Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие повысить привилегии в системе"	+/–
Сообщение от opennews (?), 29-Май-25, 12:04
В применяемых различными дистрибутивами  конфигурациях DHCP-сервера Kea, развиваемого консорциумом ISC в качестве замены классического ISC DHCP, выявлены уязвимости, в некоторых ситуациях позволяющие локальному пользователю выполнить код с правами root или перезаписать любой файл в системе:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63324
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

3. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
Сообщение от Аноним (3), 29-Май-25, 12:12
>с правами root практикуется в дистрибутивах Linux,......, FreeBSD, NetBSD и OpenBSD. Справедливости ради, бестпрактикс, в BSD подобные сервисы принято запускать минимум в чруте, максимум в джайле. И это практикуется уже не первое десятилетие.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
Сообщение от Аноним (5), 29-Май-25, 12:13
Арч для декстопа норм дистр?
Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (3), 29-Май-25, 12:16
	Если не хочешь разбираться обновление какого софта в очередной раз поломало тебе всю систему. Ну зато скиллов наберешь, как какую нибудь самбу дебажить.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от 1 (??), 29-Май-25, 14:06
	Ну если перед обновлением делать снапшот ...
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+4 +/–
	Сообщение от trolleybus (?), 29-Май-25, 14:46
	У меня на арче сейчас ничего не ломается. Это было актуально, может быть, лет 10 назад.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	55. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (55), 29-Май-25, 20:10
	Пользуясь третий год, единственное что отваливалось, это суспенд. И то по моей вине, ибо зачем-то тестинг подрубил...
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	14. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
	Сообщение от Афроним (?), 29-Май-25, 13:04
	Поговаривают, что лучший, но они просто не распробовали гениальную простоту Манджары.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	56. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (55), 29-Май-25, 20:15
	Пробовал когда-то, не зашло. А с момента появления archinstall в стандартной поставке, смысла в Manjaro заметно поубавилось. Её изменения только гемора добавляют, да и AUR ломают.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (57), 29-Май-25, 20:18
	Простенько так взял и как отмотал время до отвала сертификатов
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	93. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 12:38
	Manjaro тоже может разваливаться, ничуть не хуже арча.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	15. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–2 +/–
	Сообщение от Аноним (15), 29-Май-25, 13:08
	Каждую из программ ты будешь настраивать в нём. Ну вот посчитай сколько у тебя пакетов, в районе 1000, и ни один ты не сможешь использовать из коробки, половину будешь компилировать. О каком десктопе может быть речь с такими вводными?
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	18. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (18), 29-Май-25, 13:45
	Мягко говоря, это большое преувеличение, что придётся настраивать все 1000 пакетов. Вот у меня Gentoo with KDE, всего 1447 пакетов. Неужели вы думаете, что я их все как-то настраивал?
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (15), 29-Май-25, 14:05
	В генту большинство конфигов норм из коробки, а пакеты поставляются с необходимыми патчами.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от 12yoexpert (ok), 29-Май-25, 15:27
	ты всё перепутал. всё наоборот
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–1 +/–
	Сообщение от Аноним (15), 29-Май-25, 18:13
	Правда, что ли? Хуже пакетов, чем в арче, ты не найдёшь. И это те самые ребята, которые "собирается=работает".
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Вы забыли заполнить поле Name. (?), 29-Май-25, 14:14
	Slackware получше будет.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	38. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
	Сообщение от myster (ok), 29-Май-25, 15:54
	> Арч для декстопа норм дистр? Зависит от твоего опыта и желание решать с ним проблемы. Сразу успокою, что их кот наплакал, и что Arch постоянно ломается это миф. Если опыта мало или просто лень (в хорошем смысле, просто не охота тратить время на чтение wiki и ручные правки конфигов), то ставь CachyOS, EndeavourOS или Manjaro. Они представляют собой хорошо настроенный Arch, как если бы ты сам настаривал, читая Wiki. ЗЫ: не то чтобы Arch нужно много настраивать, это всё тоже мифы от нубов, но сэкономишь какое-то время и получишь удовольствие от преднастроенного кем-то дистрибутива с красивыми темами.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	53. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от 12yoexpert (ok), 29-Май-25, 19:47
	манжару не ставь, она ломается с первым же обновлением пакетов
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от нах. (?), 29-Май-25, 22:58
	> манжару не ставь, она ломается с первым же обновлением пакетов тру мажары ничего не обновляют. Им, в общем, и не надо - "уязвимость в dhcp? А что такое это ваше дешесепе?"
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от нейм (?), 29-Май-25, 23:18
	Вечно сломан, но никогда не убит (а вообще, обновляется спокойно, пару раз за 5 лет с зависимостями к пользовательскому софту продалбывались, в пределах погрешности)
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

	94. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 12:40
	>(а вообще, обновляется спокойно, пару раз за 5 лет с зависимостями к пользовательскому софту продалбывались, в пределах погрешности) Я тоже пару раз восстанавливал, правда не помню, за сколько лет. Но хороший дистр не должен ломаться, и должен хорошо переживать обновления. То есть ошибки могут быть только от апстрима.
	Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
Сообщение от Аноним (9), 29-Май-25, 12:19
Этот ведь вроде бы dns-сервер, переписанный на каком-то безопасном языке, чтоб не быть дырявым как bind?
Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–3 +/–
	Сообщение от Ivan_83 (ok), 29-Май-25, 13:12
	В целом там так. Сидели какие то деды ещё годов чуть ли не с 1980 и пилили ISC DNS (bind) и ISC DHCP. Году в 2005 (после решения проблемы 10к соединений и появления kqueue/epoll) уже стало понятно что код тухлый и тормозной, однако этим продолжали пользоватся, потому как святая референсная реализация того что описано в RFC. Потом году где то в 2015 деды умерли/ушли на пенсию и набрали более адекватную молодёж которая решила расчистить авгеевы конюшни и они налабали KEA - короче это типа своей libev, который умеет современные штуки. И по тихоньку переписали DNS (bind) и DHCP на это. Язык там никто не менял - да и незачем.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от нах. (?), 29-Май-25, 14:03
	> Потом году где то в 2015 деды умерли/ушли на пенсию и набрали более адекватную молодёж и вот вам remote root. Которых в дидовых нимодных-нимодных-нибизопастных-нирабочих поделках давненько уже в таком вот рафинированном виде не видали. Подозреваю, с модными-молодежными dns серверами все будет совсем плохо, когда кто-то неленивый наконец-то найдет время покопаться в их "secure" частях.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+2 +/–
	Сообщение от Ivan_83 (ok), 29-Май-25, 15:56
	Расчехляйте память, в старом BIND регулярно что то находили. Здесь же продолбали на уровне логики, которой в старом bind/dhcp не было.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от нах. (?), 29-Май-25, 16:40
	последние серьезные проблемы в нем не связанные ОПЯТЬ с dnssec - 2010го года. (ну и нехрен разумеется включать совершенно ненужные xml фичи) > Здесь же продолбали на уровне логики, которой в старом bind/dhcp не было. нет. Продолб дающий именно рута а не юзера dhcpd - это продолб на уровне логики дятла, не умеющего в юникс-программирование вообще. И отдельно - о том что ее там не было именно потому что ей НЕЧЕГО делать в критичном инфраструктурном софте. Дятлы неспособные в настройки не через интуитивно-приятные хрусь-апи - могут поставить себе такую хрень отдельно. Возможно даже им удастся при этом ограничить ущерб перехватом управления хренью, а не рутом на всей системе. (хотя конечно вряд ли)
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 29-Май-25, 23:11
	Да ладно, я легко представляю как это получилось. Сам недавно писал демона который делает raw midi устройства которые программно выводят звук в обычные звуковухи. И про дроп привелегий я вспомнил в самый распоследний момент, можно сказать уже после первого релиза, потому что думал совсем о другом. Насчёт ограничения ущерба - скажем достаточно просто иметь авторизацию на входе в такое API чтобы минимизировать примерно до нуля возможности случайных проходимцев.
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 12:44
	>И про дроп привелегий я вспомнил в самый распоследний момент Хороший сишник всегда признайт свои ошибки. Чем меньше вещей нужно помнить, тем лучше.
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (117), 30-Май-25, 17:56
	> неспособные в настройки не через интуитивно-приятные хрусь-апи Ну не все ж вручную админят две стойки и пять виртуалок. Кому-то приходится и автоматизацией датацентров заниматься. У нас тоже раньше было двадцать человек в Индии чтобы по ssh конфиги в vi править, пока они обходились по пять копеек пучок. Кто-то улицы метёт, кто-то баш-скриптом работает. Как говорится, кто на что учился. Но ты не переживай, ты ещё долго не будешь дороже скрипта, так что до пенсии так-сяк дотянешь, а там сразу в рай.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	30. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+4 +/–
	Сообщение от Аноним (30), 29-Май-25, 14:53
	>набрали более адекватную молодёж .... и они налабали KEA Ты называешь "адекватностью" то, что они вхреначили REST API в DHCP сервер? Ну, ну. В итоге получили перезапись произвольных файлов и подъем до рута. А по мне эта болезнь называется JSON головного мозга.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	41. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 29-Май-25, 16:01
	Если бы вы пользовались этим то знали бы что от DHCP сервера уже очень давно хоть немного больше чем обслуживать полторы статических зоны записанных в текстовых файлах позапрошлым админом 15 лет назад. Поэтому ещё 10+ лет назад люди пытались юзать FreeRADIUS в качестве DHCP сервера, а потом и я свой DHCP написал на перле. И в общем то проблема управления устройствами в сети до сих пор не решена ни кем, так чтобы в одном месте можно было назначать IPv4+IPv6+DNS имя регать + иметь какой то человечий гуй. Вот рест апи - это попытка интеграции в такие системы, учитывая что у них есть и днс сервер свой то очевидно что где то и какой то вебгуй к этому есть = система управления хостами в сети.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+2 +/–
	Сообщение от нах. (?), 29-Май-25, 16:42
	> не решена ни кем, так чтобы в одном месте можно было > назначать IPv4+IPv6+DNS имя регать + иметь какой то человечий гуй. Вы не поверите, но в винде это давно уже можно. В том числе - БЕЗ "человеческого гуя" для альтернативно-одаренных. > то и какой то вебгуй к этому есть = система управления Как мы живем без вебгуя - ума не приложу. (у нас правда есть нормальный, виндовый, но он весьма ограничен в возможностях)
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 29-Май-25, 23:07
	Да, я видел вендовый DHCP ещё во времена 2008r2 последний раз. Ну оно такое себе, скажем по функционалу близкое к dnsmasq - типа для локалок с относительно фиксированной и простой конфигурацией сгодится. Вебгуй - ну вот так получилось что сейчас нарисовать вебгуй проще чем делать приложение которое бы работало больше чем на компе на котором его написали. Я не сказать чтобы фонат, особенно в текущей ситуации когда гугоол стал практическаи монополистом браузеров, но пока поляна относительно хотя бы выглядит свободной то браузер удобнейшее средство чтобы давать универсальный гуй для управления с разных клиентских терминалов.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от _ (??), 30-Май-25, 07:11
	> Ну оно такое себе, скажем по функционалу близкое к dnsmasq - типа для локалок с относительно фиксированной и простой конфигурацией сгодится. ???? Ну а конкретно - чего тебе нужно, а оно не может? А то мы ещё в 18-19 кошкин дхцп на это вот променяли :) может мучаемся и не знаем?! %-)
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 30-Май-25, 12:25
	Считай что отношение к DHCP уже примерно как к HTTP запросу на получение адреса, и хочется в ответ выдавать что придёт в голову и описать это на каком то языке, который ещё и в БД умеет кастомные запросы слать. И там хочется не только DHCP но и RA тоже.
	Ответить | Правка | Наверх | Cообщить модератору

	111. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от _ (??), 30-Май-25, 17:02
	Провайдер? Ясно тогда. А я - их бин энтер прайс (С) :) Для нас - вполне себе всё что надо было со фар - виндовый тащил.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от User (??), 30-Май-25, 12:45
	> Вебгуй - ну вот так получилось что сейчас нарисовать вебгуй проще чем > делать приложение которое бы работало больше чем на компе на котором > его написали. Даже забавней - это самое "приложение" скорее всего будет работать через тот же самый HTTP REST, ибо использовать всякие XML\RPC, JSON\RPC, gRPC или городить что-нибудь свое поверх mqtt или там websocket'ов несут сильно больше боли ).
	Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

	92. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от User (??), 30-Май-25, 12:37
	>>набрали более адекватную молодёж .... и они налабали KEA > Ты называешь "адекватностью" то, что они вхреначили REST API в DHCP сервер? > Ну, ну. В итоге получили перезапись произвольных файлов и подъем до > рута. > А по мне эта болезнь называется JSON головного мозга. ЭЭэээто у вас какая-то фобия, если честно. Чем принципиально REST API для управления отличается ну вот от какого-нибудь XML-RPC, или за что вы там топите? Вариант текущего ISC DHCP - "вообще не управлять, перезапустил - оно и перечитало" не предлагать )
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

	107. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–1 +/–
	Сообщение от Аноним (-), 30-Май-25, 15:18
	> Ты называешь "адекватностью" то, что они вхреначили REST API в DHCP сервер? > Ну, ну. В итоге получили перезапись произвольных файлов и подъем до рута. Ну так свое название выполнило на отлично - RESTroom для хакеров получился шикарный. Теперь прямо у всех кто это оверинженернутое нечто юзал. ISC вообще как-то стал перебарщивать с оверинженерией. Вон Bind 10 делали. И наворотили столько - что ЭТО по моему вообще никто не хочет юзать теперь.
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

	17. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–3 +/–
	Сообщение от Аноним (17), 29-Май-25, 13:20
	Это у Вас си++ безопасный язык? Хотя, для опеннетовского универсума супербезопасный. Только Настоящих Программистов под него не найти. Хотя, в этих вот ошибках, "тех самых ошибок" нет, все "логические" - может вот как-раз и нашлись эти мифические программисты, которые за памятью следят? На остальное, как видно из новости, внимания и концентрации не осталось.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	19. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (18), 29-Май-25, 13:49
	С++ разумно безопасный язык, если польоваться современными стандартами. Разумно потому, что безопасный без фанатизма, в отличие от Раст.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Вы забыли заполнить поле Name. (?), 29-Май-25, 14:15
	В Си++ ты просто подключаешь Boehm GC, и 90% проблем с памятью исчезают.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	98. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 12:49
	За исключением выхода за границы массивов, взаимодействия с любыми чужими библиотеками, наличия арифметики указателей, приведения типов и так далее. А если уж есть сборщик мусора, тогда почему сразу не взять тот же go, ocaml, любой другой язык, где всё это из коробки?
	Ответить | Правка | Наверх | Cообщить модератору

	108. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (-), 30-Май-25, 15:19
	> За исключением выхода за границы массивов, В C++ можно заоверлоадить operator[] и делать по этому поводу что угодно. Хоть паниковать как хруст. > взаимодействия с любыми чужими библиотеками, Вы это все и в других ЯП огребете, внезапно. Или не сможете эти либы юзать, на выбор. А какие еще варианты есть? :)
	Ответить | Правка | Наверх | Cообщить модератору

	112. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 17:07
	>В C++ можно заоверлоадить operator[] Вы так каждую проблему по одиночке будете решать? >Вы это все и в других ЯП огребете, внезапно. Или не сможете эти либы юзать, на выбор. Почему? В c++ нужно к каждой строке относится подозрительно - а нет ли там висячих указателей, двойных освобождений и так далее. В других языках такие проблемы возникают только при взаимодействии с сишными библиотеками. Сюда стоит приплюсовать, когда на таких языках встречаются pure $langName implementation. И если условному python нужна сишная библиотека, для парсинга html, то ocaml, golang могут реализовать парсер на родном языке. Вплоть до того, что tls будет реализован на том же языке. Таким образом, гарании ocmal-а или golang-а распространяются не только на приложение, но и на парсер html.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+10 +/–
	Сообщение от Аноним (9), 29-Май-25, 14:22
	А зачем вы тогда плюсовый LLVM используете в расте, если там все небезопасно? Неужели так сильно хочется чтоб из-за ошибки в плюсовом коде LLVM-IR сгенерировался в код, в котором боров чеккер сработает некорректно?
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	31. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (31), 29-Май-25, 15:13
	> А зачем вы тогда плюсовый LLVM используете в расте, если там все > небезопасно? Неужели так сильно хочется чтоб из-за ошибки в плюсовом коде > LLVM-IR сгенерировался в код, в котором боров чеккер сработает некорректно? А зачем "спицы" и кексперты опеннета[1] пишут свои случайные наборы вумных слов? [1] "боров чеккер" отрабатывает _до_ генерации LLVM-биткода, а хитровымученная возможная "ашипка" типа выше - скорее будет просто генерировать код, пишуший "куда-то" в память ...
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–1 +/–
	Сообщение от Аноним (-), 29-Май-25, 15:30
	> А зачем "спицы" и кексперты опеннета[1] пишут свои случайные наборы вумных слов? Потому что могут (с) Тут половина не читала стандарт С99, а ты про такие тонкости)
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (9), 29-Май-25, 15:48
	> скорее будет просто генерировать код, пишуший "куда-то" в память ... приемлемо
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	60. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (31), 29-Май-25, 22:21
	>> ... код, пишуший "куда-то" в память ... > приемлемо Кто бы сомневался. "Пусть у меня корова сдохнет, лишь бы у соседа сдохли две!". Только вот незадача: такой же код оно вполне cможет генерировать и для шланга. В дополнение к обыкновенному и банальному результату погроммизьма на плюсо-сях "я точно знаю, что я делаю с указателем!Ведь я Настоящий Погроммист!".
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (17), 29-Май-25, 15:55
	Это больше "философская" проблема. Если Вы предполагаете, что "ненадежный" LLVM из-за ошибки работы с памятью ( НЕ из-за "логической" ошибки! ) не упав, тихо и без ошибок, запросто сгенерирует РАБОЧИЙ код тоже с внедренной ошибкой по памяти - то это (отдаленно) попахивает той самой вероятностью, с которой миллион обезьян за миллион лет напишут "Войну и мир". Если же LLVM'ом ты собираешь компилятор раста, которым потом компилируешь свои хелловроты, то, чтобы ошибка работы с памятью как-то тихо "мигрировала" из LLVM в раст-компилятор, а затем с него "передалась" в твою программу - это просто магия какая-то. Даже магическое мышление. Из разряда "а вдруг, если съем зайчатину, то стану зайцем?"
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	42. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 29-Май-25, 16:07
	Здался вам этот безопасный язык, как будто он сам всё напишет в плане функционала...
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	43. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–1 +/–
	Сообщение от Аноним (-), 29-Май-25, 16:36
	> Здался вам этот безопасный язык, как будто он сам всё напишет в плане функционала... Конечно сдался. Я же хочу писать функционал, а не фиксить бесконечные регрессии. Поэтому взял современный С++. Правда пришлось добавить санитайзеров, но это приемлемый трейдофф.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 29-Май-25, 23:18
	Кресты вообще какой то мутант, смысла их юзать около нуля. Если хочется сосредоточится на функционале/бизнесслогике - то это высокоуровневые языки, луа, питон.... Для низкого уровня лучше взять С и не упарыватся лишней фигнёй. Я лично кресты не люблю - там очень часто можно встретить очень корявый код, который случается от того что люди переусложнили и сами не понимают что происходит. У одних архитектура корявая и каждый мелкий чих ведёт к огромным простыням рефакторинга проекта, у других на вид безобидные конструкции которые на самом деле внутри делают тонны нафиг ненужной работы.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 12:54
	>Если хочется сосредоточится на функционале/бизнесслогике - то это высокоуровневые языки, луа, питон.... Есть две крайности: либо си, где всё ломается, либо питон с тормозами интерпретации, ошибками типизации прямо в рантайме. Почему все остальные языки так старательно обходятся стороной? Взять тот же ocaml - типизация есть, скорость - намного лучше питона. Golang - типизация будет гораздо хуже, скорость - намного лучше питона. Да даже ту же жабу или котлин.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 30-Май-25, 13:41
	На С ничего не ломается. Кроме питона есть замечательная LUA да и много чего ещё, хотя бы JS - это всё можно прикрутить поверх С для написания бизнесс логики. Golang - у меня пока впечатления от продуктов на нём положительные, как у меинтейнера и пользователя программ.
	Ответить | Правка | Наверх | Cообщить модератору

	109. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (-), 30-Май-25, 15:29
	> Взять тот же ocaml - типизация есть, скорость - намного лучше питона. Ацкая эзотерика на которой полтора проекта, с 1 землекопом. После чего остальное уже и не важно. Это и не low entry barrier, и не системное/шистрое. И его ниша - примерно нихрена. > Golang - типизация будет гораздо хуже, скорость - намного лучше питона. Ну так он в вебе питона и выпиливает методично. Гугл для этого его и сделал. > Да даже ту же жабу или котлин. Энтерпрайзные монстры с невъ....м рантаймом и VM, такое только махровому энтерпрайзу с "докупите оперативки, а заодно и серверов" заходит.
	Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

	113. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 17:15
	>Ацкая эзотерика на которой полтора проекта, с 1 землекопом. Python тоже не родился популярным. >Это и не low entry barrier Куда ещё проще? Ну возьмите Standard ML, хотя как по моему, фич всё же нужно больше. >и не системное/шистрое Ничуть не хуже golang-а. >Ну так он в вебе питона и выпиливает методично. Гугл для этого его и сделал. Python много где засел. Вот в арче https://archlinux.org/packages/core/x86_64/python/ Required By (3080). Кто его из от туда уберёт? >Энтерпрайзные монстры с невъ....м рантаймом и VM, такое только махровому энтерпрайзу с "докупите оперативки, а заодно и серверов" заходит. Python не превосходит java в этом отношении. Хотя бы потому, что он динамичеси типизирован. Разве что по времени холодного старта, но это нужно очень внимательно проверять.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от _ (??), 30-Май-25, 07:15
	> Я же хочу писать функционал, Не волнуйся - ты и не сможешь! Причём не потому что у тебя - лапки, а потому что чтобы быть даже уеб-программером нужно быть не на 146% овощем ... а ты тест прошёл - отквочено выше :-р
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	110. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 15:56
	Почти на любом языке кода нужно писать меньше, чем на си. По крайней мере не нужно отдельно считать размер строк. А если брать функциональные языки, то там вообще можно конвеер сделать. Что-то вроде let _ = String.trim "  ab " |> String.uppercase_ascii |> print_endline; Хотя бы в десять строк кода на си уложитесь? И насколько много там будет велосипедов, типа ручной реализации trim?
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

	116. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от _ (??), 30-Май-25, 17:31
	Ты сначала свою реализацию trim покажи, Ыпический!(С) :) А то выходит твоя ЯП лучше Си потому что какие то дяденьки trim для тебя уже написали? Ыпический!(С) :) В Сях никто не запрещает юзать готовые имплементайии тоже, СЮРПРИЗ! :) А умные дяди даже так могут: echo " ab " | tr -d " " | tr "[:lower:]" "[:upper:]" и вот заметь - тут на Си вообще _всё_, даже баш :-D
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
	Сообщение от Аноним (50), 29-Май-25, 18:50
	Тут все уязвимости логические, от них Rust бы не спас.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

10. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
Сообщение от Аноним (9), 29-Май-25, 12:26
Автор, ты откуда этот бред берешь про NetBSD/OpenBSD?
Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–3 +/–
	Сообщение от Аноним (-), 29-Май-25, 12:29
	Бред несешь ты. Если бы не поленился и сходил по ссылке в статье, то вопросов не задавал security.opensuse.org/2025/05/28/kea-dhcp-security-issues.html#68-netbsd-pkgsrc-binary
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
	Сообщение от Аноним (9), 29-Май-25, 14:28
	Сейчас про NetBSD на сайте opensuse читать. Я то использую NetBSD и вот в pkgsrc даже сервис после сборки не запустить без ручного копирования скрипта в /etc/rc.d/. С конфигами еще лучше - их нет, есть просто официальные примеры из тарбола, которые надо открыть и под себя адаптировать, а затем скопировать в /etc/. Никого "по-умолчанию" в NetBSD/pkgsrc нет, кроме случаев когда сервис может стартовать вообще без конфига.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–1 +/–
	Сообщение от Аноним (29), 29-Май-25, 14:46
	> With PKG_RCD_SCRIPTS=YES, rc.d scripts will be copied into /etc/rc.d when a package is installed, but only if the target does not already exist. Но таки да, там без понимания как и что работает, без настройки под свои нужды, к работе не допустят. И правильно.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от нах. (?), 29-Май-25, 16:44
	> Сейчас про NetBSD на сайте opensuse читать. Я то использую NetBSD и > вот в pkgsrc даже сервис после сборки не запустить без ручного Какое ж удивительное гy@но это ваша нетбесде. Впрочем, там уточняют что без ручного таки можно, но как обычно, сперва надо исполнить национальный танец с граблями. В общем, от админов локалхостов и подкроватных стоек ничего другого и не ждешь. > копирования скрипта в /etc/rc.d/. С конфигами еще лучше - их нет, вообще прекрасно. Действительно, зачем...
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	54. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (29), 29-Май-25, 20:06
	"Не гуано" это значит где система неподконтрольна админу тысяч серверов, который только и умеет docker pull делать, а сам даже не представляет как оно работает? Ну да, не гуано. Для мистера капрала, который ради вашего же блага построил вам systemd и Гуантанамо.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от нах. (?), 29-Май-25, 22:54
	> "Не гуано" это значит где система неподконтрольна админу тысяч серверов, который только > и умеет docker pull делать, а сам даже не представляет как > оно работает? ты-то много представляешь, а не научился копировать файлик с одного места на другое, ага, как же. > Ну да, не гуано. Для мистера капрала, который ради вашего же блага > построил вам systemd и Гуантанамо. ой, носитель шапочек из фольги и борец с американским импириализьмом пожаловал. Ныкаемся, ныкаемся, пацаны!
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
	Сообщение от Аноним (9), 30-Май-25, 00:42
	Я ваще нафиг ты тут кривляешься. Просто повторю: 1. в NetBSD скрипт запуска демона не копируется в /etc/rc.d по-умолчанию. 2. Даже если ты выставишь переменную для этого, он все равно не будет стартовать, потому что его надо прописать для автозапуска в /etc/rc.conf 3. Конфиги лежат в pkg/share/examples. Бери оттуда любой и настраивай под себя. Такого бреда из описания новости тут точно нет.
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	100. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–1 +/–
	Сообщение от Аноним (93), 30-Май-25, 12:56
	>С конфигами еще лучше - их нет, есть просто официальные примеры из тарбола, которые надо открыть и под себя адаптировать, а затем скопировать в /etc/. В этих конфигах есть изоляция из коробки или нет? Откуда пользователь про это должен догадаться? >Никого "по-умолчанию" в NetBSD/pkgsrc нет Конфиг из коробки, даже как пример, это и есть "по умолчанию".
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

20. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
Сообщение от нах. (?), 29-Май-25, 14:00
ну безусловно ж dhcp-сервер не может жыть без нескучного rest api. Кто бы мог подумать и было ли ему - чем?! Зато старый isc'шный ну совсем небезопастный, мамой клянутцо (кстати, умеет сбрасывать привиллегии, и делает это - правильно, в отличие от по(д)делки)
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
Сообщение от User (??), 29-Май-25, 15:41
Ну, видел бы кто его в живой природе - могло бы быть проблемой, а так... Вот ms dhcp + dns примерно у всех крупняков, dhcp-пулы на цисках - видел, dnsmasq на васянороутерах - нивапрос, выдача адресов из пулов VPN'ами - тысячи их! А вот kea... неа.
Ответить | Правка | Наверх | Cообщить модератору

	49. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от нах. (?), 29-Май-25, 18:46
	> Ну, видел бы кто его в живой природе а куда ты денешься, его пихают с упорст...отостью достойной премии дарвина. Ну и скорее всего - баги в iscшном просто перестанут исправлять. К тому же он и правда устарел со своими незамысловатыми особенностями (начиная от банального неумения в перечитывание конфигурации) лет на двадцать. А ничего более приличного, как обычно, новая поросль неспособна родить. Жрите этот вот. Лет через пять основные дыры в нем наверное даже перестанут так вот удивлять на ровном месте. > Вот ms dhcp + dns примерно у всех крупняков ну, в целом, да. Потому что простые вещи делаются просто, как и должны бы, сложные - автоматизируются понятным путем. Свои недостатки есть, но по крайней мере ничего внезапно не меняется на несовместимые конфиги и поведение. > dhcp-пулы на цисках - видел ооооочень медленно. Мы в свое время отказались от них в пользу ms, просто потому что банально сбой электричества в отдельном офисе - 200 телефонов резко перезагружаются и оно...ниуспиваит их обилетить. > выдача адресов из пулов VPN'ами там радиус обычно (тоже та еще дрянь), dhcp очень редко В общем, где не помещается по объективным причинам виндовый сервер - будешь ставить kea, хрен ты куда от него денешься.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от User (??), 30-Май-25, 07:52
	>> Ну, видел бы кто его в живой природе > а куда ты денешься, его пихают с упорст...отостью достойной премии дарвина. > Ну и скорее всего - баги в iscшном просто перестанут исправлять. К > тому же он и правда устарел со своими незамысловатыми особенностями (начиная > от банального неумения в перечитывание конфигурации) лет на двадцать. Ээээ... ойпивэ6 не предлагать? :) Не то, чтобы я всерьёз надеялся дожить (Тут географию менять надо), но... > А ничего более приличного, как обычно, новая поросль неспособна родить. Жрите этот > вот. > Лет через пять основные дыры в нем наверное даже перестанут так вот > удивлять на ровном месте. >> Вот ms dhcp + dns примерно у всех крупняков > ну, в целом, да. Потому что простые вещи делаются просто, как и > должны бы, сложные - автоматизируются понятным путем. Свои недостатки есть, но > по крайней мере ничего внезапно не меняется на несовместимые конфиги и > поведение. Ээээ... если не ошибаюсь - меняется, грабли при обновлении кластеризованного (Причем LB, а не hot-standby) сервера видел и слышал. Но в доке (Кто ж её ДО читает?) писано. >> dhcp-пулы на цисках - видел > ооооочень медленно. Мы в свое время отказались от них в пользу ms, > просто потому что банально сбой электричества в отдельном офисе - 200 > телефонов резко перезагружаются и оно...ниуспиваит их обилетить. А вот не помню уже - может адресами ACS\ISE заведовал, но вот именно эту проблему - не видел. Ну или просто на заводе плотность потребителей низкая, а электрогенерация - собственная, и даже если пара корпусов отрубалась - проблемы это не создавало. >> выдача адресов из пулов VPN'ами > там радиус обычно (тоже та еще дрянь), dhcp очень редко Угу. RADIUS видел, dhcp нет. > В общем, где не помещается по объективным причинам виндовый сервер - будешь > ставить kea, хрен ты куда от него денешься. по "субъективным", скорее. Там, где "по объективным" не пролазит - там dnsmasq какой за глаза.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 29-Май-25, 23:24
	У каких таких крупняков!? У которых на пару тыщ хостов чтоли? Смешно же. Крупняки в плане количества хостов это провайдеры, там от пары тыщ хостов это самая мелочь можно сказать. Никаких MS DHCP там и близко не бывает, у них совсем другие хотелки от DHCP серверов. Из того что я знаю провайдеры юзают: - мой DHCP на perl, который из БД достаёт адреса пибитые к мак+опт82. - DHCP kea который делает примерно тоже самое - DHCP @ FreeRADIUS - опять же достаёт из базы Наверное есть и какие то решения от циски, куавея и кого то ещё. Основная проблема MS DHCP и dnsmasq - в том что они нифига не гибкие в плане выдачи адресов и внешнего управления, свою логику туда так просто не упихаешь.
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	73. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (73), 30-Май-25, 05:51
	> Основная проблема MS DHCP и dnsmasq - в том что они нифига не гибкие в плане выдачи адресов и внешнего управления, свою логику туда так просто не упихаешь. Примеры дай, про негибкость msdhcp
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
	Сообщение от _ (??), 30-Май-25, 07:19
	Да не - всё так. Оно мощное и умеет всё чё токо ынтерпрайсу надо, но в провайдера его ставить ... я лично пас!(С)
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (73), 30-Май-25, 10:53
	Так ты прочти сначала. Человек передернул. Первое сообщение что у крупняков ms dhcp. В ответе два передрuа: вместо крупняков переводим обсуждение на операторов пишем тождественность с dmsmasq У меня собственно вопрос что это ему не хватило в msdhcp что аж прямо совсем никак.
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 30-Май-25, 12:29
	А в чём передёргивание? Мы говорим про DHCP сервера, и крупняк тут считается исключительно по поголовью хостов, и вот эти ваши корпораты сильно отстают от провайдеров. Да, MS DHCP server не сказать чтобы сильно отличался от dnsmasq по функционалу и гибкости.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 30-Май-25, 12:27
	Попробуй добавить на любом языке логику которая срабатывает при разборе запроса/ответе. Ну и там особенности разбора той же опции 82.
	Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

	78. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+1 +/–
	Сообщение от User (??), 30-Май-25, 07:32
	> У каких таких крупняков!? > У которых на пару тыщ хостов чтоли? > Смешно же. Ну, если автор dhcp server'а на perl'е, которым пользуются все провайдеры, кроме пары неудачников вот с kea так говорит - то РАЗУМЕЕТСЯ, так оно и есть, смешно. > Крупняки в плане количества хостов это провайдеры, там от пары тыщ хостов > это самая мелочь можно сказать. > Никаких MS DHCP там и близко не бывает, у них совсем другие > хотелки от DHCP серверов. Ну, я почему-то думал, что DHCP - решение вот вообще нифига не операторского уровня - работа на l2, всякая там ограниченная масштабируемость в рамках broadcast-домена, дiдоугодное отсутствие каких-либо средств обеспечения безопасности с уязвимостью к spoofing'у и dos'ам, не то, чтобы хорошие отношения с отказоустойчивостью, привяка адреса ко "времени", а не к "сессии" и вот это всё - а оно она как! Это у нас в зауралье все PPP-сессию поверх оптики поднимают "и алга!" дальше RADIUS разберется, что кому выдать, а на самом деле-то, оказывается, dhcp-сервер на perl'е через гирлянду релеев-по-vlan'ам адреса пользакам раздаёт. Ну чо - буду знать. Доберусь до цивилизованных мест - глядишь, своими глазами эти чудеса узрю... > Из того что я знаю провайдеры юзают: > - мой DHCP на perl, который из БД достаёт адреса пибитые к > мак+опт82. > - DHCP kea который делает примерно тоже самое > - DHCP @ FreeRADIUS - опять же достаёт из базы Ну, в тех 2х местах где я своими глазами видел - раздачей адресов занимался вот RADIUS. Впрочем, 20 лет назад дело было - может и поменялось всё. > Наверное есть и какие то решения от циски, куавея и кого то > ещё. > Основная проблема MS DHCP и dnsmasq - в том что они нифига > не гибкие в плане выдачи адресов и внешнего управления, свою логику > туда так просто не упихаешь. Ну ок. Если вы так говорите...
	Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

	89. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 30-Май-25, 12:34
	PPP - жуткий остой, оно там по наследству от телефонистов осталось. В GPoN есть и IPoE - когда ты на медном порту можешь воткнуть свой комп или роутер и он по DHCP получит все адреса/настройки. DHCP сервер на перле я написал когда работал в одном провайдере в сибири, выложил в инет. Потом переехал в мск и узнал что у провайдера к которому я подключён используется мой DHCP сервер :) Насколько помню у них до этого был PPPoE, они на IPoE как раз переползли и его заюзали. И в общем те кто уходил от FreeRADIUS DCHP - им как раз проще на мой сервер переполти.
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от User (??), 30-Май-25, 12:58
	> PPP - жуткий остой, оно там по наследству от телефонистов осталось. Кто бы спорил... > В GPoN есть и IPoE - когда ты на медном порту можешь > воткнуть свой комп или роутер и он по DHCP получит все > адреса/настройки. Угу. Только вот у нас ростелик поверх GPON фигачит как раз таки pppoe, "после чего задача сводится к предыдущему варианту" ).
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от abu (?), 30-Май-25, 05:34
	Так вот же недавняя новость про RedHat 10: = Добавлены новые пакеты: tuned-ppd (вместо power-profiles-daemon), libcpuid и dnsconfd (фоновый процесс для кэширования DNS). В связи с переводом кодовой базы СУБД Redis на проприетарную лицензию вместо Redis предложен форк Valkey. >>> Вместо DHCP-сервера ISC DHCP задействован Kea DHCP. Вместо zlib задействован пакет zlib-ng-compat. =
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	79. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от User (??), 30-Май-25, 07:35
	> Так вот же недавняя новость про RedHat 10: > = > Добавлены новые пакеты: tuned-ppd (вместо power-profiles-daemon), libcpuid и dnsconfd > (фоновый процесс для кэширования DNS). В связи с переводом кодовой базы > СУБД Redis на проприетарную лицензию вместо Redis предложен форк Valkey. >>>> Вместо DHCP-сервера ISC DHCP задействован Kea DHCP. > Вместо zlib задействован пакет zlib-ng-compat. > = Так я и ISC'шный-то видел ээээ... считай "не видел" (Сам по дури ставил - но это другое, это нищитова), даже в филиале РОСАТОМа после импортозмещения этим делом "она, поганая!" занималась.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от abu (?), 30-Май-25, 08:33
	Ну, я к тому, что понасуют сейчас этого всего, раз сам RedHat взялась продвигать. Сам я в свое время настраивал DDNS + DHCP от ISC на десяток локальных сеток, это было давно, но работало хорошо. Да и сейчас предпочитаю то, что работает, не смотря на =новизну=, в таких делах новизна не нужна без явных причин.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от User (??), 30-Май-25, 12:06
	> Ну, я к тому, что понасуют сейчас этого всего, раз сам RedHat > взялась продвигать. > Сам я в свое время настраивал DDNS + DHCP от ISC на > десяток локальных сеток, это было давно, но работало хорошо. Да и > сейчас предпочитаю то, что работает, не смотря на =новизну=, в таких > делах новизна не нужна без явных причин. Да вот хрен его знает, нафига. Грубо до полста машин - тебе любой SOHO-роутер раздаст, считай "забесплатно", а больше 100 - скорее всего уже домен окажется, в котором это все опять таки "забесплатно" и в хорошем качестве будет. Наверное, есть\будут кейсы где именно такое вот оправдано (Импортозамещение?) - но "абстрактно-вакуумно" надо уже сову на глобус натягивать, чтоб оно осмысленно было.
	Ответить | Правка | Наверх | Cообщить модератору

	104. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от abu (?), 30-Май-25, 14:18
	Краткий ответ - админ должен быть сам себе хозяин. Длинный ответ - см. ниже (прошу за него прощения): А давайте взглянем с другой стороны. В наличии: - 27-30 локалок на 5-30 хостов плюс пара-тройка головных офисов по 50-100 хостов; - хочется испытать себя, да и как-то сделать все нормально по этим локалкам, а именно: -- чтобы все хосты пинговались по доменным именам в локалке; -- чтобы =сделал и забыл=; -- чтобы все было спокойно и предсказуемо, без васянов -- чтобы без SOHO-роутеров, которые тоже ведь придется изучать, чтобы хорошо все настроить и которые, например, могут гореть от перепада электричества, а следующий SOHO-роутер тупо может не понимать спецсимволы в пароле или еще что-нибудь; - на дворе, как раз, 2000 - 2009 годы, а в Сети не все что попало, как сейчас, с призывами срочно утилизировать =старье=, потому что, дескать, тут кому-то надо самоутвердиться и влезть со всеми этими своими поделиями к вам в огород, где вы хотите стабильности и предсказуемости, например, лет на 10; - на Опеннете пара-тройка достойных мануалов; - на тогда только встающем во весь рост Альт Линуксе (примерно - 2005 год) - мануал, как настроить bind9 и DDNS, но, как водится, ничего там не получается (кстати - с чрутом почему-то не получалось) - кажется, в ту же пору, примерно, уже начинаются все вот эти шашни - nginx лучше, чем Апач, но мы тут на это смотреть не будем (: хотя - это первые ласточки вот этого всего трэшака про Раст и прочее, что творится сегодня. И есть организация, допустим, внезапно, ISC. которая, несмотря на баги (они у всех есть), делает продукт и документирует его. Примеры работы понятны, а старые, уже на тот момент, админы, успешно этот продукт используют, вы применяете их опыт - все получается и тоже - работает. Работает годами. И сегодня у меня все это работает. Спокойно, без пены. Миллионы SOHO-роутеров сгорели за это время дотла, на их смену пришли миллиарды других таких же. Десятки васянов напилили на сотнях языков свои DNS и DHCP. Эволюция - бессердечна. Чтобы их заметили, васяны полезли везде, показывая и доказывая, какие они молодцы. Они пишут с ошибками по-русски, но почему-то считают, что их код безупречен и лучше многих других. Апелляция этих васянов лично к вам, обычно, тупая и смешная - вы не в мейнстриме. Вы админ локалхоста. Вы отстали от жизни. Вы используете программу, написанную на С++, а не на Расте. Они ведут себя не как программисты или админы. Они ведут себя как торговцы. Вы виноваты в их глазах. Всегда. И вы обязаны сомневаться. В себе. Не в них, безграмотных петухах. А ваша проблема за все эти годы лишь одна, если она вообще была - из бэкапа восстановить линуксовый офисный шлюз, если что-то прям вообще случилось там в нем. А если, вдруг, люто-бешенно-внезапно вы выперли свой огород куда-то наружу - жестко следить за обновами. А если вы какой-то мега-провайдер - то не тут нам с вами место (: Но и там, открою секрет средней руки провайдеров, все там без васянов давным-давно. Да вы это и без меня понимаете.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 30-Май-25, 12:42
	А причём тут новизна? unbound отлично работает как кеширующий днс с рекурсером, и настраивается проще. dnsmasq тоже в качестве DHCP отлично работает, для простых локалок его более чем достаточно. И nginx вместо апача тоже просто супер. Никогда не трогал софт от ISC и апач и очень рад, уже 17 лет без их софта прекрасно обхожусь новинками :))))
	Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

	105. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от abu (?), 30-Май-25, 14:32
	Да ваше дело. Мой подход прост - никогда не трогаю однажды настроенный и отлично зарекомендовавший себя в _моей_ работе софт. Это просто дешевле выходит по всем статьям. А если софт перестает быть годным для меня, то я не бегаю по округе и не кричу, что он плох (я не настолько крутой эксперт, чтобы об этом судить за всех и для всех). И понимаю, что просто в моем случае настало время этот софт менять и, уж точно, не на что-то офигенно новое, а на то, что решит мои проблемы с прежним софтом. Оно даже, внезапно, может оказаться старее прежнего. А кому-то этот старый софт и далее будет нормально служить, под его задачи. И, блин, что - в сомнения его загонять всеми этими вскукареками базарными? Спорно это все, на самом-то деле. При этом, я вас понимаю, что есть единство и борьба противоположностей, есть отрицание отрицания, то есть - на смену старому должно приходить новое. Без этого не было б вообще ничего. Но, как по мне, хороший админ за новыми тапками не спешит, если старые не стерлись. Тем не менее, вашему подходу желаю удачи.
	Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	–1 +/–
Сообщение от Аноним (117), 30-Май-25, 03:55
А всего-то нужно было бросить эти костыли с привилегированными портами и никому в голову бы не пришло запускать это от рута в принципе. Но нет, поломается написанная дидами бизапаснасть. Unix воинстину свалка костылей.
Ответить | Правка | Наверх | Cообщить модератору

	74. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от 0xdeadbee (-), 30-Май-25, 07:04
	> бросить эти костыли с привилегированными портами бросайте. я разрешаю, можно на меня ссылаться: net.ipv4.ip_unprivileged_port_start = 53
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (117), 30-Май-25, 17:24
	Когда будет дефолтом 0 во всех мейнстримных дистрибутивах — тогда и будешь разрешения давать. Так-то я и ядро попатчить могу, но хочется чтобы сразу хорошо было, а не бегать дефолты семидесятых годов менять.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 30-Май-25, 12:36
	А ты просто про безопасность в венде или маке или андройде ничего не знаешь :)
	Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

	114. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (117), 30-Май-25, 17:21
	Когда винду, мак и андроид надо будет ставить на сервера с публичными адресами — тогда и буду узнавать. А до тех пор, приходится с костылями бороться.
	Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
Сообщение от Аноним (93), 30-Май-25, 12:36
>Запуск Kea с правами root практикуется в дистрибутивах Arch Linux, Gentoo, openSUSE Tumbleweed (до 23 мая), FreeBSD, NetBSD (pkgsrc) и OpenBSD. Лови не0Cилят0р0в. А теперь давайте посмотрим на ультимативный Nix. https://github.com/NixOS/nixpkgs/blob/nixos-25.05/nixos/modu...       commonServiceConfig = {         ExecReload = "${pkgs.coreutils}/bin/kill -HUP $MAINPID";         DynamicUser = true;         User = "kea";         ConfigurationDirectory = "kea";         RuntimeDirectory = "kea";         RuntimeDirectoryPreserve = true;         StateDirectory = "kea";         UMask = "0077";       }; А всё почему? По-тому, что во-первых, на него снизошла благодать systemd, а во-вторых, система очень гибко описывается языком nix, позволяя композировать сложность не скатываясь в нечитаемые полотна. Кстати как там у староверов systemd ненависников обстоят дела? Как они будут в своих баш портянках делать DynamicUser = true; ?
Ответить | Правка | Наверх | Cообщить модератору

	103. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Ivan_83 (ok), 30-Май-25, 13:42
	А зачем делать динамик юзер?
	Ответить | Правка | Наверх | Cообщить модератору

	106. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 14:34
	Можно делать по старинке, и при установке софта заводить отдельного пользователя и группу. Но, проблема в том, что тогда можно будет поставить только 999 программ, и пользователи закончатся. А с учётом того, что эти 999 программ сразу на весь дистрибутив, то проблемы начнутся относительно скоро.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (117), 30-Май-25, 18:04
	А зачем выделять какого-то отдельного постоянного пользователя демонам? Легаси всякое понятно, там дидовая надёжность™ у которой при смене порта или UID/GID сразу же деление на ноль с выполнением памяти за пределами массива случается by design. Но для более-менее современного софта зачем айдишники менеджить? ОС тогда зачем?
	Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

	119. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 19:45
	Отделить один софт от другого. Например, чтобы условный php не смог забрать сертификат от nginx. Насколько мне известно, в андроиде для каждого приложения выделяется свой собственный пользователь. Тут работает модель швейцарского сыра - даже если взломали софтину, всё равно не получили полный доступ к системе. И чем больше слоёв будет, тем меньше опасны ошибки в каждом отдельном слое.
	Ответить | Правка | Наверх | Cообщить модератору

	120. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (117), 30-Май-25, 19:58
	> Отделить один софт от другого. Например, чтобы условный php не смог забрать сертификат от nginx. Ты точно понимаешь как динамические UID/GID работают? Ну и заодно, отдельный юзер никак не мешает условному php забрать сертификат от nginx. Это определяется битами прав на доступ к файлу, а не айдишником пользователя (если это только не magic value, которыми так славится юникс). В Андроиде безопасность построена вокруг SELinux, которому точно так же до лампочки UID/GID. Вообще, система разделения привелегий в юниксах — и в современном линуксе — одна из наиболее примитивных. И до, и после было достаточно куда более удачных решений. Но нет, магические значения портов и айдишников всё равно с нами, по заветам дидов.
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие п..."	+/–
	Сообщение от Аноним (93), 30-Май-25, 20:15
	>Это определяется битами прав на доступ к файлу, а не айдишником пользователя (если это только не magic value, которыми так славится юникс). И как вы правами доступа к файлам разрешите доступ для nginx, но запретите для php? >Вообще, система разделения привелегий в юниксах — и в современном линуксе — одна из наиболее примитивных. И до, и после было достаточно куда более удачных решений. Например?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема