запустили свои ручки в чужой код. Это какое-то бедствие уже.
> Им пора усвоить, что они не программисты и в чужой код
> лезть нельзя.Мейнтейнеры должны уйти как класс. Только беды от них
> Мейнтейнеры должны уйти как класс. Только беды от нихТак и представляю себе морды програмеров которые будут разучивать как билдовать пакет под шляпную хрень самолично. А оно им, простите, надо, если они допустим убунточку какую юзали, где это все - сильно иначе?
Более того - бэкпорты на стабильную версию тоже програмер должен хреначить? Не, вкатить то что вот прям ща у прогармера есть в стабильный дистр - не вариант. Может оно вообще не запускается даже, или там формат конфигов сменили 2 раза - так что оно вообще работать не будет с конфигой от старой версии?! И тут продакшн такой после апдейта этого всего - хрясь. И бизнес клиентуры - упсь.
Так что ваш хитрый план имеет небольшой изъян.
>[оверквотинг удален]
> под шляпную хрень самолично. А оно им, простите, надо, если они
> допустим убунточку какую юзали, где это все - сильно иначе?
> Более того - бэкпорты на стабильную версию тоже програмер должен хреначить? Не,
> вкатить то что вот прям ща у прогармера есть в стабильный
> дистр - не вариант. Может оно вообще не запускается даже, или
> там формат конфигов сменили 2 раза - так что оно вообще
> работать не будет с конфигой от старой версии?! И тут продакшн
> такой после апдейта этого всего - хрясь. И бизнес клиентуры -
> упсь.
> Так что ваш хитрый план имеет небольшой изъян.Именно в этот момент, разработчики задумаются, а нафига им билдовать 212545424564654 пакетов для всех возможных 341564321374564 дистрибутивов.
И такие О, есть же флатпак, снап, да даже appImage. Или о боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности, по принципу сделаю свою сущность с блекджеком и развлечениями.А так да. Зачем разрабам задумываться, когда за них работу делают. Снимают ответственность с них за их работу. Благодать. И пофигу, что в общем система страдает и лагает, но зато разрабам таааак удобно.
А так, на самом деле сейча всё вот это, это костыли на костылях и костылями подгоняемо. Увы.
И ситуации, когда левые ребята хреначат бекдоры или уязвимости(разберись еще, спецом они или случайно) и такие "ну прастите нас" и все прощают. А что ты сделаешь. Костыль использовать приходится.
> И такие О, есть же флатпак, снап, да даже appImage. Или о
> боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности,а зачем ее делать-то? Одна винда у нас уже есть, хватит.
>> И такие О, есть же флатпак, снап, да даже appImage. Или о
>> боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности,
> а зачем ее делать-то? Одна винда у нас уже есть, хватит.Нах нах ты явно читать не умеешь. Я не писал про один Линукс.
Но раз ты эту тему зацепил. Это было бы офигенно!И винда с макОС и с Андроидом и ИОС, это доказало.
Чем меньше сущностей, тем лучше для ОС и пользователей.
>> Мейнтейнеры должны уйти как класс. Только беды от них
> Так и представляю себе морды програмеров которые будут разучивать как билдовать пакет
> под шляпную хрень самолично. А оно им, простите, надо, если они
> допустим убунточку какую юзали, где это все - сильно иначе?с опенссхем все еще хуже - они openbsd юзают, и оно даже и не будет собираться вообще.
Причем разумеется можно было сразу писать кроссплатформенный код, но зачем, так гранты можно ж два раза собирать.
> Более того - бэкпорты на стабильную версию тоже програмер должен хреначить?
вот это - честно-то говоря - да. Поддержка стабильной версии руками кого-то кроме основного разработчика - задача существенно сложнее чем добавить вызов audit в место, специально помеченное как предназначенное для добавления локальных хуков. И чревата регресиями в самых стремных местах. Можно посмотреть в той же рассылке убунты, она не за пэйволом - сколько раз они "ой, мы сбэкпортили фикс, но сделали это без уважения, вот еще один фикс фикса". (и еще один, и еще!)
Но... правильно, нынешние разработчики блюют своим смузи от одной мысли прикоснуться к чему-то не наиновейшему еще дымящемуся, поэтому и этим тоже заниматься не будут.
У каждой ошибки есть фамилия и адрес. Гит блэйм в студию.
уверен, что в сберлинуксе нет такого :-)
Мопед не его, он просто кинул объяву.
Как там поживают бинарно совместимые клоны шапки?
так же
на днях затычка в альму приехала
Хорошо поживают. Я нашел эту уязвимость благодаря моему участию в Rocky Linux и поддержке от компании CIQ. Мы исправили ее в Rocky Linux SIG/Security и 9.2 LTS от CIQ в день публикации, то есть вчера. А сама публикация была задержана на неделю, чтобы дать Red Hat время к ней подготовиться. AlmaLinux также были оповещены заранее через список рассылки linux-distros.
Правильно говорят лучше продолжать сидеть на доисторическом центе. Который ещё не стрим.
>Правильно говорят лучше продолжать сидеть на доисторическом центевообще-то в 8м OL ни этой, ни предыдущей дырки не было, 7ка уже больше на диагноз похоже. postEOL саппорт там какие-то васяны делают.
> Правильно говорят лучше продолжать сидеть на доисторическом центе. Который ещё не стрим.В случае solardiz у него есть кое-что получше: работающий головной мозг. Это - лучше всего, особенно в паре с экспертизой в предметной области.
RCE и тут и в предыдущей возможности даже теоретически неосуществим. Новость - самопиар.
Как-то так.
зы: сталкивался неоднократно с проблемами из-за задействования в обработчиках сигнала non-signal-safe, как раз именно с вызовом маллок в обработчике сигнала во время вызова маллок. Это приводило к дедлоку. Учитывая архитектуру подключения ссш, которая на каждое подключение создает новый процесс, проблемы это никакой не создаст. Тем более, не даст возможности удаленно выполнить код.
Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys. Не просто и не быстро, но в лабораторных условиях проверено.
> Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys. Не
> просто и не быстро, но в лабораторных условиях проверено.Читал в оригинале - https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt, секция Theory. нет там RCe. Там перед этим много пафосных ссылок, цитат, описаний протоколов, книг но если продраться к деталям - то всё базируется на том, что мол в коде ssh будут неверные ссылки на список, в котороым сырые данные пакетов - тут делается усиление что мол "а это же аттакер контроллер дата", и далее переход на следующий фуфел про опенссл.
Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average to win the race condition, and ~6-8 hours to obtain a remote root shell (because of ASLR)." Что за "фуфел про опенссл" я не понял, OpenSSL там не упомянут.
Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит, где специалисту приходится что-то доказывать тому, кто даже подписаться под своими словами боится.
> Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит,
> где специалисту приходится что-то доказывать тому, кто даже подписаться под своими
> словами боится.Я вижу довольно большую разницу между "n00by" и "solardiz". Второй никогда не набивал себе цену нахрапом. Ему это не надо! Его уровень экспертизы все желающие могут увидеть в тематичных рассылках. И он не вызывает вопросов, в отличие от твоей напыщеной фигни и самолюбования.
А еще наверное у solardiz все же хватит ума не быковать на майнтайнеров.
Спасибо за наглядный пример, о таком и пишу. Влазит неизвестно кто и пишет с таким пафосом, будто бы его мнение имеет какой-то вес.Подобный троллинг имел бы смысл, если бы далее ты смог представиться, но... ;)
> хватит ума не быковать на майнтайнеров.
Цитирую себя, #71:
"В большинстве случаев, что я видел, англоязычные используют глагольную форму ("я поддерживаю"). Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и не по ГОСТ-у."
Мне пока "не хватило ума" понять, кто вообще такие - майнтайнеры, и зачем они называют себя таким словом.
> Влазит неизвестно кто и пишет с таким пафосом, будто бы его мнение имеет какой-то вес.Вес и осмысленность того или иного мнения каждый подписчик определит для себя сам.
> Подобный троллинг имел бы смысл, если бы далее ты смог представиться, но... ;)
Ты уже достаточно представился для антигравитации в вопросах веса. Это тот неловкий момент когда я бы в твоей шкуре - предпочел быть анонимом. Но ты такой гений что закрыл себе этот путь. И будешь с твоей репутацией вечно.
Нет, ты в принципе рядом не стоишь с solardiz. Не льсти себе. Он значительно более умный субъект, и даже если у него не написан реалнейм и проч, это совершенно пофиг. Он известен конкретными делами, в конкретных тусовочках.
> Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и
> не по ГОСТ-у."Еще 1 пример могучего интеллекта сдобреного квадратно-гнездовым мышлением. Когда у тебя будет хотя-бы проц и оперативка сделаные по госту, можно будет продолжить разговор.
> Мне пока "не хватило ума" понять, кто вообще такие - майнтайнеры,
Это заметно.
> и зачем они называют себя таким словом.
Затем что это устоявшийся в отрасли термин для их деятельности. Но если так, соваться в погосты, то номинально "старший программист Шигорин" может оказаться круче тебя. На бумаге. А де факто он програмить если и умеет то на баше каком, и то... так что погостовская фигня оказывается не очень стыкованой с активностью "в поле". Зато если "майнтайнером ffmpeg" обозвать - всем гораздо понятнее что делает тушка в том контексте и ожидания совсем другие. Как эта тушка майнтайнит ту программу, не умея на си прогать я, правда, не знаю. Наверное на манер билдбота. Но это уже нюансы.
Я ведь занёс "Аноним" в ЧС не для того, что бы запретить Анонимам мне отвечать, а что бы не читать именно тебя, User287 (или как было твоё имя, от которого ты отказался?) Соответственно, я и не читаю, ты это знаешь. Потому не вполне понятно усердие вот этих попыток продемонстрировать своё превосходство над кодом сайта. Ты хочешь показать публике, что Максим что-то не доделал? Это вполне нормально, когда человек тянет проект один. На деле ты показываешь, что никто из сообщества так и не заслужил его доверия. Это как раз та проблема, о которой я и писал в своём первом сообщении ветки.
> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
> to win the race condition, and ~6-8 hours to obtain a
> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
> я не понял, OpenSSL там не упомянут.Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
>> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
>> to win the race condition, and ~6-8 hours to obtain a
>> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
>> я не понял, OpenSSL там не упомянут.
> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.То есть ты готов изучить все системы и доказать, что эксплуатации не было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали, закинули руткит. Не видишь руткит? Значит он работает и справляется со своей задачей.
>>> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
>>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
>>> to win the race condition, and ~6-8 hours to obtain a
>>> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
>>> я не понял, OpenSSL там не упомянут.
>> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
> То есть ты готов изучить все системы и доказать, что эксплуатации не
> было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали,
> закинули руткит. Не видишь руткит? Значит он работает и справляется со
> своей задачей.вы некорректно ставите задачи, не ваше это. От исходного сообщения этих горе-взломщиков так и тянет душком фальсификации - тут и цитаты из книг, описания протоколов, статистика распространенности систем и многое другое, чего быть не должно в нормальном описании цве. Как, например, было в уязвимости дхклиента. Просто и четко. Тут же много ненужного, воды, в описании механизма перескоки.
Допустим у тебя вообще есть возможность в коде ссш поставить мемцпи со своими данными в указанный связанный список пакетов. Что и куда ты закопируешь для исполнения кода? побьешь указатели на пакеты? очень хороший результат. Нет, не верю. Если первый же приведенный пример не работает, что говорить об остальных?
Увидимся здесь же в 2026.
>[оверквотинг удален]
>>>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
>>>> to win the race condition, and ~6-8 hours to obtain a
>>>> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
>>>> я не понял, OpenSSL там не упомянут.
>>> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
>> То есть ты готов изучить все системы и доказать, что эксплуатации не
>> было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали,
>> закинули руткит. Не видишь руткит? Значит он работает и справляется со
>> своей задачей.
> вы некорректно ставите задачиВполне адекватно исходному "через пару лет зафиксировать отсутствие эксплойтов". Даже обошёлся без термина "фуфло". Понял, что ты не готов. ЧИТД.
К чему не готов?
> К чему не готов?Я понимаю, что моё сообщение #127 было слишком давно для некоторых, потому сохранил вопрос со словом "готов" и в #147. Если ты теряешь контекст и не способен прочесть сообщение, на которое отвечаешь, забудь про вопросы безопасности.
появились эксплойты, не?
Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты же взялся доказывать, что их нет. Но учти, что могут и надуть.
> Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты
> же взялся доказывать, что их нет. Но учти, что могут и
> надуть.фиксируем: эксплойтов нет, пылкие юноши уже теряют уверенность в собственной квалификации.
>> Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты
>> же взялся доказывать, что их нет. Но учти, что могут и
>> надуть.
> фиксируем: эксплойтов нетБремя доказательства утверждения "эксплоитов нет" лежит на заявителе, то есть на тебе.
> пылкие юноши уже теряют уверенность в собственной квалификации.
Согласен, потому "они" и заговорили о себе во множественном числе ("фиксируем").
У тебя стандартный набор эксперта: примитивная демагогия и проекции. Ничего нового, дальше ты мне не интересен.
> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
> to win the race condition, and ~6-8 hours to obtain a
> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
> я не понял, OpenSSL там не упомянут.и все-таки, давайте попробуем осуществить этот код с максимальной поддержкой от уязвимого софта. Где, каким образом мы добъемся выполнением кода из пакета, что "формируется хакером"?
Вполне ожидаемо от RHEL и вообще "стабильного" дистрибутива.
Хорошая новость. Теперь бы ещё обновить 100500 серверов...
ансибл, соль, шеф и кукла тебе в помощь
Ещё есть "кф двигатель"
Повторял и буду повторять, программы должна распространяться только создателями. Мейнтейрнеры должны умереть как класс.
Кто просил в чужой код вносить изменения? Гении блин.
Ты противоречишь Open Source.
> Ты противоречишь Open Source.А ты противоречишь здравому смыслу.
Вот представь что ты выпускаешь пирожки под торговой маркой "Соль земли".
И даже рецепт для всех выложил!А Васян™, перед тем как отдать пользователю, туда просто насарал, в каждую коробочку.
Но он не сменил надпись на коробке на 'Пирожки "Соль земли" с сюрпризом от Васяна'Лезешь своими корявками? Так переименуй либу.
Назови "Омнокодище". Тогда никаких претензий не будет.
>> Ты противоречишь Open Source.
> А ты противоречишь здравому смыслу.
> Вот представь что ты выпускаешь пирожки под торговой маркой "Соль земли".
> И даже рецепт для всех выложил!
> А Васян™, перед тем как отдать пользователю, туда просто насарал, в каждую
> коробочку.
> Но он не сменил надпись на коробке на 'Пирожки "Соль земли" с
> сюрпризом от Васяна'
> Лезешь своими корявками? Так переименуй либу.
> Назови "Омнокодище". Тогда никаких претензий не будет.База!
Почему до такой мысли люди не могут дойти? Это же очевидно!
> Ты противоречишь Open Source.Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда делают глупости вредные.
> Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда
> делают глупости вредные.Тебя никто не заставляет чем либо пользоваться. Вообще совсем. Редхат чисто технически не может потребовать от кого-то юзать их дистр.
>> Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда
>> делают глупости вредные.
> Тебя никто не заставляет чем либо пользоваться. Вообще совсем. Редхат чисто технически
> не может потребовать от кого-то юзать их дистр.тебя никто не заставляет читать мою критику опен сорсных глупостей!
Слабо к себе применить свои требования?
Обожаю охранителей, не дай бог на их идола фанатизма както криво посмотрят. Порвут!
Нельзя Опен сорс критиковать! Ведь он идеальный!!!
Охранителям в голову не приходит, что именно критика делает продукт лучше!
> Кто просил в чужой код вносить изменения?Конкретно код ssh от "создателей" - даже не скомпилируется у тебя. Потому что он - openbsd only. Внезапно.
Кто просил, действительно? Сиди с телнетом. Он вот от создателей. Но это неточно.
зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd
> зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsdВместо редхата то? Ну попробуй. А LTS ветка у OpenBSD есть? Или вместо нее ты послушаешь пафосные песенки, глядя на развалившийся при эксплуатации прод?
>> зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd
> Вместо редхата то? Ну попробуй. А LTS ветка у OpenBSD есть? Или
> вместо нее ты послушаешь пафосные песенки, глядя на развалившийся при эксплуатации
> прод?ты сперва тот прод хотя бы запусти. Хрен с ним, с дыркером - оно ж вообще никак у него не соберется.
> ты сперва тот прод хотя бы запусти. Хрен с ним, с дыркером
> - оно ж вообще никак у него не соберется.Ну, если учесть что NYSE генту поднял - может, если целую тиму опенщиков нанять - что-то, где-то, как-то даже и. Это, правда, без гарантий и оценок времени даже с целой командой. Потому что те еще ослое^W простите волое^W концептуалы, во.
> можно не сидеть, а использовать openbsdИспользовать может и можно, но неясно зачем и для чего. И где. Последнее оборудование, на котором оно работает догорает в подвале у Тео. А для нового драйверов нет.
Ну так попроси у него попользоваться, зачем тебе новое.
Еще-б программисты умели что-нибудь окромя как "программиздить" (И то - плохо) - нужды в "сопровождающих" бы и не возникло, но у них же - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен
> Еще-б программисты умели что-нибудь окромя ...Прогромисты умеют. И даже иногда делают.
Но просто они ценят свое время и не хотят его тратить на поддержку всех безумных вариантов для кучи дистров. Вы сильно особенные и решили в своем НеИмеющемАналогов дистре поменять версии либ, пути, версию ядра, еще фиг знает что? Ну так прдольтесь с ним сами!
>> Еще-б программисты умели что-нибудь окромя ...
> Прогромисты умеют. И даже иногда делают.
> Но просто они ценят свое время и не хотят его тратить на
> поддержку всех безумных вариантов для кучи дистров. Вы сильно особенные и
> решили в своем НеИмеющемАналогов дистре поменять версии либ, пути, версию ядра,
> еще фиг знает что? Ну так прдольтесь с ним сами!Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на компе стоит, да? Хорошо если в помянутом доскере, а то ведь и вовсе...
> Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на
> компе стоит, да? Хорошо если в помянутом доскере, а то ведь
> и вовсе...А в чем разница? Они ж доскер собирают FROM srach и COPY all.tar / в который умелец смахнул все крошки со своего рабочего стола, упаковав туда примерно весь свой WSL. Некогда разбираться что из этого нужное а что нет, спринт не ждет!
(в свое время из дыркера онлиофиса я выкинул примерно половину содержимого. Это не фром srach, это они честно старались пакетами ставить. Без малейшего похоже понятия, что в этих пакетах и зачем - "так у (с придыханием) РАЗРАБОТЧИКОВ!")
> - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нуженЧто, завидно? Я вот видел как настоящие девопсы работают. И это было круто. Ну а ты по сравнению с ними будешь жалким бесполезным ненужно, соответственно. С совсем иным набором скиллов, таймингов решения задач, и - может тебе не говорили - но тупые лекции на тему "почему нет", вместо решенных задач, равно как решение долго, дорого, хреново и криво - это не очень ценный актив. Более менее приличные компании это давно уже поняли.
>> - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен
> Что, завидно? Я вот видел как настоящие девопсы работают. И это было
> круто. Ну а ты по сравнению с ними будешь жалким бесполезным
> ненужно, соответственно. С совсем иным набором скиллов, таймингов решения задач, и
> - может тебе не говорили - но тупые лекции на тему
> "почему нет", вместо решенных задач, равно как решение долго, дорого, хреново
> и криво - это не очень ценный актив. Более менее приличные
> компании это давно уже поняли.Уф. Вот как из тезиса "современные программисты уже и контейнеры собирать разучились - им для этого специально обученный devops нужен" делается вывод о "зависти devops'ам", ка-аак?!!! "Люди читают дупой"(Ц).
А уж восторженный (Аааах, Кееент!) рассказ о том, что Имярек Ленина видел - в смысле аж с ЦЕЛЫМ DEVOPS'ом знаком - может даже оффлайн пиво пил! (Картинка со снятыми трусиками и "А ты точно devops?!" не прилагается, но видимо подразумевается) и вовсе непересказуемо доставляет.
> Картинка со снятыми трусиками и "А ты точно devops?!" не прилагается, но видимо подразумевается) и вовсе непересказуемо доставляет.Это реальность, а не картинка. Мне так на конфе в Сан-Диего одна программистка дала. Обсуждали в баре разницу между эксплуатацией и разработкой софта, и как часто бывают нестыковки на ровном месте типа логов. Она и говорит, мол, когда нужно что-то сделать — зови девопса. Ты ж девопс? Ну да, говорю, девопс, век пайплайна не видать. Тогда, говорит, веди в номера. А я не будь дурак и повёл. Все три ночи мы с ней компили и деплоили. А как она прод поднимала… Приятно вспомнить.
почему сслыка на Debian трекер ведет?
То есть новый более мощный компьютер покупать не надо? Патч отрицательно не ускоряет его?