Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..., opennews (?), 29-Янв-20, (0) [смотреть все] +1 это не уязвимость, повторяю, НЕ УЯЗВИМОСТЬ в OpenBSD уязвимостей нет, а все серв, Spoofing (?), 09:57 , 29-Янв-20, (1) –7 // Найс аутотренинг, Аноним (5), 10:08 , 29-Янв-20, (5) +11   // Это не аутотренинг, это стёб над позицией разработчиков опёнка , pda (?), 13:43 , 29-Янв-20, (30) +5   // Демонстрирующий, главным образом, непонимание этой самой позиции , Дон Ягон (ok), 13:50 , 29-Янв-20, (31) +2   Так разъясните Они любят заострять внимание на Only two remote holes in the de, pda (?), 03:08 , 31-Янв-20, (131)   Only two remote holes in the default install, in a heck of a long time - это , Дон Ягон (ok), 14:53 , 31-Янв-20, (145)   Потому что выглядит как попытка ввести в заблуждение Люди ожидают от default i, pda (?), 00:42 , 03-Фев-20, (156)   Для кого Для тех, кто не умеет читать Для тех кто не в курсе про наличие темати, Дон Ягон (ok), 12:39 , 03-Фев-20, (157)   Разработчики OpenSMTPD говорят, что есть Но тебе, конечно, виднее Qualys has f, Дон Ягон (ok), 12:21 , 29-Янв-20, (20) +4 // Спасибо ребятам из Qualys, которые на деле показали, что OpenBSD мало чем отлича, XL (?), 13:14 , 29-Янв-20, (24) –6 // Конечно, мало чем Всего лишь реакцией за считанные дни и часы вместо замалчиван, Аноним (26), 13:27 , 29-Янв-20, (26) +4 Ага, и не в первый раз уже Как ни найдут дыру в OpenBSD, так сразу на деле пок, Дон Ягон (ok), 13:30 , 29-Янв-20, (27) +9 Ты зачем сразу с козырей то зашел , ssh (ok), 13:38 , 29-Янв-20, (28) +2 То есть преимущество OpenBSD над другими системами это настройки по умолчанию Т, Zulu (?), 16:24 , 29-Янв-20, (50) –6 Это один из способов снижения вреда от уязвимостей Естественно, всех проблем не, Дон Ягон (ok), 17:12 , 29-Янв-20, (59) +1 Я стараюсь намекнуть на то, что безопасность надо сравнивать при сопоставимых фу, Zulu (?), 18:09 , 29-Янв-20, (69) Смотря в каком контексте рассматривать Если речь об использовании OpenSMTPD как , Дон Ягон (ok), 18:24 , 29-Янв-20, (74) Зачем тогда в принципе устанавливать программу, которая в дефолтных настройках , sstj3n (?), 20:37 , 29-Янв-20, (89) +1 вздыхает Ты не знаешь, зачем нужен локальный почтовик в юниксах UPD И да, блин, Дон Ягон (ok), 21:05 , 29-Янв-20, (91) +2 Речь не о том, зачем он там нужен, а о том, насколько он необходим для функциони, sstj3n (?), 10:31 , 30-Янв-20, (112) В стандартной поставке он нужен рутовые нотификации , далее ты можешь настроить, Дон Ягон (ok), 13:34 , 30-Янв-20, (123) Как же туго-то Суть примеров если то, что ты называешь адекватными настройка, sstj3n (?), 09:43 , 31-Янв-20, (142) Ты или слушаешь в пол уха или не хочешь понимать меня, похоже Core functionality, Дон Ягон (ok), 15:50 , 31-Янв-20, (146) В смысле письма от всяких демонов на root host Как мне показалось, формулировка, Дон Ягон (ok), 03:00 , 01-Фев-20, (154) Зачем вообще локальному почтовику слушать smtp Насколько я помню в debian exim , Анонимус2 (?), 11:21 , 30-Янв-20, (113) И зачем, если локально хватает MTA типа DMA man dma, Аноним (122), 13:24 , 30-Янв-20, (122) +1 DMA - очень хороший вариант, да и вообще стрекоза мне нравится В OpenBSD вмес, Дон Ягон (ok), 13:37 , 30-Янв-20, (124) +1 Я обманул, инсталлятор спрашивает о том, запускать по дефолту или нет , Дон Ягон (ok), 03:19 , 01-Фев-20, (155) Мы и не продаём слона , Аноним (66), 18:00 , 29-Янв-20, (66) Т е General Motors, JPL не в счет , OpenEcho (?), 16:55 , 29-Янв-20, (53) +1 Можно каких-то пруфов Не то, чтобы я сомневаюсь или не верю, просто люблю, когд, Дон Ягон (ok), 17:22 , 29-Янв-20, (61) Информация инсайдерская, поэтому сорри, пруфов не будет, хотите верьте, хотите н, OpenEcho (?), 19:30 , 29-Янв-20, (78) +1 Ничего в моей жизни не изменится от того, поверю я или нет Также ничего не изме, Дон Ягон (ok), 19:37 , 29-Янв-20, (81) Полностью согласен, sorry, просто обидно за опенку стало, сорвалось Надеюсь ли, OpenEcho (?), 19:45 , 29-Янв-20, (82) Разумеется Это вебмакаки опять тру ветеранам сишникам из BSD баги в код залили , Аноним (80), 19:34 , 29-Янв-20, (80) –1 // Мсье сейчас, разумеется, расскажет, как от ЛОГИЧЕСКИХ ошибок в АЛГОРИТМЕ страхуе, Michael Shigorin (ok), 12:53 , 30-Янв-20, (116) +2 // Простите, Михаил, но тут не какие-то абстрактные логические ошибки Конкретно эт, Аноним (80), 15:37 , 30-Янв-20, (130) –2 Это какой-то очень специфичный вариант юниксвэя - так странно sh звать прямо хар, Аноним (-), 06:59 , 31-Янв-20, (133) https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон (ok), 17:50 , 31-Янв-20, (150) Это юниксвей тот самый, изначальный, лазоревый, который worse is better Простот, Аноним (80), 18:50 , 31-Янв-20, (153) 15 8211 поняли очевидный сарказм-23 8211 не поняли, Аноним (83), 19:58 , 29-Янв-20, (83) +1 Э, вот пардон, сервис под маркой OpenSMTPD изначально маркетировавшийся как с, Аноним (-), 06:57 , 31-Янв-20, (132) // Qmail When a mail message arrives, qmail-local runs sh -c command in your home, Дон Ягон (ok), 17:21 , 31-Янв-20, (147) define BUG FEATURE, мде , Аноним (-), 07:50 , 31-Янв-20, (138) Неуловимого Джо таки поймали И при этом, к его большому огорчению, поймали не с, A.Stahl (ok), 09:58 , 29-Янв-20, (2) –11 // https mobile twitter com OpenSMTPD status 1222288467046076417А это он так пыта, антикудах (?), 11:47 , 29-Янв-20, (19) +8 На странице Goals их сайта первая же строка Be as secure as possible , Аноним (4), 10:02 , 29-Янв-20, (4) // Что-то execle bin sh , bin sh , -c , mda_command, не выглядит в этом к, Аноним (-), 07:07 , 31-Янв-20, (134) // https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон (ok), 17:51 , 31-Янв-20, (151) Вообще я бы за такое выгонял из профессии навсегда, но в секьюрном бсд видимо лу, Анонимус2 (?), 10:16 , 29-Янв-20, (6) –2 // Будьте так добры, накидайте ссылочек, как необходимо делать по вашему мнению , Аноним (11), 10:47 , 29-Янв-20, (11) +3 // Оне выгонять учились, а не тому как надо делать , Нононим (?), 10:54 , 29-Янв-20, (13) +4 Смотри postfix, Аноним (22), 12:40 , 29-Янв-20, (22) –3 // Тот же postfix тоже позволяет запускать команду mda шеллом https github com vd, Дон Ягон (ok), 13:20 , 29-Янв-20, (25) +1 Не совсем То что он недостаточно хорошо проверяет -- это проблема Но то, что о, Ordu (ok), 14:52 , 29-Янв-20, (41) +5 Для начала, спасибо за развёрнутое сообщение с текстом по существу вопроса Если , Дон Ягон (ok), 15:13 , 29-Янв-20, (44) +1 Во-первых, там не нужна валидация Нельзя сказать, чтобы совсем не нужна, но сра, Ordu (ok), 17:43 , 29-Янв-20, (62) Описанная проблема понятна, её разработчики OpenSMTPD пытаются решать списком до, Дон Ягон (ok), 20:04 , 29-Янв-20, (86) Да, но и тем не менее логическая ошибка в коде экранизации привела к возможности, Ordu (ok), 00:27 , 30-Янв-20, (102) Сори за долгий ответ, не хотелось отвечать совсем не подумав Я такого способа не, Дон Ягон (ok), 14:38 , 30-Янв-20, (129) Ну да, в случае libsh условного , мы бы вызывали саму программу Но тогда бы да, Дон Ягон (ok), 20:54 , 29-Янв-20, (90) Спс, Аноним (11), 13:55 , 29-Янв-20, (32) В postfix было так https www exploit-db com exploits 34896Уязвимость в bash C, Аноним (109), 01:14 , 30-Янв-20, (109) Не делать вызов sh программно вообще никогда, не видел пока ни одной программы с, Анонимус2 (?), 11:35 , 30-Янв-20, (114) // Во-во А если какие-то параметры отдать надо - то наверное все-таки не в sh -c, , Аноним (-), 07:11 , 31-Янв-20, (135) Просто нужно запретить создание произвольных процессов Вместо этого при вызове , Аноним (7), 10:30 , 29-Янв-20, (7) +1 // SELinux это умеет Или другое решение , Аноним (83), 20:02 , 29-Янв-20, (84) // Нет, не умеет Это capability-based security См не взлетевший cloudABI , Аноним (7), 00:31 , 30-Янв-20, (103) SELinux в OpenBSD , phaoost (ok), 11:39 , 30-Янв-20, (115) // У них, кстати, pledge есть Он что, не умеет лимитировать параметры сисколов Вп, Аноним (-), 07:14 , 31-Янв-20, (136) на селе можно, но для 99 цЫкурити-админов сильно сложно ибо редхад методички, исчо_адын_гентушнег (?), 16:22 , 04-Фев-20, (159) Ага, все-таки можно настраивать сервер через SMTP А то все SSH, да SSH , Аноним (15), 10:56 , 29-Янв-20, (15) +10 // Ну блин всегда так делал, а тут понабежали Повторяю это НЕ БАГ, это фича , neAnonim (?), 11:11 , 29-Янв-20, (16) –4 // Именно АНБ просили сделать возможнность , им сделали А тут пришли какие-то ан, Аноним (37), 14:42 , 29-Янв-20, (37) ЫХыххыхы , Аноним (17), 11:15 , 29-Янв-20, (17) +2 Неуловимый Джо отбегался по прериям , Аноним (18), 11:44 , 29-Янв-20, (18) –6 // И ни меча, ни лат, и лицом в салат до утра - вот и все дела , Аноним (87), 20:16 , 29-Янв-20, (87) Двоякие ощущения С одной стороны хорошо, что нашли, с другой - похожее уже было, Дон Ягон (ok), 12:27 , 29-Янв-20, (21) +3 Самая бестолковая из всех bsd и этот хайп про безопасность ОС для фанатиков , Аноним (-), 13:09 , 29-Янв-20, (23) –4 // Есть ещё NetBSD, которая без хайпа , Аноним (37), 14:43 , 29-Янв-20, (38) –1 // и без каких-либо заметных достоинств вообще , Аноним (40), 14:51 , 29-Янв-20, (40) –2 // Это, конечно же, не так NetBSD вполне себе достойная ОС , Дон Ягон (ok), 14:56 , 29-Янв-20, (42) +1 Как минимум там есть Чеусов - , Michael Shigorin (ok), 12:57 , 30-Янв-20, (117) Мне это мало о чём говорит Погуглил, нашёл про nih пакетный менеджер , вспомни, Дон Ягон (ok), 13:45 , 30-Янв-20, (125) NetBSD и по безопасности внезапно, да , и по сетевой подсистеме и по многим д, 11 (?), 16:16 , 29-Янв-20, (46) При всех моих симпатиях к NetBSD как и к прочим BSD-системам , в комментарии на, Дон Ягон (ok), 16:55 , 29-Янв-20, (54) +4 Опять словоблудие Ещё себе пару плюсиков поставь Секта она и есть секта , Аноним (-), 21:12 , 29-Янв-20, (93) –2 Зато ты предельно конкретен, ага Сколько надо, столько и поставлю, у тебя спрошу, Дон Ягон (ok), 21:25 , 29-Янв-20, (96) От openssh ты конечно уже отказался , Аноним (55), 17:04 , 29-Янв-20, (55) Отродясь не пользовался , Аноним (-), 21:11 , 29-Янв-20, (92) дропбер путти локалхост онли одмин твое все , Аноним (98), 21:33 , 29-Янв-20, (98) +3 Тогда скорее Далее, далее, далее, ОК , Michael Shigorin (ok), 12:58 , 30-Янв-20, (118) Она работает на VAX И на тостерах , Аноним (83), 20:03 , 29-Янв-20, (85) HammerFS Единственные из BSDшников кто смог хотя-бы попытаться сделать приличну, Аноним (-), 09:51 , 31-Янв-20, (143) HAMMER разрабатывается в DragonflyBSD, Мэттом Диллоном и компанией В NetBSD UFS , Дон Ягон (ok), 17:24 , 31-Янв-20, (148) У NetBSD нет слогана и она оплачивает аудит http blog netbsd org tnf entry ne, Аноним (-), 01:58 , 30-Янв-20, (110) https packages debian org bullseye opensmtpdhttps centos pkgs org 7 epel-x86, Аноним84701 (ok), 13:43 , 29-Янв-20, (29) +4 // Этих шутов из OpenBSD имеет смысл содержать только ради openssh Что, собственно, Аноним (37), 14:49 , 29-Янв-20, (39) –6 // Перепиши openssh на своём любимом яваскрипте и тебе не придётся больше содержать, Хороним (?), 14:57 , 29-Янв-20, (43) +3 А как все на exim гнали когда полгода назад уязвимость у него выявили У всех та, suffix (ok), 14:15 , 29-Янв-20, (33) –1 // Всё-таки есть разница между наличием ошибок в принципе и положенным на безопасно, Дон Ягон (ok), 14:25 , 29-Янв-20, (34) // sh -c с параметрами сформированными из юзерских данных так и хочется назвать бол, Аноним (-), 07:17 , 31-Янв-20, (137) // Процитирую сам себя Qmail When a mail message arrives, qmail-local runs sh -c c, Дон Ягон (ok), 17:32 , 31-Янв-20, (149) Так вы посравнивайте, что и в каких количествах находили у exim в тот же период , Аноним (26), 14:32 , 29-Янв-20, (36) +1 // То что , Аноним (55), 17:07 , 29-Янв-20, (56) // То сидите дальше на своей пороховой бочке, только не удивляйтесь, что менее скло, Michael Shigorin (ok), 12:59 , 30-Янв-20, (119) Не пойму, что здесь многие уцепились, за BSD или за людей с недостаточным или н, Аноним (11), 16:03 , 29-Янв-20, (45) Заметил забавную тендецию, что в теме где встречается фэйлы про опенку очень зна, VeryWideOpenBSD (?), 16:18 , 29-Янв-20, (47) –2 // Советую последить за Доном Ягоном, если он в новости, то обычно минусы встречают, Аноним (-), 16:23 , 29-Янв-20, (49) –2 // Советую проследить за анонимами Если они в новости, то минусы встречаются везде, Аноним (-), 16:35 , 29-Янв-20, (52) +1 Естественно я ставлю минусы тем, кто пишет херню с моей точки зрения в мере по, Дон Ягон (ok), 17:18 , 29-Янв-20, (60) +3 // Так-то пока херню тут пишешь только ты Причём огромные простыни потока сознания, lorovec (?), 21:26 , 29-Янв-20, (97) –2 Ну раз ты так сказал Даже если так, то не по той причине, что там нашли о, Бо, Дон Ягон (ok), 21:49 , 29-Янв-20, (100) +1 Это я, ленивый Перерезус лень логиниться , пока ещё агрюсь И ловлю кучу минусо, Аноним (26), 01:09 , 30-Янв-20, (104) +1 Пора перебарывать лень привет А на User294 не обижайся, его я покусал, когда , Michael Shigorin (ok), 13:03 , 30-Янв-20, (120) Меня одно время тоже задолбали BSDшники вопящие в всех ветках про линух И вот т, Аноним (-), 08:33 , 31-Янв-20, (140) –1 Спасибо на добром слове, коли не шутите , Дон Ягон (ok), 13:59 , 30-Янв-20, (127) Перерезус, просто для сведений 1 Я технически не могу ставить минусы JS тут, Аноним (-), 08:31 , 31-Янв-20, (139) 129318 129318 129318 21й век, а openBSD разрабы еще в 20м , pin (??), 16:22 , 29-Янв-20, (48) –1 // Ага, в 21 веке shell же отменили, на новый год президент как раз выступал с этим, Аноним (55), 17:10 , 29-Янв-20, (58) // Ну да, писать на C и дергать из него shell Месье знает толк , pin (??), 18:48 , 29-Янв-20, (75) // Действительно, когда уже execve сделают deprecated , Аноним (26), 01:10 , 30-Янв-20, (105) Execve с параметрами из юзерского ввода вообще стремноватая затея, а когда там к, Аноним (-), 08:35 , 31-Янв-20, (141) https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон (ok), 17:52 , 31-Янв-20, (152) Почитал тему К чему эти бессмысленные простыни текста от юзеров опёнка Какие-т, Iron_ (?), 16:29 , 29-Янв-20, (51) –2 // А вы, простите, кто, что бы оценки раздавать качеству кода , Аноним (55), 17:09 , 29-Янв-20, (57) +1 А в чём смысл этих срывов покровов про безопасность OpenBSD почти в каждой теме , Дон Ягон (ok), 17:46 , 29-Янв-20, (64) А сколько уязвимостей мсье нашёл в чужом коде, чтобы так авторитетно говорить, м, Аноним (26), 01:11 , 30-Янв-20, (106) +1 Эй фряшники как победить trueos aks freebsd 13checking whether gmake sets MAK, Аноним (63), 17:44 , 29-Янв-20, (63) // Что там aka -то И почему не в более подходящей, соседней новости о MPV там ес, анонн (ok), 18:04 , 29-Янв-20, (67) // Что за дичь, кто вайном из репы пользуется Там такое-то шерето в коде по дефолт, Аноним (76), 19:00 , 29-Янв-20, (76) // И шерето магически исчезнет, если собрать самому из портов , анонн (ok), 19:26 , 29-Янв-20, (77) Нужно немножко поправить юзы , тогда исчезнет Большая часть потенциально уязви, Аноним (76), 21:19 , 29-Янв-20, (94) Configuring for wine-devel-5 0 r6,1configure loading site script usr por, Аноним (63), 17:48 , 29-Янв-20, (65) // У вас компилятор бракованый, видимо пиратская версия, Аноним (71), 18:10 , 29-Янв-20, (71) +2 См config log, но лучше сразу ставьте минт , Michael Shigorin (ok), 13:04 , 30-Янв-20, (121) +1 тут про bsd, права кругом дефолтные и версию wine хочу новее , Аноним (63), 18:08 , 29-Янв-20, (68) // Как пропатчить KDE2 тогда уж спрашивайте , Аноним (26), 01:13 , 30-Янв-20, (107) +1 это сделать , Аноним (63), 18:10 , 29-Янв-20, (70) // посмотреть в вывод mount code mount tmpfs on tmp tmpfs, local, noexec, nos, анонн (ok), 19:31 , 29-Янв-20, (79) // с расстройства не сделал ответом log , Аноним (63), 21:36 , 29-Янв-20, (99) fstab Device Mountpoint FStype Options Dum, Аноним (63), 18:14 , 29-Янв-20, (72) Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..., Аноним (63), 18:15 , 29-Янв-20, (73) // Не ваше Вы не умеете в домашнюю работу 8212 вы идёте лесом , Аноним (26), 01:14 , 30-Янв-20, (108) +1 Все хором проигнорировали фразу в соответствии с требованиями RFC 5322 Отдельн, DAV (?), 20:24 , 29-Янв-20, (88) пиратская всё такиCopyright C 2019 Free Software Foundation, Inc This is free , Аноним (63), 21:19 , 29-Янв-20, (95) // Чей-то тут не то code uname -rsFreeBSD 12 1-STABLE locate libc_nonshared usr , анонн (ok), 22:02 , 29-Янв-20, (101) Подозреваю, что вы намудрили с опциями сборки gcc9 как бы намекает Возможно, о, Дон Ягон (ok), 13:55 , 30-Янв-20, (126) https download freebsd org ftp snapshots amd64 13 0-CURRENT отсюда взял базу, , Аноним (111), 06:57 , 30-Янв-20, (111) Доломал и фряху поставил, но как собрать wine5 с поддержкой в том числе и 32бит , Аноним (144), 13:23 , 31-Янв-20, (144) Разработчик OpenSMTPD опубликовал разбор ситуации с уязвимостью и некоторые сооб, Дон Ягон (ok), 12:40 , 03-Фев-20, (158) 1,2,4,6,7,15,18,21,23,29,33,45,47,48,51,63,65,68,70,72,73,88,95,111,144,158

Сообщения

[Сортировка по времени | RSS]

	5. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+11 +/–
	Сообщение от Аноним (5), 29-Янв-20, 10:08
	Найс аутотренинг
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+5 +/–
	Сообщение от pda (?), 29-Янв-20, 13:43
	Это не аутотренинг, это стёб над позицией разработчиков опёнка.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+2 +/–
	Сообщение от Дон Ягон (ok), 29-Янв-20, 13:50
	> это стёб над позицией разработчиков опёнка Демонстрирующий, главным образом, непонимание этой самой позиции.
	Ответить | Правка | Наверх | Cообщить модератору

	131. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+/–
	Сообщение от pda (?), 31-Янв-20, 03:08
	Так разъясните. Они любят заострять внимание на "Only two remote holes in the default install, in a heck of a long time!". А что у них включено по умолчанию? ntpd и sshd? Очешуенный сервер. Так и я могу. Напишу сейчас "hello world" и в нём за 100500 лет не найдут ни одной удалённой уязвимости. Только какой в этом толк? Или я чего-то не понимаю?
	Ответить | Правка | Наверх | Cообщить модератору

	145. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+/–
	Сообщение от Дон Ягон (ok), 31-Янв-20, 14:53
	> Так разъясните. Они любят заострять внимание на "Only two remote holes in the default install, in a heck of a long time!". А что у них включено по умолчанию? ntpd и sshd? Очешуенный сервер. > Так и я могу. Напишу сейчас "hello world" и в нём за 100500 лет не найдут ни одной удалённой уязвимости. Только какой в этом толк? "Only two remote holes in the default install, in a heck of a long time!" - это слоган проекта, да. Толк в безопасном default install в том, что это минимальный признак безопасности ОС. Подчёркиваю: не максимальный, а минимальный. Если ОС дырява изкоробки, уже не факт, что важно, что её можно настроить безопасно - наплевательский подход уже продемонстрирован. И дыра может быть использована до того, как ты её пофиксишь правильными настройками. Да, большие дяди собирают (зачастую) свой дистрибутив ОС и кастомизируют настройки под себя, и для них это не актуально. Но этими людьми мир не ограничивается. Сейчас с этим получше, а раньше многие дистрибутивы linux (и не только) запускали по дефолту всякое, что потом успешно эксплуатировалась, ибо было дыряво или настроено "гениями". Искренне не понимаю, почему слоган вызывает такое количество волнений. Там прямым текстом написано про default install - не понимаю, как можно обмануться и подумать, что наличие каких либо других дыр разработчики игнорируют. Можно открыть http://www.openbsd.org/errata66.html (чиселку в конце поменять в зависимости от версии) и убедиться, что это не так. Дисклеймер: я в себе уверен, но всё-таки я высказываю личное мнение, а не офф. позицию разработчиков OpenBSD.
	Ответить | Правка | Наверх | Cообщить модератору

	156. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+/–
	Сообщение от pda (?), 03-Фев-20, 00:42
	> Искренне не понимаю, почему слоган вызывает такое количество волнений. Потому что выглядит как попытка ввести в заблуждение. Люди ожидают от "default install" то, что устанавливается/доступно в поставке от разработчиков. Они гордятся собой - молодцы. Любому пользователю опёнка от этого ни горячо ни холодно. Любая система, повторюсь, ставится для чего-то. Для практической эксплуатации. Так что для пользователей честный слогон не "всего две уязвимости за дцать лет", а "у нас бывают дырки, как и у всех".
	Ответить | Правка | Наверх | Cообщить модератору

	157. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+/–
	Сообщение от Дон Ягон (ok), 03-Фев-20, 12:39
	>> Искренне не понимаю, почему слоган вызывает такое количество волнений. > Потому что выглядит как попытка ввести в заблуждение. Для кого? Для тех, кто не умеет читать? Для тех кто не в курсе про наличие тематических рассылок и приведённой мною в прошлом сообщении ссылки? Тогда не жалко, что они вводятся в заблуждение, ничего личного. > Люди ожидают от "default install" то, что устанавливается/доступно в поставке от разработчиков. Не распарсил. В любом случае, подозреваю, что разные люди ждут разного от default install. > Любому пользователю опёнка от этого ни горячо ни холодно. Я предлагаю не высказываться за любого пользователя опёнка. Мне, например, сильно нравится, что после установки ОС мне нужно включать нужное, а не выключать ненужное и что думать нужно, главным образом, об безопасной настройке стороннего ПО, а не о безопасности и стороннего ПО и ОС. > Любая система, повторюсь, ставится для чего-то. Для практической эксплуатации. И что? Оценить "дырявость" всех возможных конфигураций не представляется возможным, это очевидно. OpenSSH, позволяющий рутовый логин с паролем - это уже почти что приглашение логиниться всем и каждому. Ничто не мешает пользователю это включить (или вообще поднять telnet, без шифрования) - это всё тоже что ли будет говорить о небезопасности ОС? Слоган ничего не обещает про нестандартные конфигурации, и это логично и последовательно - разработчики ОС предоставляют надёжную (насколько возможно) базу, все что настроил пользователь - зона его ответственности. > Так что для пользователей честный слогон не "всего две уязвимости за дцать лет", а "у нас бывают дырки, как и у всех". Это как раз абсолютно бессмысленный слоган, если не сказать "по-настоящему идиотский". Любой, кто всерьёз сомневался в том, что в OpenBSD бывают уязвимости (как у всех, ага), по большому счёту, не должен париться ни из-за слогана, ни из-за OpenBSD вообще. ОЧЕВИДНО, что во всём, хоть немного сложном, что сделал человек есть ошибки, дыры и прочие радости жизни. Ну серьёзно, я не верю, что человек, которому небезразлична безопасность ОС, прочитал слоган и "обманулся", а не пошёл и не написал в гугле (или где-то ещё) "openbsd cve" и не открыл первую ссылку. Никого не волнует, что, например, “Of course it runs NetBSD”, если буквоедствовать и придираться, является ложью (ну правда, какой-нибудь эльбрус в нативном режиме; наверняка есть и менее хардкорные примеры), зато, почему-то, всех волнует что "было только две дыры в стандартной поставке и т.д." != "не было дыр никогда и нигде". Хотя написано всё прямым текстом, в отличие от. Чудеса, да и только.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема