forum.opennet.ru - "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода" (136)

"Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода"	+/–
Сообщение от opennews (??), 09-Июл-24, 13:31
В процессе изучения выявленной на прошлой неделе критической уязвимости в OpenSSH, обнаружена ещё одна похожая уязвимость (CVE-2024-6409), позволяющая добиться удалённого выполнения кода без прохождения аутентификации. Новая уязвимость не столь опасна как прошлая, так как проявляется после сброса привилегий в запущенном SSH-сервером дочернем процессе. Уязвимость присутствует в пакетах openssh из дистрибутива Red Hat Enterprise Linux 9, основанных на опубликованном в 2021 году выпуске OpenSSH 8.7. Проблема также затрагивает пакеты для Fedora Linux 36 и 37, основанные на выпусках OpenSSH 8.7 и 8.8... Подробнее: https://www.opennet.me/opennews/art.shtml?num=61509
Ответить \| Правка \| Cообщить модератору

Оглавление

У каждой уязвимости есть имя и фамилия Есть коммитер есть мейнтейнер, но конечн, Аноним (1), 13:31 , 09-Июл-24, (1) –8

Канешно есть фамилия, даже две Керниган и Ричи , Ананимус (?), 13:36 , 09-Июл-24, (2) +5

Стальные ножи и топоры опасны, надо срочно заменить на пластмассовые , Random (??), 13:44 , 09-Июл-24, (7) +14

Или на плазменные резаки , Соль земли (?), 14:26 , 09-Июл-24, (25) +1
А если что нарезать надо - в специализированную фирму пойдут, им там профессиона, Аноним (26), 14:26 , 09-Июл-24, (26) –1
Давно в аэропортах не был, да , User (??), 15:12 , 09-Июл-24, (41)

Воот Безопасные пластмассовые языки - нишевое решение, а не универсальное, Random (??), 15:43 , 09-Июл-24, (48) +1

Угу, а вот криптогафия, это универсальное решение Каждый уважающий пограммист об, Аноним (-), 21:08 , 09-Июл-24, (97)

Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных , Аноним (-), 17:08 , 10-Июл-24, (139)

Можешь пешком ходить Я вот только за чтобы всяких подобных б-ланов, тщательно пр, Аноним (-), 17:45 , 10-Июл-24, (145)
С удовольствием - это уже какое-то лядство, а мы тут честную проституцию обсуж, User (??), 22:10 , 10-Июл-24, (154)

И все изображения колюще-режущих заменить на акртинки ромашек, Vivaswan (ok), 18:32 , 09-Июл-24, (83) +1

Из них только один может иметь хоть какое-то отношение к сигналам, Аноним (88), 18:54 , 09-Июл-24, (88)

не ошибается тот кто ничего не делает не делает и ядовитые комменты везде остав, Аноним (35), 14:57 , 09-Июл-24, (35) +7

Jia Tan тоже всего лишь ошибся А воя на несколько новостей на одном только опе, Аноним (1), 16:09 , 09-Июл-24, (51)

И в чем же он ошибся В том, что его спалили , Sem (??), 00:46 , 10-Июл-24, (111) –1

вставьте имя админа который на важный сервер поставил RHEL9 8ке ещё стоять и ст, ин номине патре (?), 15:09 , 09-Июл-24, (39) –4
Это какая-то логика госпараш Коммитер должен всегда делать идеальные правки с р, Вызабылизаполнитьполе (?), 18:28 , 09-Июл-24, (81) +2

Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идё, Аноним (88), 18:59 , 09-Июл-24, (89)

вон там тебе человек, нашедший уязвимость так что да - куча глаз - внезапно, в , нах. (?), 19:13 , 09-Июл-24, (94)

Технически, баг не в этом коммите и исправление тоже не затрагивает это изменени, Всем Анонимам Аноним (?), 18:48 , 09-Июл-24, (87) +1
А сколько вы заплатили за использование Какова ответственность поставщика этого, Аноним (93), 19:12 , 09-Июл-24, (93)
Как мгу подготовило так и написали, Reer (?), 23:56 , 09-Июл-24, (106) –1

Угадайте, на каком языке он написан На размышление дается 30 секунд , Аноним (3), 13:41 , 09-Июл-24, (3) –12

Молоток опасен для того, у кого руки из опы Ну или в руках того, кто твёрдо воз, Аноним (12), 13:54 , 09-Июл-24, (12) +1

А, если это молоток с кривой ручкой и притом все окружающие утверждают ведь что, Аноним (160), 18:07 , 11-Июл-24, (160)

Приведи пример безопасного языка, который нужно было взять на момент начала разр, Афанасий (?), 13:57 , 09-Июл-24, (15) +1

Ada , Аноним (31), 14:48 , 09-Июл-24, (31) –1

Какого качества были свободные компиляторы Ada в то время Знал автор первых стр, Афанасий (?), 15:26 , 09-Июл-24, (42) –1

А они обязательно свободные должны быть Типа ради шbo6oдки и омно жрать готовы , Аноним (-), 16:21 , 09-Июл-24, (55) –1

Сообщество никому ничего не должно Запомни это Это раз Трудно использовать в f, Афанасий (?), 18:31 , 09-Июл-24, (82) –1

Так и я щообществу 8482 тоже И потыкать их мордочков в лужу, никто мне запрети, Аноним (-), 21:12 , 09-Июл-24, (98) –1

Ну вот и не пользуйся программой, например Напиши свою, как там тебе удобно, лу, Аноним (-), 00:09 , 10-Июл-24, (109) +1

Демагог мелкого пошиба Сначала спросил, какой язык надо было брать видимо, ожи, Аноним (80), 18:24 , 09-Июл-24, (80) –2

Я - Знал автор первых строчек кода OpenSSH язык Ada Ты - утверждать, что , Афанасий (?), 18:47 , 09-Июл-24, (86) –1
Рассуждаешь неплохо, но не владеешь фактами Тео не создал OpenSSH, а форкнул фо, Аноним (102), 23:42 , 09-Июл-24, (102) –1

но пока они прячутся от борова А CoC md и README md занимают только нишу провер, нах. (?), 14:43 , 10-Июл-24, (132)

Тебе виднее от чего они прячутся Я пока что наблюдаю, как они уверенно закладыв, Аноним (102), 19:14 , 10-Июл-24, (149) –1

вдогонкуАвтор, что за фэнтези ты там из пальца высасываешь, описывая какого-то с, Аноним (80), 18:35 , 09-Июл-24, (84) –1

это в викивракии нынче такое вранье , нах. (?), 19:39 , 09-Июл-24, (95)

Ну Прям рядом с рассказом, как Столлман Емакс ваял Everybody knows C , User (??), 13:25 , 10-Июл-24, (129) +1
Все врут И только нах - пох Вот ещё врули лопоухие, так к примеру https ww, _ (??), 06:38 , 11-Июл-24, (156)

тут не написано что что-то было создано командой недоучек Тут написано правил, нах. (?), 07:47 , 11-Июл-24, (157)

А чем же тогда занимались Tatu Yl 246 nen и IETF secsh group , Аноним (102), 00:45 , 10-Июл-24, (110)

Скрыто модератором, нах. (?), 14:42 , 10-Июл-24, (131)

Ассемблер , Соль земли (?), 16:47 , 09-Июл-24, (59)
Очевидно же великий и могучий , Аноним (116), 02:58 , 10-Июл-24, (116)
Работать надо уметь , Reer (?), 11:38 , 10-Июл-24, (124)

Угадайте, на каком языке он не написан и почему , Random (??), 14:05 , 09-Июл-24, (20) +3

Скрыто модератором, Аноним (-), 15:12 , 09-Июл-24, (40) –1

Так, надо подумать Он реально существует, значит, точно не на раст Он должен р, Аноним (66), 17:14 , 09-Июл-24, (66)

Нет, плюсы пропустил , Аноним (69), 17:48 , 09-Июл-24, (69)
Ты забыл добавить, он должен быть дырявый как портовая девка, тк без этого будет, Аноним (-), 21:17 , 09-Июл-24, (99) –2

Си Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый исполн, YetAnotherOnanym (ok), 17:20 , 09-Июл-24, (67)

С , noc101 (ok), 18:19 , 09-Июл-24, (79) +1
Скрыто модератором, Аноним (-), 21:21 , 09-Июл-24, (100)

Скрыто модератором, YetAnotherOnanym (ok), 15:36 , 10-Июл-24, (136)

Скрыто модератором, n00by (ok), 18:54 , 10-Июл-24, (146) +1

SPIRAL , Bottle (?), 09:04 , 10-Июл-24, (119) +2

Спасибо Интересная штука , YetAnotherOnanym (ok), 16:33 , 10-Июл-24, (137) +1

Опять мейнтейнеры запустили свои ручки в чужой код Это какое-то бедствие уже И, Аноним (4), 13:42 , 09-Июл-24, (4) +2

Это ж ради аудита а потом и телеметрии Не трогай святое , 1 (??), 13:45 , 09-Июл-24, (8) +3

Проблема присутствует, но в данной ситуации я бы не стал критиковать кого-либо и, solardiz (ok), 15:48 , 09-Июл-24, (49) +1

причем тут - законы audit log защищен selinux, в отличие от сислогов, и есть ша, нах. (?), 16:57 , 09-Июл-24, (61)

а сислог, внезапно, на другом сервере сием журналирование событий в крит ва, Аноним (68), 17:35 , 09-Июл-24, (68) –1
О чём ты Три четверти гайдов по настройке чего угодно на RHEL начинается с set, Аноним (102), 00:50 , 10-Июл-24, (112)

9 10 постов и коментов в интернете имеют отрицателььную пользу Если бездумно ко, mickvav (?), 02:25 , 10-Июл-24, (115) +1

Дооооо, расскажи мне какой ты весь в белом и на коне, а остальные плебеи Я насм, Аноним (102), 19:40 , 10-Июл-24, (150)

обычно это означает что чегоугодно либо не стоит пользоваться вообще, либо не ст, нах. (?), 11:09 , 10-Июл-24, (121)

Ага А потом смотришь в реальную сеть, а там не система, а набор локалхостов, хо, Аноним (102), 19:42 , 10-Июл-24, (151)

не работай в помойках , нах. (?), 07:49 , 11-Июл-24, (158)

Да, мне это тоже непонятно С каких пор ментейнер стал программистом Это скорее , Витюшка (?), 14:16 , 09-Июл-24, (24)

В большинстве случаев, что я видел, англоязычные используют глагольную форму я, n00by (ok), 17:54 , 09-Июл-24, (71) +1

Инфраструктура патчей задумана наложения секьюрити-фиксов и для тривиальных изме, Аноним (30), 14:43 , 09-Июл-24, (30)
Мейнтейнеры должны уйти как класс Только беды от них, noc101 (ok), 18:18 , 09-Июл-24, (78)

Так и представляю себе морды програмеров которые будут разучивать как билдовать , Аноним (-), 23:51 , 09-Июл-24, (103) +1

gt оверквотинг удален Именно в этот момент, разработчики задумаются, а нафига , noc101 (ok), 03:22 , 10-Июл-24, (118)

а зачем ее делать-то Одна винда у нас уже есть, хватит , нах. (?), 15:17 , 10-Июл-24, (134) –1

Нах нах ты явно читать не умеешь Я не писал про один Линукс Но раз ты эту тему , noc101 (ok), 17:12 , 10-Июл-24, (141)

с опенссхем все еще хуже - они openbsd юзают, и оно даже и не будет собираться в, нах. (?), 11:13 , 10-Июл-24, (122)

У каждой ошибки есть фамилия и адрес Гит блэйм в студию , бух. (?), 13:43 , 09-Июл-24, (6)

уверен, что в сберлинуксе нет такого - , Аноним (16), 13:57 , 09-Июл-24, (16) –1
Мопед не его, он просто кинул объяву , www2 (??), 14:36 , 09-Июл-24, (29)

Как там поживают бинарно совместимые клоны шапки , Аноним (11), 13:53 , 09-Июл-24, (11) +1

так жена днях затычка в альму приехала, Аноним (16), 13:57 , 09-Июл-24, (17)
Хорошо поживают Я нашел эту уязвимость благодаря моему участию в Rocky Linux и , solardiz (ok), 15:28 , 09-Июл-24, (43) +6

Правильно говорят лучше продолжать сидеть на доисторическом центе Который ещё н, Аноним (1), 16:11 , 09-Июл-24, (53) –1

вообще-то в 8м OL ни этой, ни предыдущей дырки не было, 7ка уже больше на диагно, ин номине патре (?), 17:57 , 09-Июл-24, (73)
В случае solardiz у него есть кое-что получше работающий головной мозг Это - л, Аноним (-), 23:53 , 09-Июл-24, (104)

RCE и тут и в предыдущей возможности даже теоретически неосуществим Новость - с, Big Robert TheTables (?), 13:56 , 09-Июл-24, (14) –2

Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys Не, solardiz (ok), 15:33 , 09-Июл-24, (46) –1

Читал в оригинале - https www qualys com 2024 07 01 cve-2024-6387 regresshion , Big Robert TheTables (?), 16:08 , 09-Июл-24, (50)

Там есть несколько секций Theory и Practice про дистрибутивы разных лет Последн, solardiz (ok), 16:32 , 09-Июл-24, (56)

Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит, где спец, n00by (ok), 18:00 , 09-Июл-24, (74) +1

Я вижу довольно большую разницу между n00by и solardiz Второй никогда не на, Аноним (-), 23:56 , 09-Июл-24, (105) +1

Спасибо за наглядный пример, о таком и пишу Влазит неизвестно кто и пишет с так, n00by (ok), 12:44 , 10-Июл-24, (126) +1

Вес и осмысленность того или иного мнения каждый подписчик определит для себя са, Аноним (142), 17:25 , 10-Июл-24, (142)

Я ведь занёс Аноним в ЧС не для того, что бы запретить Анонимам мне отвечать, , n00by (ok), 19:10 , 10-Июл-24, (148)

Тоже фуфло Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов , Big Robert TheTables (?), 12:20 , 10-Июл-24, (125)

То есть ты готов изучить все системы и доказать, что эксплуатации не было А как, n00by (ok), 12:57 , 10-Июл-24, (127) –2

вы некорректно ставите задачи, не ваше это От исходного сообщения этих горе-взл, Big Robert TheTables (?), 13:15 , 10-Июл-24, (128)

gt оверквотинг удален Вполне адекватно исходному через пару лет зафиксировать, n00by (ok), 19:00 , 10-Июл-24, (147) –2

К чему не готов , Big Robert TheTables (?), 13:20 , 15-Июл-24, (161)

Я понимаю, что моё сообщение 127 было слишком давно для некоторых, потому сохра, n00by (ok), 05:44 , 16-Июл-24, (163)

появились эксплойты, не , Big Robert TheTables (?), 11:26 , 12-Авг-24, (164)

Спроси на тематическом ресурсе 100 за регистрацию не должны тебя остановить, т, n00by (ok), 13:55 , 12-Авг-24, (165)
фиксируем эксплойтов нет, пылкие юноши уже теряют уверенность в собственной ква, Big Robert TheTables (?), 14:51 , 12-Авг-24, (166)
Бремя доказательства утверждения эксплоитов нет лежит на заявителе, то есть на, n00by (ok), 18:37 , 12-Авг-24, (167) –1

и все-таки, давайте попробуем осуществить этот код с максимальной поддержкой от , Big Robert TheTables (?), 19:44 , 06-Дек-24, (168)

Вполне ожидаемо от RHEL и вообще стабильного дистрибутива , Аноним (22), 14:05 , 09-Июл-24, (22)
Хорошая новость Теперь бы ещё обновить 100500 серверов , Соль земли (?), 14:28 , 09-Июл-24, (28)

ансибл, соль, шеф и кукла тебе в помощь , Аноним (35), 15:09 , 09-Июл-24, (38) –2

Ещё есть кф двигатель , Аноним (138), 16:43 , 10-Июл-24, (138)

Повторял и буду повторять, программы должна распространяться только создателями , noc101 (ok), 16:11 , 09-Июл-24, (52) –2

Ты противоречишь Open Source , Соль земли (?), 16:43 , 09-Июл-24, (57)

А ты противоречишь здравому смыслу Вот представь что ты выпускаешь пирожки под т, Аноним (-), 17:01 , 09-Июл-24, (64) +2

База Почему до такой мысли люди не могут дойти Это же очевидно , noc101 (ok), 18:10 , 09-Июл-24, (76)

Ты так говоришь, как будто это что то плохое, противоречить Особенно когда дела, noc101 (ok), 18:10 , 09-Июл-24, (75)

Тебя никто не заставляет чем либо пользоваться Вообще совсем Редхат чисто техн, Аноним (-), 00:04 , 10-Июл-24, (107) –1

тебя никто не заставляет читать мою критику опен сорсных глупостей Слабо к себе , noc101 (ok), 03:14 , 10-Июл-24, (117)

Конкретно код ssh от создателей - даже не скомпилируется у тебя Потому что он, нах. (?), 17:00 , 09-Июл-24, (63) +3

зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd , Аноним (70), 17:49 , 09-Июл-24, (70) –1

Вместо редхата то Ну попробуй А LTS ветка у OpenBSD есть Или вместо нее ты по, Аноним (-), 00:05 , 10-Июл-24, (108)

ты сперва тот прод хотя бы запусти Хрен с ним, с дыркером - оно ж вообще никак , нах. (?), 11:15 , 10-Июл-24, (123)

Ну, если учесть что NYSE генту поднял - может, если целую тиму опенщиков нанять , Аноним (-), 17:36 , 10-Июл-24, (143)

Использовать может и можно, но неясно зачем и для чего И где Последнее оборудо, Аноним (102), 00:55 , 10-Июл-24, (113)

Ну так попроси у него попользоваться, зачем тебе новое , Аноним (70), 09:46 , 10-Июл-24, (120)

Еще-б программисты умели что-нибудь окромя как программиздить И то - плохо -, User (??), 14:31 , 10-Июл-24, (130) +1

Прогромисты умеют И даже иногда делают Но просто они ценят свое время и не хот, Аноним (-), 15:32 , 10-Июл-24, (135) –1

Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у умельца - дай угадаю, на к, User (??), 21:59 , 10-Июл-24, (153) +1

А в чем разница Они ж доскер собирают FROM srach и COPY all tar в который уме, нах. (?), 07:58 , 11-Июл-24, (159)

Что, завидно Я вот видел как настоящие девопсы работают И это было круто Ну а, Аноним (-), 17:39 , 10-Июл-24, (144)

Уф Вот как из тезиса современные программисты уже и контейнеры собирать разучи, User (??), 21:58 , 10-Июл-24, (152) +2

Это реальность, а не картинка Мне так на конфе в Сан-Диего одна программистка д, Аноним (102), 02:05 , 11-Июл-24, (155)

почему сслыка на Debian трекер ведет , penetrator (?), 17:08 , 09-Июл-24, (65)
То есть новый более мощный компьютер покупать не надо Патч отрицательно не уск, verh010m (ok), 22:30 , 09-Июл-24, (101)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –8 +/–

Сообщение от Аноним (1), 09-Июл-24, 13:31

У каждой уязвимости есть имя и фамилия. Есть коммитер есть мейнтейнер, но конечно же их упоминать мы не будем, плохой только Jia Tan.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +5 +/–

Сообщение от Ананимус (?), 09-Июл-24, 13:36

Канешно есть фамилия, даже две: Керниган и Ричи.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +14 +/–

Сообщение от Random (??), 09-Июл-24, 13:44

Стальные ножи и топоры опасны, надо срочно заменить на пластмассовые!

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Соль земли (?), 09-Июл-24, 14:26

Или на плазменные резаки...

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (26), 09-Июл-24, 14:26

А если что нарезать надо - в специализированную фирму пойдут, им там профессионально нарежут. Заодно и кто надо прибыль получат, и с неё кому надо дань заплатят. Отработано в Пекине, готово к распространению на весь мир.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

41. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от User (??), 09-Июл-24, 15:12

Давно в аэропортах не был, да?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

48. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Random (??), 09-Июл-24, 15:43

Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (-), 09-Июл-24, 21:08

> Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное
Угу, а вот криптогафия, это универсальное решение!
Каждый уважающий пограммист обязан написать свою криптолибу.
И главное, чтобы она был быстрой, то что дырявая, то дело житейское, все равно бракоделы по другому не умеют.

Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (-), 10-Июл-24, 17:08

> Давно в аэропортах не был, да?
Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей - очень нишевое удовольствие, я бы сказал.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

145. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (-), 10-Июл-24, 17:45

> Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей
> - очень нишевое удовольствие, я бы сказал.
Можешь пешком ходить)
Я вот только за чтобы всяких подобных б-ланов, тщательно проверили.
А то еще сядет подобное на соседнее сиденье, и начнет рассказывать про теории заговора, химтрейлы и тд.

Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от User (??), 10-Июл-24, 22:10

>> Давно в аэропортах не был, да?
> Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей
> - очень нишевое удовольствие, я бы сказал.
"С удовольствием" - это уже какое-то лядство, а мы тут честную проституцию обсуждаем. Положено медосмотр - проходим медосмотр - но нет, обязательно найдутся любители почти-даром-за-амбаром, зато "со всем удовольствием и немного даже по любви!" - и лечи потом за ними разные CVE-RCE...

Ответить | Правка | К родителю #139 | Наверх | Cообщить модератору

83. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Vivaswan (ok), 09-Июл-24, 18:32

И все изображения колюще-режущих заменить на акртинки ромашек

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

88. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (88), 09-Июл-24, 18:54

Из них только один может иметь хоть какое-то отношение к сигналам

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

35. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +7 +/–

Сообщение от Аноним (35), 09-Июл-24, 14:57

не ошибается тот кто ничего не делает! не делает и ядовитые комменты везде оставляет! вот он то, да, он молодец!

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

51. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (1), 09-Июл-24, 16:09

Jia Tan  тоже всего лишь ошибся. А воя на несколько новостей на одном только опеннете.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Sem (??), 10-Июл-24, 00:46

И в чем же он ошибся? В том, что его спалили?

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –4 +/–

Сообщение от ин номине патре (?), 09-Июл-24, 15:09

>У каждой уязвимости есть имя и фамилия.
вставьте имя админа который на важный сервер поставил RHEL9. 8ке ещё стоять и стоять. предыдущая дырка тоже мимо пролетела. я знаю челов, у которых до сих пор всё на 7ке ))) их в принципе можно понять.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

81. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +2 +/–

Сообщение от Вызабылизаполнитьполе (?), 09-Июл-24, 18:28

Это какая-то логика госпараш? Коммитер должен всегда делать идеальные правки с риском после любой ошибки сесть на кол как при Иване Грозном?
Все ошибаются кто-то чаще кто-то реже, если возможность ошибится есть - ошибка гарантированно случится, тому нет никакого смысла выяснять даже кто её допустил. Нужно менять процессы ревью, анализа, тестирования и так далее, чтобы ошибок было меньше. Тыкать в людей смысла абсолютный ноль.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

89. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (88), 09-Июл-24, 18:59

Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт важном сервисе. Важен не сам факт ошибки, а какой был рабочий процесс внесения изменения. Если прошляпиля куча глаз, включая апстрим, то ~ сделали всё что смогли. Если же в одно рыло под одеялом ночью патчили, то таки да - на кол.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 09-Июл-24, 19:13

> Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт
> важном сервисе.
вон там тебе человек, нашедший уязвимость (так что да - куча глаз - внезапно, в этот раз не прошляпила), пытался разжевать - проблема создана именно апстримом.
Так что вероятнее всего - даже если бы кто-то оттуда снизошел до посмотреть, и даже всерьез бы задумался точно тут все работает или не совсем - нет никаких гарантий что заметил бы проблему.
Но на деле тот и не собирается этим заниматься, ему твой редхат - пофигу абсолютно.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Всем Анонимам Аноним (?), 09-Июл-24, 18:48

Технически, баг не в этом коммите и исправление тоже не затрагивает это изменение.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

93. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (93), 09-Июл-24, 19:12

А сколько вы заплатили за использование? Какова ответственность поставщика этого по вашему договору?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

106. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Reer (?), 09-Июл-24, 23:56

Как мгу подготовило так и написали

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –12 +/–

Сообщение от Аноним (3), 09-Июл-24, 13:41

Угадайте, на каком языке он написан. На размышление дается 30 секунд.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Аноним (12), 09-Июл-24, 13:54

Молоток опасен для того, у кого руки из опы. Ну или в руках того, кто твёрдо вознамерился нанести урон. Но есть и обратная сторона - когда в руках молоток, всё становится похожим на гвоздь. Вот такая диалектика.

Ответить | Правка | Наверх | Cообщить модератору

160. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (160), 11-Июл-24, 18:07

А, если это молоток с кривой ручкой) и притом все окружающие утверждают ведь что оня прямее всех прямых!...
> Угадайте, на каком языке он написан
Чего копаться с сортах дерьма гадая?!...
Ну вот я про один из - только что написал своё видение(в "Критическая уязвимость в GitLab"):
> "Gitlab - новый sendmail" - причем на безопасном руби
И на безопасном линукс, молодцы!
А, чтобы не было никаких уязвимостей в ч.н.в гите* - отменить пароли,
вот я например сижу даже в линуксе не только без антивируса а и даже рутового пароля - неверится? Только что расписал тут:
- https://www.opennet.me/opennews/art.shtml?num=61517#25

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Афанасий (?), 09-Июл-24, 13:57

Приведи пример безопасного языка, который нужно было взять на момент начала разработки OpenSSH.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (31), 09-Июл-24, 14:48

Ada?

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Афанасий (?), 09-Июл-24, 15:26

Какого качества были свободные компиляторы Ada в то время? Знал автор первых строчек кода OpenSSH язык Ada? Какова вероятность найти нужного количества "помощников" со знанием Ada? И так далее...
На заре становления open source проектов кроме C, C++ выбора особо и не было. Либо закрытые компиляторы, либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ...

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (-), 09-Июл-24, 16:21

> Какого качества были свободные компиляторы Ada в то время?
А они обязательно свободные должны быть? Типа ради шbo6oдки и омно жрать готовы?
Ты ж понимаешь что все вопросы к качеству компилятора нужно задавать сообществу.
Вот почему сообщество не запилило хороший компилятор, а?

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Афанасий (?), 09-Июл-24, 18:31

Сообщество никому ничего не должно. Запомни это. Это раз.
Трудно использовать в floss проектах закрытое платное программное обеспечение, проще взять бесплатное открытое с некоторыми изъянами ПО. Это два.
Почитай историю про Ada, тогда поймёшь почему этот язык довольствуется узкой нишей и почему его в здравом уме во floss проектах не используют.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (-), 09-Июл-24, 21:12

> Сообщество никому ничего не должно. Запомни это. Это раз.
Так и я щообществу™ тоже)
И потыкать их мордочков в лужу, никто мне запретить не может.
> Трудно использовать в floss проектах закрытое платное программное обеспечение, проще взять
> бесплатное открытое с некоторыми изъянами ПО. Это два.
С несколькими ФАТАЛЬНЫМИ изьянами.
Типа дырявая криптолиба))
> Почитай историю про Ada, тогда поймёшь почему этот язык довольствуется узкой нишей и почему его в здравом уме во floss проектах не используют.
Естественно не используют.
Во-1х, у поехавших фанатиков, до 2008 кажется года, весь код который компилялся ЖЦЦ должне был заражаться гну-раком. пришлось отдельный экстеншн пилить.
Во-2х, чтобы писать на АДА нужны мозги, а чтобы прдолить каст к void*, внезапно нет.

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Аноним (-), 10-Июл-24, 00:09

> Так и я щообществу™ тоже)
Ну вот и не пользуйся программой, например. Напиши свою, как там тебе удобно, лучше, а мы постебем тебя как раз. Так намного интереснее все соотношения будут!
> И потыкать их мордочков в лужу, никто мне запретить не может.
Так и фак тебе в ответ показать - тоже. Такой вот нюанс.
> С несколькими ФАТАЛЬНЫМИ изьянами.
> Типа дырявая криптолиба))
Не нравистя -> не пользуйся. Какие-то проблемы с пониманием этого факта? :)
> Во-1х, у поехавших фанатиков, до 2008 кажется года, весь код который компилялся
> ЖЦЦ должне был заражаться гну-раком.
Казалось бы при чем тут лужков^W openssh?....
> Во-2х, чтобы писать на АДА нужны мозги, а чтобы прдолить каст к void*, внезапно нет.
Ну ты ж на этом сблюве не написал вон то, весь такой фильдиперсовыЙ, так что кюшай что дают и не вякай, или пиши свое и лучше сам.

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –2 +/–

Сообщение от Аноним (80), 09-Июл-24, 18:24

>>> Приведи пример безопасного языка, который нужно было взять на момент начала разработки OpenSSH.
>> Ada?
> ... Знал автор первых строчек кода OpenSSH язык Ada?
Демагог мелкого пошиба. Сначала спросил, какой язык надо было брать (видимо, ожидая, что не ответят), а когда ответили, выдал - "а автор его не знал! Вот!". Л - логика, аж фонтаном прёт. Создан сабж был под руководством Тео де Раадта. Уж у такого чувака вопросы с "новым языком" не возникли бы, думаю. Причем, если забыть о его огромном опыте работы в ИТ, то и образование у него профильное, бакалавр информатики Университета Калгари. Могу предположить, "студентов-информатиков" там не только Си с паскалем, SuperCalc'у и dBase'у с фокспро учили. Про аду уж всяко хотя бы слышал, учитывая, что в 1987 году язык Ада был официально стандартизован ISO, переведен Министерством обороны США в общественное достояние и к 1990 году в мире существовало уже около 200 компиляторов, соответствовавших стандарту языка Ада. А сам Раадт 92-го года университетского выпуска, а OpenSSH - вообще 1999-го.
И вообще, безотносительно к Аде, утверждать, что "автор не знал языка" - это обвинить профессионала от ИТ в неспособности выучить более подходящий задаче новый язык, т.е. в профессиональной недееспособности.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

86. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Афанасий (?), 09-Июл-24, 18:47

Я - "Знал автор первых строчек кода OpenSSH язык Ada?"
Ты - ...утверждать, что "автор не знал языка"...
Видишь свою первую допущенную ошибку?
На разбор всей остальной твоей писанины жалко даже минуты свободного времени.

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (102), 09-Июл-24, 23:42

Рассуждаешь неплохо, но не владеешь фактами. Тео не создал OpenSSH, а форкнул форк. Программист он посредственный, а как человек — конфликтный, неуживчивый. Разработка любого сложного софта — а OpenSSH это очень сложный софт — занятие прежде всего социальное, и только во вторую очередь требующее специальных навыков. Поэтому даже если кто-то и предлагал переписать на Аде (что крайне сомнительно, культура разработки в те годы была крайне плохая, в первую очередь в опенсорсе), то вряд ли Тео услышал, если вообще был готов слушать. А сейчас уже поздно. Одна надежда на раст-сообщество, у них и задор пока есть, и необходимость занять нишу.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

132. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 10-Июл-24, 14:43

> Одна надежда на раст-сообщество,
> у них и задор пока есть, и необходимость занять нишу.
но пока они прячутся от борова.
А CoC.md и README.md занимают только нишу проверенных эталонных м-ков.

Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (102), 10-Июл-24, 19:14

Тебе виднее от чего они прячутся. Я пока что наблюдаю, как они уверенно закладывают базу для того, чтобы спуститься с холма и покрыть стадо. Случится ли это, и если случится, то когда — время покажет.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (80), 09-Июл-24, 18:35

вдогонку
> либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ...
Автор, что за фэнтези ты там из пальца высасываешь, описывая какого-то сферического коня в вакууме? Что за гаражные кодеры-"наколеночники"? Это не какая-то скрытая история:
"OpenSSH был создан командой OpenBSD [под руководством Тео де Раадта] как альтернатива SSH, который все ещё является проприетарным ПО"

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

95. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 09-Июл-24, 19:39

это в викивракии нынче такое вранье?

Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от User (??), 10-Июл-24, 13:25

Ну. Прям рядом с рассказом, как Столлман Емакс ваял ). Everybody knows(C)

Ответить | Правка | Наверх | Cообщить модератору

156. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от _ (??), 11-Июл-24, 06:38

Все врут! И только нах - пох! :)
Вот ещё врули лопоухие, так к примеру:
https://www.oreilly.com/library/view/ssh-the-secure/05960089...

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

157. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 11-Июл-24, 07:47

> Вот ещё врули лопоухие, так к примеру:
> https://www.oreilly.com/library/view/ssh-the-secure/05960089...
тут не написано что что-то было "создано" командой недоучек.
Тут написано правильно - они сп-ли последний бесплатный релиз у Йлонена, переименовали и понаставили своих убогих копирайтов.
> It has been ported successfully
вот это особенно смешно. Потому что настоящий ssh и так работал на всем перечисленном.

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (102), 10-Июл-24, 00:45

> OpenSSH был создан командой OpenBSD
А чем же тогда занимались Tatu Ylönen и IETF secsh group?

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

131. Скрыто модератором +/–

Сообщение от нах. (?), 10-Июл-24, 14:42

>> OpenSSH был создан командой OpenBSD
> А чем же тогда занимались Tatu Ylönen и IETF secsh group?
вредительством! Попытками очернения и скрытия ценного кода от соворщества!
Кто владеет прошлым, тот владеет будущим. А других источников информации у поколения смузихлебов кроме викивракии - нет.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Соль земли (?), 09-Июл-24, 16:47

Ассемблер.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

116. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (116), 10-Июл-24, 02:58

Очевидно же: великий и могучий.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

124. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Reer (?), 10-Июл-24, 11:38

Работать надо уметь.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

20. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +3 +/–

Сообщение от Random (??), 09-Июл-24, 14:05

Угадайте, на каком языке он не написан и почему.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

40. Скрыто модератором –1 +/–

Сообщение от Аноним (-), 09-Июл-24, 15:12

На любом кроме дыряшки.
Его не переписали ни на АDA/Spark, ни на современных плюсах.
Можно было бы попробовать V или зиг.
А почему?
Потому что сейчас культ дидов, которые 40 лет назад одну сишку выучили, а новое освоить уже не могут.
Вот и тащут сотни UB и производят CVE.
Максимально копротивляются любым изменениям, ибо такие деятели пойдут мести улицы, вместо написанеия программ от которых зависит благополучие тысяч людей.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (66), 09-Июл-24, 17:14

Так, надо подумать. Он реально существует, значит, точно не на раст. Он должен работать на максимально возможном числе систем, значит точно не яве/сишарпе с их полутора поддерживаемыми платформами. Он не монструозный микросервис, работающий по хттп, значит точно не на похапе/руби/питон/го/нодежс.
Ну, вроде как остаётся только си. Я угадал?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

69. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (69), 09-Июл-24, 17:48

Нет, плюсы пропустил.

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –2 +/–

Сообщение от Аноним (-), 09-Июл-24, 21:17

> Он должен работать на максимально возможном числе систем, значит точно не яве/сишарпе
> с их полутора поддерживаемыми платформами. Он не монструозный микросервис, работающий
> по хттп, значит точно не на похапе/руби/питон/го/нодежс.
> Ну, вроде как остаётся только си. Я угадал?
Ты забыл добавить, он должен быть дырявый как портовая девка, тк без этого будет трудно ломать криптографию.
И чтобы такая ситуация была максимально долгой, нужно придумывать всякие отмазки типа "а вдруг нашу либу захотят напустить на Motorola 6809!",
"а вдруг над пользователь захочет чтобы все шифровалось побыстрее, и пофиг что хартблид!"

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

67. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от YetAnotherOnanym (ok), 09-Июл-24, 17:20

Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый исполняемый код, и при этом абсолютно свободный от состояния гонки. 30 секунд пошли.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

79. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от noc101 (ok), 09-Июл-24, 18:19

> Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый
> исполняемый код, и при этом абсолютно свободный от состояния гонки. 30
> секунд пошли.
С++? )

Ответить | Правка | Наверх | Cообщить модератору

100. Скрыто модератором +/–

Сообщение от Аноним (-), 09-Июл-24, 21:21

> Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый исполняемый код, и при этом абсолютно свободный от состояния гонки. 30 секунд пошли.
Ассемблер! Хорошо оптимизированный ассемблер будет побыстрее дыряшки.
А если не столь быстрый?
Когда нечем больше хвастаться начинается меранье в скорости?
Жене в кровате тоже будешь хвастаться "за 30 секунд успел!"?
Криптолиба имеет основную характеристику, самое важное свойство - надежность.
Остальное это уже вторично.
А то получится как в анекдоте про машинистку "1000 слов в минуту печатаю, но такая фигня получается"

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

136. Скрыто модератором +/–

Сообщение от YetAnotherOnanym (ok), 10-Июл-24, 15:36

> Ассемблер!
Было условие - наличие в языке средств, исключающих возникновение состояния гонки.

Ответить | Правка | Наверх | Cообщить модератору

146. Скрыто модератором +1 +/–

Сообщение от n00by (ok), 10-Июл-24, 18:54

Ассемблер и не будет быстрее Си. По крайней мере, в руках того эксперта.

Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +2 +/–

Сообщение от Bottle (?), 10-Июл-24, 09:04

SPIRAL.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

137. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от YetAnotherOnanym (ok), 10-Июл-24, 16:33

> SPIRAL.
Спасибо. Интересная штука.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +2 +/–

Сообщение от Аноним (4), 09-Июл-24, 13:42

>но в пакетах к RHEL 9 и Fedora был применён дополнительный патч
Опять мейнтейнеры запустили свои ручки в чужой код. Это какое-то бедствие уже. Им пора усвоить, что они не программисты и в чужой код лезть нельзя.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +3 +/–

Сообщение от 1 (??), 09-Июл-24, 13:45

Это ж ради аудита (а потом и телеметрии) ... Не трогай святое !!!

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от solardiz (ok), 09-Июл-24, 15:48

Проблема присутствует, но в данной ситуации я бы не стал критиковать кого-либо или какой-либо проект. Мне ситуация видится так: части пользователей дистрибутива требуется аудит-лог (вероятно, из-за каких-то законов, применимых для какой-то категории внедрений, и написанных из лучших побуждений), Red Hat эту функциональность добавляет корректно используя внутрение интерфейсы OpenSSH, а проект OpenSSH по ошибке вызывает одну из своих же функций некорректно. Это о появлении уязвимости. Попутно мы также нашли пару других проблем с аудит-патчем, одна из которых по-видимому связана с его некорректным переносом с более старых версий OpenSSH на новые, но это непосредственно не связано с появлением уязвимости.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 09-Июл-24, 16:57

> Мне ситуация видится так: части пользователей дистрибутива требуется аудит-лог (вероятно, из-за
> каких-то законов
причем тут - законы? audit.log защищен selinux, в отличие от сислогов, и есть шансы что в нем останется та попытка, которая внезапно оказалась удачной, даже когда обычные логи подчистят.
И если в системе есть аудит - феноменально глупо выглядит пускать ssh работать в обход, не оставляя в нем никаких следов.
Ну а дальше да - трэш собственно в самом openssh, и always have been.
Но другого sshd (на безопастном йезычке) нам, к сожалению, никто не напишет. А Йлонен поди на пенсии.

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (68), 09-Июл-24, 17:35

> в отличие от сислогов
а сислог, внезапно, на другом сервере (сием).
> причем тут - законы?
журналирование событий в "крит." важных системах - обязательное.

Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (102), 10-Июл-24, 00:50

> audit.log защищен selinux
О чём ты? Три четверти гайдов по настройке чего угодно на RHEL начинается с "setenforce 0", который бездумно копируется из системы в систему.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

115. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от mickvav (?), 10-Июл-24, 02:25

9/10 постов и коментов в интернете имеют отрицателььную пользу. Если бездумно копировать гайды не читая и не разбираясь - ожидаемо получится небезопасная система, потому что авторы их оптимизируют под аудиторию, а НЕ под безопасность.

Ответить | Правка | Наверх | Cообщить модератору

150. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (102), 10-Июл-24, 19:40

Дооооо, расскажи мне какой ты весь в белом и на коне, а остальные плебеи. Я насмотрелся вдоволь что в топ500, что в стартапах, что на производствах (особенно на производствах — нет хуже админа чем цискарь со своим 10.0.0.0/8 и минимум месяц чтобы порт в фаерволле открыть даже с аппрувом от CTO). В комментариях все такие прохаваные, а в реальности одинаковый рутовый пароль на всех серверах, принтеры с админскими правами в АД ходят, а SELinux был отключен для дебага в 2019.

Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 10-Июл-24, 11:09

обычно это означает что чегоугодно либо не стоит пользоваться вообще, либо не стоит пользоваться этим гайдом, потому что его писал кексперт с локалхостом, даже хуже здешних.

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

151. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (102), 10-Июл-24, 19:42

Ага. А потом смотришь в реальную сеть, а там не система, а набор локалхостов, хоть сейчас под кровать ставь.

Ответить | Правка | Наверх | Cообщить модератору

158. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 11-Июл-24, 07:49

> Ага. А потом смотришь в реальную сеть, а там не система, а
> набор локалхостов, хоть сейчас под кровать ставь.
не работай в помойках.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Витюшка (?), 09-Июл-24, 14:16

Да, мне это тоже непонятно. С каких пор ментейнер стал программистом?
Это скорее поддерживающий в оригинальном понимании значения слова.
Но корпорасты это практикуют активно 🤷🏻‍♀️

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

71. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от n00by (ok), 09-Июл-24, 17:54

В большинстве случаев, что я видел, англоязычные используют глагольную форму ("я поддерживаю"). Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и не по ГОСТ-у.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (30), 09-Июл-24, 14:43

Инфраструктура патчей задумана наложения секьюрити-фиксов и для тривиальных изменений типа дефолтных путей. Но мейнтенеры решили, что они во всем поставляемом в дистрибутиве софте разбираются лучше, чем его авторы.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

78. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от noc101 (ok), 09-Июл-24, 18:18

>>но в пакетах к RHEL 9 и Fedora был применён дополнительный патч
> Опять мейнтейнеры запустили свои ручки в чужой код. Это какое-то бедствие уже.
> Им пора усвоить, что они не программисты и в чужой код
> лезть нельзя.
Мейнтейнеры должны уйти как класс. Только беды от них

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

103. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Аноним (-), 09-Июл-24, 23:51

> Мейнтейнеры должны уйти как класс. Только беды от них
Так и представляю себе морды програмеров которые будут разучивать как билдовать пакет под шляпную хрень самолично. А оно им, простите, надо, если они допустим убунточку какую юзали, где это все - сильно иначе?
Более того - бэкпорты на стабильную версию тоже програмер должен хреначить? Не, вкатить то что вот прям ща у прогармера есть в стабильный дистр - не вариант. Может оно вообще не запускается даже, или там формат конфигов сменили 2 раза - так что оно вообще работать не будет с конфигой от старой версии?! И тут продакшн такой после апдейта этого всего - хрясь. И бизнес клиентуры - упсь.
Так что ваш хитрый план имеет небольшой изъян.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от noc101 (ok), 10-Июл-24, 03:22

>[оверквотинг удален]
> под шляпную хрень самолично. А оно им, простите, надо, если они
> допустим убунточку какую юзали, где это все - сильно иначе?
> Более того - бэкпорты на стабильную версию тоже програмер должен хреначить? Не,
> вкатить то что вот прям ща у прогармера есть в стабильный
> дистр - не вариант. Может оно вообще не запускается даже, или
> там формат конфигов сменили 2 раза - так что оно вообще
> работать не будет с конфигой от старой версии?! И тут продакшн
> такой после апдейта этого всего - хрясь. И бизнес клиентуры -
> упсь.
> Так что ваш хитрый план имеет небольшой изъян.
Именно в этот момент, разработчики задумаются, а нафига им билдовать 212545424564654 пакетов для всех возможных 341564321374564 дистрибутивов.
И такие О, есть же флатпак, снап, да даже appImage. Или о боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности, по принципу сделаю свою сущность с блекджеком и развлечениями.
А так да. Зачем разрабам задумываться, когда за них работу делают. Снимают ответственность с них за их работу. Благодать. И пофигу, что в общем система страдает и лагает, но зато разрабам таааак удобно.
А так, на самом деле сейча всё вот это, это костыли на костылях и костылями подгоняемо. Увы.
И ситуации, когда левые ребята хреначат бекдоры или уязвимости(разберись еще, спецом они или случайно) и такие "ну прастите нас" и все прощают. А что ты сделаешь. Костыль использовать приходится.

Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от нах. (?), 10-Июл-24, 15:17

> И такие О, есть же флатпак, снап, да даже appImage. Или о
> боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности,
а зачем ее делать-то? Одна винда у нас уже есть, хватит.

Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от noc101 (ok), 10-Июл-24, 17:12

>> И такие О, есть же флатпак, снап, да даже appImage. Или о
>> боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности,
> а зачем ее делать-то? Одна винда у нас уже есть, хватит.
Нах нах ты явно читать не умеешь. Я не писал про один Линукс.
Но раз ты эту тему зацепил. Это было бы офигенно!И винда с макОС и с Андроидом и ИОС, это доказало.
Чем меньше сущностей, тем лучше для ОС и пользователей.

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 10-Июл-24, 11:13

>> Мейнтейнеры должны уйти как класс. Только беды от них
> Так и представляю себе морды програмеров которые будут разучивать как билдовать пакет
> под шляпную хрень самолично. А оно им, простите, надо, если они
> допустим убунточку какую юзали, где это все - сильно иначе?
с опенссхем все еще хуже - они openbsd юзают, и оно даже и не будет собираться вообще.
Причем разумеется можно было сразу писать кроссплатформенный код, но зачем, так гранты можно ж два раза собирать.
> Более того - бэкпорты на стабильную версию тоже програмер должен хреначить?
вот это - честно-то говоря - да. Поддержка стабильной версии руками кого-то кроме основного разработчика - задача существенно сложнее чем добавить вызов audit в место, специально помеченное как предназначенное для добавления локальных хуков. И чревата регресиями в самых стремных местах. Можно посмотреть в той же рассылке убунты, она не за пэйволом - сколько раз они "ой, мы сбэкпортили фикс, но сделали это без уважения, вот еще один фикс фикса". (и еще один, и еще!)
Но... правильно, нынешние разработчики блюют своим смузи от одной мысли прикоснуться к чему-то не наиновейшему еще дымящемуся, поэтому и этим тоже заниматься не будут.

Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

6. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от бух. (?), 09-Июл-24, 13:43

У каждой ошибки есть фамилия и адрес. Гит блэйм в студию.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (16), 09-Июл-24, 13:57

уверен, что в сберлинуксе нет такого :-)

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от www2 (??), 09-Июл-24, 14:36

Мопед не его, он просто кинул объяву.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

11. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Аноним (11), 09-Июл-24, 13:53

Как там поживают бинарно совместимые клоны шапки?

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (16), 09-Июл-24, 13:57

так же
на днях затычка в альму приехала

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +6 +/–

Сообщение от solardiz (ok), 09-Июл-24, 15:28

Хорошо поживают. Я нашел эту уязвимость благодаря моему участию в Rocky Linux и поддержке от компании CIQ. Мы исправили ее в Rocky Linux SIG/Security и 9.2 LTS от CIQ в день публикации, то есть вчера. А сама публикация была задержана на неделю, чтобы дать Red Hat время к ней подготовиться. AlmaLinux также были оповещены заранее через список рассылки linux-distros.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

53. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (1), 09-Июл-24, 16:11

Правильно говорят лучше продолжать сидеть на доисторическом центе. Который ещё не стрим.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от ин номине патре (?), 09-Июл-24, 17:57

>Правильно говорят лучше продолжать сидеть на доисторическом центе
вообще-то в 8м OL ни этой, ни предыдущей дырки не было, 7ка уже больше на диагноз похоже. postEOL саппорт там какие-то васяны делают.

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (-), 09-Июл-24, 23:53

> Правильно говорят лучше продолжать сидеть на доисторическом центе. Который ещё не стрим.
В случае solardiz у него есть кое-что получше: работающий головной мозг. Это - лучше всего, особенно в паре с экспертизой в предметной области.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

14. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –2 +/–

Сообщение от Big Robert TheTables (?), 09-Июл-24, 13:56

RCE и тут и в предыдущей возможности даже теоретически неосуществим. Новость - самопиар.
Как-то так.
зы: сталкивался неоднократно с проблемами из-за задействования в обработчиках сигнала non-signal-safe, как раз именно с вызовом маллок в обработчике сигнала во время вызова маллок. Это приводило к дедлоку. Учитывая архитектуру подключения ссш, которая на каждое подключение создает новый процесс, проблемы это никакой не создаст. Тем более, не даст возможности удаленно выполнить код.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от solardiz (ok), 09-Июл-24, 15:33

Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys. Не просто и не быстро, но в лабораторных условиях проверено.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Big Robert TheTables (?), 09-Июл-24, 16:08

> Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys. Не
> просто и не быстро, но в лабораторных условиях проверено.
Читал в оригинале - https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt, секция Theory. нет там RCe.  Там перед этим много пафосных ссылок, цитат, описаний протоколов, книг но если продраться к деталям - то всё базируется на том, что мол в коде ssh будут неверные ссылки на список, в котороым сырые данные пакетов - тут делается усиление что мол "а это же аттакер контроллер дата", и далее переход на следующий фуфел про опенссл.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от solardiz (ok), 09-Июл-24, 16:32

Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average to win the race condition, and ~6-8 hours to obtain a remote root shell (because of ASLR)." Что за "фуфел про опенссл" я не понял, OpenSSL там не упомянут.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от n00by (ok), 09-Июл-24, 18:00

Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит, где специалисту приходится что-то доказывать тому, кто даже подписаться под своими словами боится.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от Аноним (-), 09-Июл-24, 23:56

> Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит,
> где специалисту приходится что-то доказывать тому, кто даже подписаться под своими
> словами боится.
Я вижу довольно большую разницу между "n00by" и "solardiz". Второй никогда не набивал себе цену нахрапом. Ему это не надо! Его уровень экспертизы все желающие могут увидеть в тематичных рассылках. И он не вызывает вопросов, в отличие от твоей напыщеной фигни и самолюбования.
А еще наверное у solardiz все же хватит ума не быковать на майнтайнеров.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от n00by (ok), 10-Июл-24, 12:44

Спасибо за наглядный пример, о таком и пишу. Влазит неизвестно кто и пишет с таким пафосом, будто бы его мнение имеет какой-то вес.
Подобный троллинг имел бы смысл, если бы далее ты смог представиться, но... ;)
> хватит ума не быковать на майнтайнеров.
Цитирую себя, #71:
"В большинстве случаев, что я видел, англоязычные используют глагольную форму ("я поддерживаю"). Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и не по ГОСТ-у."
Мне пока "не хватило ума" понять, кто вообще такие - майнтайнеры, и зачем они называют себя таким словом.

Ответить | Правка | Наверх | Cообщить модератору

142. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (142), 10-Июл-24, 17:25

> Влазит неизвестно кто и пишет с таким пафосом, будто бы его мнение имеет какой-то вес.
Вес и осмысленность того или иного мнения каждый подписчик определит для себя сам.
> Подобный троллинг имел бы смысл, если бы далее ты смог представиться, но... ;)
Ты уже достаточно представился для антигравитации в вопросах веса. Это тот неловкий момент когда я бы в твоей шкуре - предпочел быть анонимом. Но ты такой гений что закрыл себе этот путь. И будешь с твоей репутацией вечно.
Нет, ты в принципе рядом не стоишь с solardiz. Не льсти себе. Он значительно более умный субъект, и даже если у него не написан реалнейм и проч, это совершенно пофиг. Он известен конкретными делами, в конкретных тусовочках.
> Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и
> не по ГОСТ-у."
Еще 1 пример могучего интеллекта сдобреного квадратно-гнездовым мышлением. Когда у тебя будет хотя-бы проц и оперативка сделаные по госту, можно будет продолжить разговор.
> Мне пока "не хватило ума" понять, кто вообще такие - майнтайнеры,
Это заметно.
> и зачем они называют себя таким словом.
Затем что это устоявшийся в отрасли термин для их деятельности. Но если так, соваться в погосты, то номинально "старший программист Шигорин" может оказаться круче тебя. На бумаге. А де факто он програмить если и умеет то на баше каком, и то...  так что погостовская фигня оказывается не очень стыкованой с активностью "в поле". Зато если "майнтайнером ffmpeg" обозвать - всем гораздо понятнее что делает тушка в том контексте и ожидания совсем другие. Как эта тушка майнтайнит ту программу, не умея на си прогать я, правда, не знаю. Наверное на манер билдбота. Но это уже нюансы.

Ответить | Правка | Наверх | Cообщить модератору

148. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от n00by (ok), 10-Июл-24, 19:10

Я ведь занёс "Аноним" в ЧС не для того, что бы запретить Анонимам мне отвечать, а что бы не читать именно тебя, User287 (или как было твоё имя, от которого ты отказался?) Соответственно, я и не читаю, ты это знаешь. Потому не вполне понятно усердие вот этих попыток продемонстрировать своё превосходство над кодом сайта. Ты хочешь показать публике, что Максим что-то не доделал? Это вполне нормально, когда человек тянет проект один. На деле ты показываешь, что никто из сообщества так и не заслужил его доверия. Это как раз та проблема, о которой я и писал в своём первом сообщении ветки.

Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Big Robert TheTables (?), 10-Июл-24, 12:20

> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
> to win the race condition, and ~6-8 hours to obtain a
> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
> я не понял, OpenSSL там не упомянут.
Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

127. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –2 +/–

Сообщение от n00by (ok), 10-Июл-24, 12:57

>> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
>> to win the race condition, and ~6-8 hours to obtain a
>> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
>> я не понял, OpenSSL там не упомянут.
> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
То есть ты готов изучить все системы и доказать, что эксплуатации не было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали, закинули руткит. Не видишь руткит? Значит он работает и справляется со своей задачей.

Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Big Robert TheTables (?), 10-Июл-24, 13:15

>>> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
>>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
>>> to win the race condition, and ~6-8 hours to obtain a
>>> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
>>> я не понял, OpenSSL там не упомянут.
>> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
> То есть ты готов изучить все системы и доказать, что эксплуатации не
> было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали,
> закинули руткит. Не видишь руткит? Значит он работает и справляется со
> своей задачей.
вы некорректно ставите задачи, не ваше это. От исходного сообщения этих горе-взломщиков так и тянет душком фальсификации - тут и цитаты из книг, описания протоколов, статистика распространенности систем и многое другое, чего быть не должно в нормальном описании цве. Как, например, было в уязвимости дхклиента. Просто и четко. Тут же много ненужного, воды, в описании механизма перескоки.
Допустим у тебя вообще есть возможность в коде ссш поставить мемцпи со своими данными в указанный связанный список пакетов. Что и куда ты закопируешь для исполнения кода? побьешь указатели на пакеты? очень хороший результат. Нет, не верю. Если первый же приведенный пример не работает, что говорить об остальных?
Увидимся здесь же в 2026.

Ответить | Правка | Наверх | Cообщить модератору

147. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –2 +/–

Сообщение от n00by (ok), 10-Июл-24, 19:00

>[оверквотинг удален]
>>>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
>>>> to win the race condition, and ~6-8 hours to obtain a
>>>> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
>>>> я не понял, OpenSSL там не упомянут.
>>> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
>> То есть ты готов изучить все системы и доказать, что эксплуатации не
>> было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали,
>> закинули руткит. Не видишь руткит? Значит он работает и справляется со
>> своей задачей.
> вы некорректно ставите задачи
Вполне адекватно исходному "через пару лет зафиксировать отсутствие эксплойтов". Даже обошёлся без термина "фуфло". Понял, что ты не готов. ЧИТД.

Ответить | Правка | Наверх | Cообщить модератору

161. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Big Robert TheTables (?), 15-Июл-24, 13:20

К чему не готов?

Ответить | Правка | Наверх | Cообщить модератору

163. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от n00by (ok), 16-Июл-24, 05:44

> К чему не готов?
Я понимаю, что моё сообщение #127 было слишком давно для некоторых, потому сохранил вопрос со словом "готов" и в #147. Если ты теряешь контекст и не способен прочесть сообщение, на которое отвечаешь, забудь про вопросы безопасности.

Ответить | Правка | Наверх | Cообщить модератору

164. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Big Robert TheTables (?), 12-Авг-24, 11:26

появились эксплойты, не?

Ответить | Правка | Наверх | Cообщить модератору

165. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от n00by (ok), 12-Авг-24, 13:55

Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты же взялся доказывать, что их нет. Но учти, что могут и надуть.

Ответить | Правка | Наверх | Cообщить модератору

166. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Big Robert TheTables (?), 12-Авг-24, 14:51

> Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты
> же взялся доказывать, что их нет. Но учти, что могут и
> надуть.
фиксируем: эксплойтов нет, пылкие юноши уже теряют уверенность в собственной квалификации.

Ответить | Правка | Наверх | Cообщить модератору

167. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от n00by (ok), 12-Авг-24, 18:37

>> Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты
>> же взялся доказывать, что их нет. Но учти, что могут и
>> надуть.
> фиксируем: эксплойтов нет
Бремя доказательства утверждения "эксплоитов нет" лежит на заявителе, то есть на тебе.
> пылкие юноши уже теряют уверенность в собственной квалификации.
Согласен, потому "они" и заговорили о себе во множественном числе ("фиксируем").
У тебя стандартный набор эксперта: примитивная демагогия и проекции. Ничего нового, дальше ты мне не интересен.

Ответить | Правка | К родителю #166 | Наверх | Cообщить модератору

168. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Big Robert TheTables (?), 06-Дек-24, 19:44

> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
> to win the race condition, and ~6-8 hours to obtain a
> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
> я не понял, OpenSSL там не упомянут.
и все-таки, давайте попробуем осуществить этот код с максимальной поддержкой от уязвимого софта. Где, каким образом мы добъемся выполнением кода из пакета, что "формируется хакером"?

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

22. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (22), 09-Июл-24, 14:05

Вполне ожидаемо от RHEL и вообще "стабильного" дистрибутива.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Соль земли (?), 09-Июл-24, 14:28

Хорошая новость. Теперь бы ещё обновить 100500 серверов...

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –2 +/–

Сообщение от Аноним (35), 09-Июл-24, 15:09

ансибл, соль, шеф и кукла тебе в помощь

Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (138), 10-Июл-24, 16:43

Ещё есть "кф двигатель"

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –2 +/–

Сообщение от noc101 (ok), 09-Июл-24, 16:11

Повторял и буду повторять, программы должна распространяться только создателями. Мейнтейрнеры должны умереть как класс.
Кто просил в чужой код вносить изменения? Гении блин.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Соль земли (?), 09-Июл-24, 16:43

Ты противоречишь Open Source.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +2 +/–

Сообщение от Аноним (-), 09-Июл-24, 17:01

> Ты противоречишь Open Source.
А ты противоречишь здравому смыслу.
Вот представь что ты выпускаешь пирожки под торговой маркой "Соль земли".
И даже рецепт для всех выложил!
А Васян™, перед тем как отдать пользователю, туда просто насарал, в каждую коробочку.
Но он не сменил надпись на коробке на 'Пирожки "Соль земли" с сюрпризом от Васяна'
Лезешь своими корявками? Так переименуй либу.
Назови "Омнокодище". Тогда никаких претензий не будет.

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от noc101 (ok), 09-Июл-24, 18:10

>> Ты противоречишь Open Source.
> А ты противоречишь здравому смыслу.
> Вот представь что ты выпускаешь пирожки под торговой маркой "Соль земли".
> И даже рецепт для всех выложил!
> А Васян™, перед тем как отдать пользователю, туда просто насарал, в каждую
> коробочку.
> Но он не сменил надпись на коробке на 'Пирожки "Соль земли" с
> сюрпризом от Васяна'
> Лезешь своими корявками? Так переименуй либу.
> Назови "Омнокодище". Тогда никаких претензий не будет.
База!
Почему до такой мысли люди не могут дойти? Это же очевидно!

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от noc101 (ok), 09-Июл-24, 18:10

> Ты противоречишь Open Source.
Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда делают глупости вредные.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

107. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (-), 10-Июл-24, 00:04

> Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда
> делают глупости вредные.
Тебя никто не заставляет чем либо пользоваться. Вообще совсем. Редхат чисто технически не может потребовать от кого-то юзать их дистр.

Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от noc101 (ok), 10-Июл-24, 03:14

>> Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда
>> делают глупости вредные.
> Тебя никто не заставляет чем либо пользоваться. Вообще совсем. Редхат чисто технически
> не может потребовать от кого-то юзать их дистр.
тебя никто не заставляет читать мою критику опен сорсных глупостей!
Слабо к себе применить свои требования?
Обожаю охранителей, не дай бог на их идола фанатизма както криво посмотрят. Порвут!
Нельзя Опен сорс критиковать! Ведь он идеальный!!!
Охранителям в голову не приходит, что именно критика делает продукт лучше!

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +3 +/–

Сообщение от нах. (?), 09-Июл-24, 17:00

> Кто просил в чужой код вносить изменения?
Конкретно код ssh от "создателей" - даже не скомпилируется у тебя. Потому что он - openbsd only. Внезапно.
Кто просил, действительно? Сиди с телнетом. Он вот от создателей. Но это неточно.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

70. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (70), 09-Июл-24, 17:49

зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (-), 10-Июл-24, 00:05

> зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd
Вместо редхата то? Ну попробуй. А LTS ветка у OpenBSD есть? Или вместо нее ты послушаешь пафосные песенки, глядя на развалившийся при эксплуатации прод?

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 10-Июл-24, 11:15

>> зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd
> Вместо редхата то? Ну попробуй. А LTS ветка у OpenBSD есть? Или
> вместо нее ты послушаешь пафосные песенки, глядя на развалившийся при эксплуатации
> прод?
ты сперва тот прод хотя бы запусти. Хрен с ним, с дыркером - оно ж вообще никак у него не соберется.

Ответить | Правка | Наверх | Cообщить модератору

143. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (-), 10-Июл-24, 17:36

> ты сперва тот прод хотя бы запусти. Хрен с ним, с дыркером
> - оно ж вообще никак у него не соберется.
Ну, если учесть что NYSE генту поднял - может, если целую тиму опенщиков нанять - что-то, где-то, как-то даже и. Это, правда, без гарантий и оценок времени даже с целой командой. Потому что те еще ослое^W простите волое^W концептуалы, во.

Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (102), 10-Июл-24, 00:55

> можно не сидеть, а использовать openbsd
Использовать может и можно, но неясно зачем и для чего. И где. Последнее оборудование, на котором оно работает догорает в подвале у Тео. А для нового драйверов нет.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

120. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (70), 10-Июл-24, 09:46

Ну так попроси у него попользоваться, зачем тебе новое.

Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от User (??), 10-Июл-24, 14:31

Еще-б программисты умели что-нибудь окромя как "программиздить" (И то - плохо) - нужды в "сопровождающих" бы и не возникло, но у них же - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

135. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." –1 +/–

Сообщение от Аноним (-), 10-Июл-24, 15:32

> Еще-б программисты умели что-нибудь окромя ...
Прогромисты умеют. И даже иногда делают.
Но просто они ценят свое время и не хотят его тратить на поддержку всех безумных вариантов для кучи дистров. Вы сильно особенные и решили в своем НеИмеющемАналогов дистре поменять версии либ, пути, версию ядра, еще фиг знает что? Ну так прдольтесь с ним сами!

Ответить | Правка | Наверх | Cообщить модератору

153. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +1 +/–

Сообщение от User (??), 10-Июл-24, 21:59

>> Еще-б программисты умели что-нибудь окромя ...
> Прогромисты умеют. И даже иногда делают.
> Но просто они ценят свое время и не хотят его тратить на
> поддержку всех безумных вариантов для кучи дистров. Вы сильно особенные и
> решили в своем НеИмеющемАналогов дистре поменять версии либ, пути, версию ядра,
> еще фиг знает что? Ну так прдольтесь с ним сами!
Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на компе стоит, да? Хорошо если в помянутом доскере, а то ведь и вовсе...

Ответить | Правка | Наверх | Cообщить модератору

159. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от нах. (?), 11-Июл-24, 07:58

> Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на
> компе стоит, да? Хорошо если в помянутом доскере, а то ведь
> и вовсе...
А в чем разница? Они ж доскер собирают FROM srach и COPY all.tar / в который умелец смахнул все крошки со своего рабочего стола, упаковав туда примерно весь свой WSL. Некогда разбираться что из этого нужное а что нет, спринт не ждет!
(в свое время из дыркера онлиофиса я выкинул примерно половину содержимого. Это не фром srach, это они честно старались пакетами ставить. Без малейшего похоже понятия, что в этих пакетах и зачем - "так у (с придыханием) РАЗРАБОТЧИКОВ!")

Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (-), 10-Июл-24, 17:39

> - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен
Что, завидно? Я вот видел как настоящие девопсы работают. И это было круто. Ну а ты по сравнению с ними будешь жалким бесполезным ненужно, соответственно. С совсем иным набором скиллов, таймингов решения задач, и - может тебе не говорили - но тупые лекции на тему "почему нет", вместо решенных задач, равно как решение долго, дорого, хреново и криво - это не очень ценный актив. Более менее приличные компании это давно уже поняли.

Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

152. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +2 +/–

Сообщение от User (??), 10-Июл-24, 21:58

>> - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен
> Что, завидно? Я вот видел как настоящие девопсы работают. И это было
> круто. Ну а ты по сравнению с ними будешь жалким бесполезным
> ненужно, соответственно. С совсем иным набором скиллов, таймингов решения задач, и
> - может тебе не говорили - но тупые лекции на тему
> "почему нет", вместо решенных задач, равно как решение долго, дорого, хреново
> и криво - это не очень ценный актив. Более менее приличные
> компании это давно уже поняли.
Уф. Вот как из тезиса "современные программисты уже и контейнеры собирать разучились - им для этого специально обученный devops нужен" делается вывод о "зависти devops'ам", ка-аак?!!! "Люди читают дупой"(Ц).
А уж восторженный (Аааах, Кееент!) рассказ о том, что Имярек Ленина видел - в смысле аж с ЦЕЛЫМ DEVOPS'ом знаком - может даже оффлайн пиво пил! (Картинка со снятыми трусиками и "А ты точно devops?!" не прилагается, но видимо подразумевается) и вовсе непересказуемо доставляет.

Ответить | Правка | Наверх | Cообщить модератору

155. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от Аноним (102), 11-Июл-24, 02:05

> Картинка со снятыми трусиками и "А ты точно devops?!" не прилагается, но видимо подразумевается) и вовсе непересказуемо доставляет.
Это реальность, а не картинка. Мне так на конфе в Сан-Диего одна программистка дала. Обсуждали в баре разницу между эксплуатацией и разработкой софта, и как часто бывают нестыковки на ровном месте типа логов. Она и говорит, мол, когда нужно что-то сделать — зови девопса. Ты ж девопс? Ну да, говорю, девопс, век пайплайна не видать. Тогда, говорит, веди в номера. А я не будь дурак и повёл. Все три ночи мы с ней компили и деплоили. А как она прод поднимала… Приятно вспомнить.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от penetrator (?), 09-Июл-24, 17:08

почему сслыка на Debian трекер ведет?

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..." +/–

Сообщение от verh010m (ok), 09-Июл-24, 22:30

То есть новый более мощный компьютер покупать не надо? Патч отрицательно  не ускоряет его?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–8 +/–
Сообщение от Аноним (1), 09-Июл-24, 13:31
У каждой уязвимости есть имя и фамилия. Есть коммитер есть мейнтейнер, но конечно же их упоминать мы не будем, плохой только Jia Tan.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+5 +/–
	Сообщение от Ананимус (?), 09-Июл-24, 13:36
	Канешно есть фамилия, даже две: Керниган и Ричи.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+14 +/–
	Сообщение от Random (??), 09-Июл-24, 13:44
	Стальные ножи и топоры опасны, надо срочно заменить на пластмассовые!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+1 +/–
	Сообщение от Соль земли (?), 09-Июл-24, 14:26
	Или на плазменные резаки...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–1 +/–
	Сообщение от Аноним (26), 09-Июл-24, 14:26
	А если что нарезать надо - в специализированную фирму пойдут, им там профессионально нарежут. Заодно и кто надо прибыль получат, и с неё кому надо дань заплатят. Отработано в Пекине, готово к распространению на весь мир.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	41. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от User (??), 09-Июл-24, 15:12
	Давно в аэропортах не был, да?
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	48. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+1 +/–
	Сообщение от Random (??), 09-Июл-24, 15:43
	Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное
	Ответить \| Правка \| Наверх \| Cообщить модератору


	97. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от Аноним (-), 09-Июл-24, 21:08
	> Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное Угу, а вот криптогафия, это универсальное решение! Каждый уважающий пограммист обязан написать свою криптолибу. И главное, чтобы она был быстрой, то что дырявая, то дело житейское, все равно бракоделы по другому не умеют.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	139. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от Аноним (-), 10-Июл-24, 17:08
	> Давно в аэропортах не был, да? Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей - очень нишевое удовольствие, я бы сказал.
	Ответить \| Правка \| К родителю #41 \| Наверх \| Cообщить модератору


	145. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от Аноним (-), 10-Июл-24, 17:45
	> Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей > - очень нишевое удовольствие, я бы сказал. Можешь пешком ходить) Я вот только за чтобы всяких подобных б-ланов, тщательно проверили. А то еще сядет подобное на соседнее сиденье, и начнет рассказывать про теории заговора, химтрейлы и тд.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	154. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от User (??), 10-Июл-24, 22:10
	>> Давно в аэропортах не был, да? > Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей > - очень нишевое удовольствие, я бы сказал. "С удовольствием" - это уже какое-то лядство, а мы тут честную проституцию обсуждаем. Положено медосмотр - проходим медосмотр - но нет, обязательно найдутся любители почти-даром-за-амбаром, зато "со всем удовольствием и немного даже по любви!" - и лечи потом за ними разные CVE-RCE...
	Ответить \| Правка \| К родителю #139 \| Наверх \| Cообщить модератору


	83. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+1 +/–
	Сообщение от Vivaswan (ok), 09-Июл-24, 18:32
	И все изображения колюще-режущих заменить на акртинки ромашек
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	88. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от Аноним (88), 09-Июл-24, 18:54
	Из них только один может иметь хоть какое-то отношение к сигналам
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	35. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+7 +/–
	Сообщение от Аноним (35), 09-Июл-24, 14:57
	не ошибается тот кто ничего не делает! не делает и ядовитые комменты везде оставляет! вот он то, да, он молодец!
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	51. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от Аноним (1), 09-Июл-24, 16:09
	Jia Tan тоже всего лишь ошибся. А воя на несколько новостей на одном только опеннете.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	111. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–1 +/–
	Сообщение от Sem (??), 10-Июл-24, 00:46
	И в чем же он ошибся? В том, что его спалили?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–4 +/–
	Сообщение от ин номине патре (?), 09-Июл-24, 15:09
	>У каждой уязвимости есть имя и фамилия. вставьте имя админа который на важный сервер поставил RHEL9. 8ке ещё стоять и стоять. предыдущая дырка тоже мимо пролетела. я знаю челов, у которых до сих пор всё на 7ке ))) их в принципе можно понять.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	81. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+2 +/–
	Сообщение от Вызабылизаполнитьполе (?), 09-Июл-24, 18:28
	Это какая-то логика госпараш? Коммитер должен всегда делать идеальные правки с риском после любой ошибки сесть на кол как при Иване Грозном? Все ошибаются кто-то чаще кто-то реже, если возможность ошибится есть - ошибка гарантированно случится, тому нет никакого смысла выяснять даже кто её допустил. Нужно менять процессы ревью, анализа, тестирования и так далее, чтобы ошибок было меньше. Тыкать в людей смысла абсолютный ноль.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	89. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от Аноним (88), 09-Июл-24, 18:59
	Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт важном сервисе. Важен не сам факт ошибки, а какой был рабочий процесс внесения изменения. Если прошляпиля куча глаз, включая апстрим, то ~ сделали всё что смогли. Если же в одно рыло под одеялом ночью патчили, то таки да - на кол.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от нах. (?), 09-Июл-24, 19:13
	> Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт > важном сервисе. вон там тебе человек, нашедший уязвимость (так что да - куча глаз - внезапно, в этот раз не прошляпила), пытался разжевать - проблема создана именно апстримом. Так что вероятнее всего - даже если бы кто-то оттуда снизошел до посмотреть, и даже всерьез бы задумался точно тут все работает или не совсем - нет никаких гарантий что заметил бы проблему. Но на деле тот и не собирается этим заниматься, ему твой редхат - пофигу абсолютно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	87. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+1 +/–
	Сообщение от Всем Анонимам Аноним (?), 09-Июл-24, 18:48
	Технически, баг не в этом коммите и исправление тоже не затрагивает это изменение.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	93. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от Аноним (93), 09-Июл-24, 19:12
	А сколько вы заплатили за использование? Какова ответственность поставщика этого по вашему договору?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	106. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–1 +/–
	Сообщение от Reer (?), 09-Июл-24, 23:56
	Как мгу подготовило так и написали
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–12 +/–
Сообщение от Аноним (3), 09-Июл-24, 13:41
Угадайте, на каком языке он написан. На размышление дается 30 секунд.
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+1 +/–
	Сообщение от Аноним (12), 09-Июл-24, 13:54
	Молоток опасен для того, у кого руки из опы. Ну или в руках того, кто твёрдо вознамерился нанести урон. Но есть и обратная сторона - когда в руках молоток, всё становится похожим на гвоздь. Вот такая диалектика.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	160. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+/–
	Сообщение от Аноним (160), 11-Июл-24, 18:07
	А, если это молоток с кривой ручкой) и притом все окружающие утверждают ведь что оня прямее всех прямых!... > Угадайте, на каком языке он написан Чего копаться с сортах дерьма гадая?!... Ну вот я про один из - только что написал своё видение(в "Критическая уязвимость в GitLab"): > "Gitlab - новый sendmail" - причем на безопасном руби И на безопасном линукс, молодцы! А, чтобы не было никаких уязвимостей в ч.н.в гите* - отменить пароли, вот я например сижу даже в линуксе не только без антивируса а и даже рутового пароля - неверится? Только что расписал тут: - https://www.opennet.me/opennews/art.shtml?num=61517#25
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	+1 +/–
	Сообщение от Афанасий (?), 09-Июл-24, 13:57
	Приведи пример безопасного языка, который нужно было взять на момент начала разработки OpenSSH.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	31. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–1 +/–
	Сообщение от Аноним (31), 09-Июл-24, 14:48
	Ada?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–1 +/–
	Сообщение от Афанасий (?), 09-Июл-24, 15:26
	Какого качества были свободные компиляторы Ada в то время? Знал автор первых строчек кода OpenSSH язык Ada? Какова вероятность найти нужного количества "помощников" со знанием Ada? И так далее... На заре становления open source проектов кроме C, C++ выбора особо и не было. Либо закрытые компиляторы, либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающа..."	–1 +/–
	Сообщение от Аноним (-), 09-Июл-24, 16:21
	> Какого качества были свободные компиляторы Ada в то время? А они обязательно свободные должны быть? Типа ради шbo6oдки и омно жрать готовы? Ты ж понимаешь что все вопросы к качеству компилятора нужно задавать сообществу. Вот почему сообщество не запилило хороший компилятор, а?
	Ответить \| Правка \| Наверх \| Cообщить модератору