The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В OpenSSH подозревают наличие опасной уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от opennews (ok) on 13-Апр-14, 18:55 
В списке рассылки разработчиков OpenBSD произошло (http://article.gmane.org/gmane.os.openbsd.tech/35731) заслуживающее внимания обсуждение (http://article.gmane.org/gmane.os.openbsd.tech/35722) с участием Тео де Раадт, из которого следует, что OpenSSH подвержен серьезной уязвимости. Утверждается, что уязвимы как минимум варианты OpenSSH используемые в FreeBSD. К сожалению, кроме голословных заявлений, подробности о характере проблемы не приводятся. Тео де Раадт отказался предоставить какие либо сведения об уязвимости, что вызвало некоторую критику в списке рассылки.

URL: http://article.gmane.org/gmane.os.openbsd.tech/35731
Новость: http://www.opennet.me/opennews/art.shtml?num=39561

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В OpenSSH подозревают наличие опасной уязвимости"  +1 +/
Сообщение от бедный буратино (ok) on 13-Апр-14, 18:55 
что? кто? кого? когда?

"волнуйтесь. подробности о том, как волновались другие - письмом"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В OpenSSH подозревают наличие опасной уязвимости"  +21 +/
Сообщение от A.Stahl (ok) on 13-Апр-14, 19:20 
А давай вместе бояться?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В OpenSSH подозревают наличие опасной уязвимости"  +7 +/
Сообщение от Наивный чукотский юноша on 13-Апр-14, 19:38 
Разрешите присоединиться? Корвалол - мой, ощущения - ваши.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

37. "В OpenSSH подозревают наличие опасной уязвимости"  +1 +/
Сообщение от _KUL (ok) on 14-Апр-14, 08:20 
Забавно - "заслуживающее внимание". Почему оно заслуживает? Где док-во?
з.ы. Строка заслуживает внимание - "где то, в одном популярном ПО, есть наистрашнейшая уязвимость, но никто не знает где, а кто говорит о ней, не говорит о том, знает ли он сам о ней". Страааашно ...
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

64. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Ivan (??) on 15-Апр-14, 13:20 
Уже и сюда пролезла дурацкая 4пда-шная мода отвечать в чужую ветку, ради того, чтобы засунуть свое ценное мнение повыше.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

65. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 15-Апр-14, 17:37 
> Где док-во?

Тео Де Раадт - не форумный балабол. Поэтому его слова имеют несколько больший вес. А его слова в списке рассылки подкреплены пруфлинками на этот список, если что.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

67. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 16-Апр-14, 00:58 
да, но порой - он жжет таким адским напалмом, что прям не знаешь что и думать.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

69. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Led (ok) on 16-Апр-14, 02:05 
>> Где док-во?
> Тео Де Раадт - не форумный балабол.

А "автор и, к сожалению, исполнитель своих (как он их называет) "песен"" (с)

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

4. "В OpenSSH подозревают наличие опасной уязвимости"  +7 +/
Сообщение от Аноним (??) on 13-Апр-14, 19:44 
Неделя уязвимости в OpenSSL закончилась, началась неделя с OpenSSH :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В OpenSSH подозревают наличие опасной уязвимости"  +17 +/
Сообщение от XoRe (ok) on 13-Апр-14, 21:44 
> Неделя уязвимости в OpenSSL закончилась, началась неделя с OpenSSH :)

Астрологи объявили неделю OpenSSH. Прирост взломанных серверов увеличился вдвое.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Пушистик (ok) on 13-Апр-14, 22:32 
Да, помню, у Нострадамуса про это тоже как-то читал.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

5. "В OpenSSH подозревают наличие опасной уязвимости"  –3 +/
Сообщение от Аноним email(??) on 13-Апр-14, 20:02 
«Что если завтра Дамин или я анонсируем о важной дыре в OpenSSH, как будет жить Интернет дальше?
Как вы думаете...люди используют telnet или RDP, чтобы получить доступ к машинам, нуждающмся в администрировании?
Нет, люди пологаются на OpenSSH, за который не платят ничего.»
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "В OpenSSH подозревают наличие опасной уязвимости"  +2 +/
Сообщение от Гость on 14-Апр-14, 13:59 
Вот она - шизологика на марше.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от MPEG LA (ok) on 13-Апр-14, 20:09 
пишу из горящего танка - да куда ж катится этот мир-то?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от StainlessRat (??) on 13-Апр-14, 20:25 
Для OpenBSD - это реклама, для "опущения" FreeBSD. OpenSSH используют практически все UNIX системы. Вопрос: почему раньше этот вопрос не поднимался ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В OpenSSH подозревают наличие опасной уязвимости"  +1 +/
Сообщение от paulus (ok) on 13-Апр-14, 20:39 
Потому что: "Тео де Раадт отказался предоставить какие либо сведения об уязвимости"
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

20. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Khariton (ok) on 13-Апр-14, 22:54 
я предполагаю что есть уязвимость в ядре, но я вам не раскрою...
Или если перефразировать клссиков, то:
Мы Тео де Радтом расходимся в философских вопросах...
- Вы уязвимость в ОпенССШ видите? - Нет! - А она есть...
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

54. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 14-Апр-14, 22:45 
- У меня для вас посылка, но я вам её не отдам.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

55. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Ytch (ok) on 14-Апр-14, 23:16 
Не не не. Печкин саму посылку-то показывал!
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

8. "В OpenSSH подозревают наличие опасной уязвимости"  –1 +/
Сообщение от Аноним (??) on 13-Апр-14, 20:38 
Во FreeBSD 10-stable sshd запускается по дефолту в песочнице capsicum если не ошибаюcь, у меня sshd например не запущен, а так Тео молодец, эксплоиты для openssl все поюзали как новость о дыре появилась.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "В OpenSSH подозревают наличие опасной уязвимости"  –1 +/
Сообщение от Аноним (??) on 15-Апр-14, 17:46 
> эксплоиты для openssl все поюзали как новость о дыре появилась.

OpenSSH совсем иной протокол нежели SSL. Поэтому эксплойты для SSL к SSH не относятся. Но видимо такой обсирак спровоцировал всплеск аудита. И судя по всему Тео и Ко нашли другой обирак, по его утверждениям затрагивающий судя по всему только фрибздюков.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Пушистик (ok) on 13-Апр-14, 21:03 
АНБ продолжает злорадствовать?

Тео не дал никакой инфы, потому что это серьёзная и опасная уязвимость и ей тут же воспользуются многие тысячи хакеров, наверное.

Кошечки пушкуют^^

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "В OpenSSH подозревают наличие опасной уязвимости"  +1 +/
Сообщение от rob pike on 14-Апр-14, 00:08 
Нет, не поэтому.

>Please ask Kirk McKusick, he knows the story about why this is not being disclosed to FreeBSD.  Sometimes I feel a bit sorry for them (and for him), but then the next minute I

don't feel sorry because there's damn good reasons they won't be told about what I found.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

29. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от rob pike on 14-Апр-14, 00:09 
В конечном итоге можно сказать и да, поэтому, но не всё так просто.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

76. "В OpenSSH подозревают наличие опасной уязвимости"  +3 +/
Сообщение от danfe (ok) on 16-Апр-14, 06:37 
На самом деле Тео неплохо вбросил:
>... as long as you aren't using FreeBSD or a derivative (hint: Jupiper), you are fine.  That's the only place I know of an OpenSSH hole.
>
>Oh now I sense some angst.  Please ask Kirk McKusick, he knows the story about why this >is not being disclosed to FreeBSD.

Ну что, котятки, немного конспирологии? :)

Странно, что он ссылается на Кирка...  Когда прошлой зимой забурлили говна по поводу использования RDRAND[1] и др., Тео не упустил возможность облить[2] FreeBSD помоями, заявив в интервью iTWire, в частности, что «it is 10 years of FreeBSD stupidity.  They don't know a thing about security.  They even ignore relevant research in all fields, not just from us, but from everyone.»

Спустя недели три в том же iTWire появляется спокойный и обстоятельный ответ[3] МакКузика, где он довольно подробно описывает, как во FreeBSD реализован /dev/random и вообще откуда весь сыр-бор.

В свете всего этого невольно возникают вопросы: 1) зачем Тео сейчас (10 апреля) указывать на МакКузика? 2) случайно ли упомянут «можжевельник» (Juniper)? 3) если и то и другое не случайно, что такое известно Кирку про OpenSSH во FreeBSD? 4) почему он это не раскроет? 5) откуда про пп. 2-4 известно Тео?

[1] http://arstechnica.com/security/2013/12/we-cannot-trust-inte.../
[2] http://www.itwire.com/business-it-news/open-source/62641-cry...
[3] http://www.itwire.com/business-it-news/open-source/62728-mck...

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

78. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от arisu (ok) on 20-Апр-14, 06:30 
при чём тут «кузику известно про уязвимость»? совсем навыки чтения поистёрлись? Тео написал вот это, буквально: «фрибсд — мудаки, и поэтому ничего я им говорить не собираюсь. если вам интересно, пример мудачизма попросите у кузика.» вот и всё.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

80. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от danfe (ok) on 22-Апр-14, 14:37 
> Тео написал вот это, буквально: «фрибсд — мудаки, и поэтому ничего я им говорить не собираюсь. если вам интересно, пример мудачизма попросите у кузика.» вот и всё.

Нет, не всё.  Суть его выпада сводится к: 1) во FreeBSD (а также Juniper) дырявый OpenSSH; 2) МакКузик знает, почему им (фряхе) ничего не рассказывают (причем не ясно, Тео говорит лишь за себя или не только); и 3) эти причины довольно веские.

Сложность в том, что МакКузик нигде не говорит, что «таки-да, Тео считает нас (или меня) мудаками и не рассказывает про дырку в нашем ссх; у нас есть достаточные основания считать, что дырка действительно есть; мудаками нас считают потому-то и тому-то», хотя я не вижу причин, почему бы этого не сделать, например, во внутренней рассылке разработчиков FreeBSD (если придавать широкой огласке по каким-то причинам нежелательно).

Мудаком здесь себя выставляет скорее Тео, а вовсе не МакКузик.  Насколько я в курсе обсуждений в рассылках FreeBSD конкретно этого письма Тео, кроме как с него брать пример мудачизма никто не предложил и даже не намекнул.  Соответственно, либо мудак и балабол все же Тео, либо таки-МакКузик, но тогда чорные вертолеты и конспирология. :-)

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

11. "В OpenSSH подозревают наличие опасной уязвимости"  +2 +/
Сообщение от Аноним (??) on 13-Апр-14, 21:15 
Используйте port knocking и будете отчасти защищены.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В OpenSSH подозревают наличие опасной уязвимости"  +4 +/
Сообщение от rob pike on 13-Апр-14, 21:29 
..the fact is that the last 10 years have changed the community
- whereas bugs used to be shared ahead of time among a group of peers
(including Free operating system authors) who were trusted to, and
generally allowed for a certain amount of time for mitigations to
happen before announcement, The fact is that now big dollars are spent
by all of the players on bug bounties and other such crap, with
sponsors having privileged access to the information (in other words
they aren't donors, they are paying for early access.)

So just as a hypothetical example, 10 years ago,  if certain
organizations knew about an endemic problem,  that would have been
shared ahead of time with the security community, (we all know who we
are) ahead of time and everyone would work to get their mitigations in
place in a controlled manner before disclosure so patches were
available immediately - and that used to happen pretty darn fast.
That doesn't happen any more now that most of this is monetized -
they're too busy being told to sit on it by their "sponsors" so full
disclosure actually seems to happen a lot later.

So, the short answer is, if you know about a problem and want to
monetize it - this is great news for you - there are many places with
organizations behind them with deep pockets that will buy your bug.
They organizations
with the money behind it get early access.  Finding bugs in that
environment is not about making software better anymore. You probably
don't *want* better software - you want more bugs. more bugs equals
more money. You probably *want* to keep things like the exploit
mitigation countermeasures in OpenSSL in the software - You certainly
don't want the code base to be easily auditable, and you certainly
don't want the tools that find the bugs
automatically and just get them fixed to find them.

Who loses? well, the rest of us.

So, if you know of a bug in such an organization (that itself sits on
bugs), what would you do? Tell the world for free? Monetize it? or Sit
on it?

I don't have an answer for you. All I can do is tell you the state of
the world :)  In the immortal words of a recently deceased friend of
mine, Life is Hard, Wear a Helmet.

--http://article.gmane.org/gmane.os.openbsd.tech/35744

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору
Часть нити удалена модератором

32. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от rob pike on 14-Апр-14, 01:21 
Цитата вообще о другом.
Это взгляд на состояние дел в security и изменения за последнюю декаду.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору
Часть нити удалена модератором

34. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от rob pike on 14-Апр-14, 01:31 
Вы не могли указать на то место в вышеприведенной цитате, которую вы прочли как "Тео ничего конкретного не говорит, потому что хочет эту инфу продавать"?
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

60. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Michael Shigorin email(ok) on 15-Апр-14, 01:14 
> Вы не могли указать на то место

---
Также замечены грубые наезды на одного или нескольких выбранных оппонентов, имеющие целью вывести человека из себя и с форума; не стоит обращать внимания на подобные провокации.
--- http://wiki.opennet.ru/MSSP

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

61. "В OpenSSH подозревают наличие опасной уязвимости"  –2 +/
Сообщение от rob pike on 15-Апр-14, 02:25 
Надо же, не думал что MS будет так глупо подставляться.
Да и Metro (кажется, его сейчас правильно называть Modern?) мне в целом нравится (вы не подумайте чего дурного). Хотя сделать отключение antialiasing-а шрифтов отдельно в desktop и metro могли бы.
Хотя Tablet PC как платформа была куда интересней, жаль что MS за 15 лет так и не смогла её внятно объяснить покупателю.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

70. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 16-Апр-14, 03:45 
>  Надо же, не думал что MS будет так глупо подставляться.

У них с менеджментом в последнее время творился полный швах, поэтому они делали много глупостей, начиная от попыток поливать линукс грязью в рекламе до наема долбонавтов с одной извилиной, и то прямой. Потому что те кто с мозгом - понимают, что работенка грязновата, по затратам времени vs оплата - "не очень", да и ничему полезному не научишься, только репутацию себе испортишь.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

63. "В OpenSSH подозревают наличие опасной уязвимости"  –1 +/
Сообщение от Пушистик (ok) on 15-Апр-14, 09:28 
Ок, не буду.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

13. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 13-Апр-14, 21:39 
Дырку в PCRE с переполнением стека решили ?

http://muff.kiev.ua/content/pcre-rabota-s-dinamicheskoi-pamy...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Xaionaro email(ok) on 14-Апр-14, 12:54 
Какая-то левая ссылка. Где ссылка на bureport? Ибо я не вижу пока никакой дыры. Просто некорректная конфигурация PHP для данной установки PCRE. Если такая настройка используется по умолчанию, то стоит просто об этом сообщить в maillist-ы FreeBSD.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от dr Equivalent (ok) on 13-Апр-14, 22:00 
"Вам 3.14здец, но мы вам не скажем, почему."
Тео такой Тео.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 16-Апр-14, 03:46 
> Тео такой Тео.

Да вообще, офигительно. И чего предполагается? Что это повысит доверие к openssh? Как по мне так это порождает вопрос "чем бы эту блоатварь с кучей багов заменить?".

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

79. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от arisu (ok) on 20-Апр-14, 06:32 
> И чего предполагается?

предполагается, что Тео ловит лулзы.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

17. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 13-Апр-14, 22:40 
Ой какой кошмар! Использую honeypot/port-knocking и блокировку по айпи
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В OpenSSH подозревают наличие опасной уязвимости"  +10 +/
Сообщение от Аноним (??) on 13-Апр-14, 22:54 
Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытому, и можно закрывать Интернет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от А_н_о_н_и_м on 13-Апр-14, 22:58 
> Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытому

Нее, лучше о такой, что вообще ключи не нужны.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "В OpenSSH подозревают наличие опасной уязвимости"  +2 +/
Сообщение от rob pike on 14-Апр-14, 00:05 
Ту микроскопическую часть Интернета, где кому-то небезразлична безопасность?
Так она и так давно закрывается, и почти уже и закрылась.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

49. "В OpenSSH подозревают наличие опасной уязвимости"  +1 +/
Сообщение от Гость on 14-Апр-14, 14:03 
> Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытому, и
> можно закрывать Интернет.

Ну хоть фотки котиков можно оставить?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

57. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 15-Апр-14, 00:28 
скорее исторический подход к ассиметричному крипто.
а если программисты альтернативных апрочей - не представят наконец(шестой год пилят, блин)хотя бы условно-работающий пру-оф-концепт, пригодный для показа менеджменту и мб общественности - закрыть направление "пока что".
что непрактично, политиески самоубийственно и очень-очень затратно/ущербно. поэтому дальше - будут !"№%!сти мОгли, так долго, сколько смогут, обещаниями и успокаиваниями =)
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "В OpenSSH подозревают наличие опасной уязвимости"  –1 +/
Сообщение от Омский линуксоид email(ok) on 13-Апр-14, 23:36 
"Teo... Это почти как Нео?" Омские линуксоиды негодуют. Не делиться информацией - плохо!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В OpenSSH подозревают наличие опасной уязвимости"  –1 +/
Сообщение от saNdro on 14-Апр-14, 07:00 
??? Омские линуксоиды не читают оригинал??? Там есть ссылка на пост самого Тео. Чем он там не делится то???
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

50. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от НуфНуф on 14-Апр-14, 18:14 
Ничем.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

35. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от stas_v (??) on 14-Апр-14, 03:35 
Что за желтуха вообще? Английским по белому написано, что "если БЫ была дырка, я б не сказал", все. Ну и просят донейтить.

Вот тут еще разжевано:
https://news.ycombinator.com/item?id=7568059

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 14-Апр-14, 08:50 
> Что за желтуха вообще? Английским по белому написано, что "если БЫ была дырка, я б не сказал", все. Ну и просят донейтить.

Потом Тео пояснил, что дырка есть, но она только в версии из FreeBSD.
http://thread.gmane.org/gmane.os.openbsd.tech/35722/focus=35731

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

42. "В OpenSSH подозревают наличие опасной уязвимости"  +3 +/
Сообщение от Andrey Mitrofanov on 14-Апр-14, 12:20 
>> Что за желтуха вообще? Английским по белому написано, что "если БЫ была дырка, я б не сказал", все. Ну и просят донейтить.
> Потом Тео пояснил, что дырка есть,

Эге, Тео пояснил, что спонсоры фбсд, пользующего openssh от создателей проекта obsd, нахаляву, могут... обратить пристальное внимание на тролящего для фана и профита Тео и его ежегодный фандрайзинг, так удачно декорированный залпом heartbleed-а.

"Дырка есть" волнует только фбсд и джунипер -- очень волнует! Примерно на $0.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

72. "В OpenSSH подозревают наличие опасной уязвимости"  –1 +/
Сообщение от Аноним (??) on 16-Апр-14, 03:48 
> "Дырка есть" волнует только фбсд и джунипер -- очень волнует! Примерно на $0.

На сайте openssh.com последний абзац прямо сочится батхертом - "я тут как лох BSDшную лицензию юзал и поэтому мне не обломилось ни денег, ни патчей!"

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

77. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Stellarwind on 16-Апр-14, 16:45 
От смены BSD на GPL денег больше не станет.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

39. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от iZEN (ok) on 14-Апр-14, 10:45 
А подробная информация об уязвимости, очевидно, стоит денег, да?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 16-Апр-14, 01:02 
> А подробная информация об уязвимости, очевидно, стоит денег, да?

ну, судя по обьему рынка - немалым.
недавно обнародованные сделки АНБ и ЦРУ по скупке уязывимостей у ИБ-компаний, в общем-то - невзрачны на фоне повседневного обьема сделок, несмотря на броские цифры. бо "мешками" скупают нечасто и не все.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

73. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 16-Апр-14, 03:49 
> А подробная информация об уязвимости, очевидно, стоит денег, да?

Знаешь, чувак, если апстрим сажает баги а потом еще и начинает лечить что информация о них стоит денег - с таким апстримом лучше не связываться. Особенно там где вопросы касаются криптографии.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

40. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Доктор Звездулькин on 14-Апр-14, 10:56 
Хм-м...
Я, конечно, понимаю его недовольство коммерциализацией безопасности и что он "не обязан никому ничего рассказывать, если не хочет", но все же, мне кажется, если серьезная дырка реально есть, то он поступает нехорошо. Это как у врачей клятва Гиппократа. Можно быть недовольным состоянием медицины, своей зарплатой, тем, что медсестры на работу не вышли и тем, что больной, нуждающийся в неотложной помощи, у тебя жену увел, но протестовать путем отказа в лечении, когда больше взяться за него некому, — паршивый способ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "В OpenSSH подозревают наличие опасной уязвимости"  –2 +/
Сообщение от Аноним (??) on 14-Апр-14, 12:21 
Наоборот, хорошо, если дырку по-тихому заткнут, а не раструбят о ней на весь нет, чтобы каждый малолетний кульхаксор ее поюзал.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

75. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 16-Апр-14, 04:01 
> Наоборот, хорошо, если дырку по-тихому заткнут, а не раструбят о ней на
> весь нет, чтобы каждый малолетний кульхаксор ее поюзал.

Поэтому кулсисопы и не почешутся апдейтиться. Зато червяков и ботов прибавится, это да.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

44. "В OpenSSH подозревают наличие опасной уязвимости"  +1 +/
Сообщение от Andrey Mitrofanov on 14-Апр-14, 12:23 
> если серьезная дырка реально есть, то он поступает нехорошо. Это как
> у врачей клятва Гиппократа. Можно быть недовольным состоянием медицины, своей зарплатой,

Не пойду к Тео лечиться. И к тебе тоже не пойду -- ни дай бг, лечишь так же по аналогии, да ещё и по такой хр-ой

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

52. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Доктор Звездулькин on 14-Апр-14, 19:44 
>Не пойду к Тео лечиться. И к тебе тоже не пойду -- ни дай бг, лечишь так же по аналогии, да ещё и по такой хр-ой

У нас 21-й век, век дешевых и заменяемых компонентов. Если человек болен - мы просто заменяем его на здорового.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

62. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от rob pike on 15-Апр-14, 02:27 
>Чего в клятве нет: обещания лечить бесплатно кого угодно, от чего угодно, когда угодно, целовать пациента в ____, обеспечивать пациенту удобства, комфорт, душевный покой и даже обезболивание, совершать невозможное и быть готовым не есть, не спать и не отдыхать, если внезапно больному захочется поболтать о своих недугах в два часа ночи. Но именно этого от врачей и требуют, когда говорят: «Ведь вы же давали клятву Гиппократа!». Пациентам, прежде чем поминать Гиппократа всуе, следует ознакомиться хотя бы с его афоризмами
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

41. "В OpenSSH подозревают наличие опасной уязвимости"  –2 +/
Сообщение от ветеран WoW on 14-Апр-14, 11:56 
openbsd не подвержена этой уязвимости, потому что зимой у openbsd отключили энторнет (помните эту бучу со сбором денег для их инсталляции, собирающей openbsd для себя самой). и единственной на данный момент инсталляцией openbsd, подключенной к интернету, остался ноутбук Тэо. а он выдернул из него кабель после написания письма в рассылку. и этим объясняется и его молчание, и все остальное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "В OpenSSH подозревают наличие опасной уязвимости"  –2 +/
Сообщение от Аноним (??) on 14-Апр-14, 12:59 
Не подвержен взлому кмпьютер отключеный от сети, електричества и вообще всего засунутый в сейф и залитый бетоном и то есть сомнения...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "В OpenSSH подозревают наличие опасной уязвимости"  –1 +/
Сообщение от хмм on 14-Апр-14, 13:26 
>Утверждается, что уязвимы как минимум варианты OpenSSH, используемые во FreeBSD

В чем особенность FreeBSD версии?
Они его шлангом собирают?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 14-Апр-14, 18:26 
У шланга нету защиты стека
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

53. "В OpenSSH подозревают наличие опасной уязвимости"  –2 +/
Сообщение от iZEN (ok) on 14-Апр-14, 21:41 
> У шланга нету защиты стека

WITH_SSP по дефолту.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

58. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 15-Апр-14, 00:29 
ну помимо NX/DEP полноразмерного, там ни обфускации, ни прочих рандомизаций нету, систем-вайд. но и в опен и у линуса и ко - тоже, рудименты, если быть честным.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

74. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 16-Апр-14, 03:51 
> но и в опен и у линуса и ко - тоже, рудименты, если быть честным.

Нифига себе рудименты у линуса. Защит туева хуча. Особенно преуспели openwall, если я правильно помню.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

56. "В OpenSSH подозревают наличие опасной уязвимости"  +1 +/
Сообщение от Аноним (??) on 14-Апр-14, 23:59 
http://kiwibyrd.org/2013/09/23/1101/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "В OpenSSH подозревают наличие опасной уязвимости"  +/
Сообщение от Аноним (??) on 15-Апр-14, 00:30 
все фбсд-дерайвед продукты - должны быть в Ужосе =)
включая пару холодильников, пять автомобилейполтора вертолета и новый плейстейшн )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру