Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода"	+/–
Сообщение от opennews (??), 09-Июл-24, 13:31
В процессе изучения выявленной на прошлой неделе критической уязвимости в OpenSSH, обнаружена ещё одна похожая уязвимость (CVE-2024-6409), позволяющая добиться удалённого выполнения кода без прохождения аутентификации. Новая уязвимость не столь опасна как прошлая, так как проявляется после сброса привилегий в запущенном SSH-сервером дочернем процессе. Уязвимость присутствует в пакетах openssh из дистрибутива Red Hat Enterprise Linux 9,  основанных на опубликованном в 2021 году выпуске OpenSSH 8.7. Проблема также затрагивает пакеты для Fedora Linux 36  и 37, основанные на выпусках OpenSSH 8.7 и 8.8... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61509
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 09-Июл-24, 13:31	–8 +/–
У каждой уязвимости есть имя и фамилия. Есть коммитер есть мейнтейнер, но конечно же их упоминать мы не будем, плохой только Jia Tan.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #35, #39, #81, #87, #93, #106

2. Сообщение от Ананимус (?), 09-Июл-24, 13:36	+5 +/–
Канешно есть фамилия, даже две: Керниган и Ричи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #88

3. Сообщение от Аноним (3), 09-Июл-24, 13:41	–12 +/–
Угадайте, на каком языке он написан. На размышление дается 30 секунд.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #15, #20, #66, #67

4. Сообщение от Аноним (4), 09-Июл-24, 13:42	+2 +/–
>но в пакетах к RHEL 9 и Fedora был применён дополнительный патч Опять мейнтейнеры запустили свои ручки в чужой код. Это какое-то бедствие уже. Им пора усвоить, что они не программисты и в чужой код лезть нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #24, #30, #78

6. Сообщение от бух. (?), 09-Июл-24, 13:43	+/–
У каждой ошибки есть фамилия и адрес. Гит блэйм в студию.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #29

7. Сообщение от Random (??), 09-Июл-24, 13:44	+14 +/–
Стальные ножи и топоры опасны, надо срочно заменить на пластмассовые!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25, #26, #41, #83

8. Сообщение от 1 (??), 09-Июл-24, 13:45	+3 +/–
Это ж ради аудита (а потом и телеметрии) ... Не трогай святое !!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #49

11. Сообщение от Аноним (11), 09-Июл-24, 13:53	+1 +/–
Как там поживают бинарно совместимые клоны шапки?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #43

12. Сообщение от Аноним (12), 09-Июл-24, 13:54	+1 +/–
Молоток опасен для того, у кого руки из опы. Ну или в руках того, кто твёрдо вознамерился нанести урон. Но есть и обратная сторона - когда в руках молоток, всё становится похожим на гвоздь. Вот такая диалектика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #160

14. Сообщение от Big Robert TheTables (?), 09-Июл-24, 13:56	–2 +/–
RCE и тут и в предыдущей возможности даже теоретически неосуществим. Новость - самопиар. Как-то так. зы: сталкивался неоднократно с проблемами из-за задействования в обработчиках сигнала non-signal-safe, как раз именно с вызовом маллок в обработчике сигнала во время вызова маллок. Это приводило к дедлоку. Учитывая архитектуру подключения ссш, которая на каждое подключение создает новый процесс, проблемы это никакой не создаст. Тем более, не даст возможности удаленно выполнить код.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

15. Сообщение от Афанасий (?), 09-Июл-24, 13:57	+1 +/–
Приведи пример безопасного языка, который нужно было взять на момент начала разработки OpenSSH.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #31, #59, #116, #124

16. Сообщение от Аноним (16), 09-Июл-24, 13:57	–1 +/–
уверен, что в сберлинуксе нет такого :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

17. Сообщение от Аноним (16), 09-Июл-24, 13:57	+/–
так же на днях затычка в альму приехала
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от Random (??), 09-Июл-24, 14:05	+3 +/–
Угадайте, на каком языке он не написан и почему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #40

22. Сообщение от Аноним (22), 09-Июл-24, 14:05	+/–
Вполне ожидаемо от RHEL и вообще "стабильного" дистрибутива.
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Витюшка (?), 09-Июл-24, 14:16	+/–
Да, мне это тоже непонятно. С каких пор ментейнер стал программистом? Это скорее поддерживающий в оригинальном понимании значения слова. Но корпорасты это практикуют активно 🤷🏻‍♀️
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #71

25. Сообщение от Соль земли (?), 09-Июл-24, 14:26	+1 +/–
Или на плазменные резаки...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

26. Сообщение от Аноним (26), 09-Июл-24, 14:26	–1 +/–
А если что нарезать надо - в специализированную фирму пойдут, им там профессионально нарежут. Заодно и кто надо прибыль получат, и с неё кому надо дань заплатят. Отработано в Пекине, готово к распространению на весь мир.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

28. Сообщение от Соль земли (?), 09-Июл-24, 14:28	+/–
Хорошая новость. Теперь бы ещё обновить 100500 серверов...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

29. Сообщение от www2 (??), 09-Июл-24, 14:36	+/–
Мопед не его, он просто кинул объяву.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

30. Сообщение от Аноним (30), 09-Июл-24, 14:43	+/–
Инфраструктура патчей задумана наложения секьюрити-фиксов и для тривиальных изменений типа дефолтных путей. Но мейнтенеры решили, что они во всем поставляемом в дистрибутиве софте разбираются лучше, чем его авторы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

31. Сообщение от Аноним (31), 09-Июл-24, 14:48	–1 +/–
Ada?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #42

35. Сообщение от Аноним (35), 09-Июл-24, 14:57	+7 +/–
не ошибается тот кто ничего не делает! не делает и ядовитые комменты везде оставляет! вот он то, да, он молодец!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #51

38. Сообщение от Аноним (35), 09-Июл-24, 15:09	–2 +/–
ансибл, соль, шеф и кукла тебе в помощь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #138

39. Сообщение от ин номине патре (?), 09-Июл-24, 15:09	–4 +/–
>У каждой уязвимости есть имя и фамилия. вставьте имя админа который на важный сервер поставил RHEL9. 8ке ещё стоять и стоять. предыдущая дырка тоже мимо пролетела. я знаю челов, у которых до сих пор всё на 7ке ))) их в принципе можно понять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

40. Сообщение от Аноним (-), 09-Июл-24, 15:12    Скрыто ботом-модератором	–1 +/–
На любом кроме дыряшки. Его не переписали ни на АDA/Spark, ни на современных плюсах. Можно было бы попробовать V или зиг. А почему? Потому что сейчас культ дидов, которые 40 лет назад одну сишку выучили, а новое освоить уже не могут. Вот и тащут сотни UB и производят CVE. Максимально копротивляются любым изменениям, ибо такие деятели пойдут мести улицы, вместо написанеия программ от которых зависит благополучие тысяч людей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

41. Сообщение от User (??), 09-Июл-24, 15:12	+/–
Давно в аэропортах не был, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #48, #139

42. Сообщение от Афанасий (?), 09-Июл-24, 15:26	–1 +/–
Какого качества были свободные компиляторы Ada в то время? Знал автор первых строчек кода OpenSSH язык Ada? Какова вероятность найти нужного количества "помощников" со знанием Ada? И так далее... На заре становления open source проектов кроме C, C++ выбора особо и не было. Либо закрытые компиляторы, либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #55, #80, #84

43. Сообщение от solardiz (ok), 09-Июл-24, 15:28	+6 +/–
Хорошо поживают. Я нашел эту уязвимость благодаря моему участию в Rocky Linux и поддержке от компании CIQ. Мы исправили ее в Rocky Linux SIG/Security и 9.2 LTS от CIQ в день публикации, то есть вчера. А сама публикация была задержана на неделю, чтобы дать Red Hat время к ней подготовиться. AlmaLinux также были оповещены заранее через список рассылки linux-distros.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #53

46. Сообщение от solardiz (ok), 09-Июл-24, 15:33	–1 +/–
Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys. Не просто и не быстро, но в лабораторных условиях проверено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #50

48. Сообщение от Random (??), 09-Июл-24, 15:43	+1 +/–
Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #97

49. Сообщение от solardiz (ok), 09-Июл-24, 15:48	+1 +/–
Проблема присутствует, но в данной ситуации я бы не стал критиковать кого-либо или какой-либо проект. Мне ситуация видится так: части пользователей дистрибутива требуется аудит-лог (вероятно, из-за каких-то законов, применимых для какой-то категории внедрений, и написанных из лучших побуждений), Red Hat эту функциональность добавляет корректно используя внутрение интерфейсы OpenSSH, а проект OpenSSH по ошибке вызывает одну из своих же функций некорректно. Это о появлении уязвимости. Попутно мы также нашли пару других проблем с аудит-патчем, одна из которых по-видимому связана с его некорректным переносом с более старых версий OpenSSH на новые, но это непосредственно не связано с появлением уязвимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #61

50. Сообщение от Big Robert TheTables (?), 09-Июл-24, 16:08	+/–
> Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys. Не > просто и не быстро, но в лабораторных условиях проверено. Читал в оригинале - https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt, секция Theory. нет там RCe.  Там перед этим много пафосных ссылок, цитат, описаний протоколов, книг но если продраться к деталям - то всё базируется на том, что мол в коде ssh будут неверные ссылки на список, в котороым сырые данные пакетов - тут делается усиление что мол "а это же аттакер контроллер дата", и далее переход на следующий фуфел про опенссл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #56

51. Сообщение от Аноним (1), 09-Июл-24, 16:09	+/–
Jia Tan  тоже всего лишь ошибся. А воя на несколько новостей на одном только опеннете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #111

52. Сообщение от noc101 (ok), 09-Июл-24, 16:11	–2 +/–
Повторял и буду повторять, программы должна распространяться только создателями. Мейнтейрнеры должны умереть как класс. Кто просил в чужой код вносить изменения? Гении блин.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #63, #130

53. Сообщение от Аноним (1), 09-Июл-24, 16:11	–1 +/–
Правильно говорят лучше продолжать сидеть на доисторическом центе. Который ещё не стрим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #73, #104

55. Сообщение от Аноним (-), 09-Июл-24, 16:21	–1 +/–
> Какого качества были свободные компиляторы Ada в то время? А они обязательно свободные должны быть? Типа ради шbo6oдки и омно жрать готовы? Ты ж понимаешь что все вопросы к качеству компилятора нужно задавать сообществу. Вот почему сообщество не запилило хороший компилятор, а?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #82

56. Сообщение от solardiz (ok), 09-Июл-24, 16:32	+/–
Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average to win the race condition, and ~6-8 hours to obtain a remote root shell (because of ASLR)." Что за "фуфел про опенссл" я не понял, OpenSSL там не упомянут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #74, #125, #168

57. Сообщение от Соль земли (?), 09-Июл-24, 16:43	+/–
Ты противоречишь Open Source.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #64, #75

59. Сообщение от Соль земли (?), 09-Июл-24, 16:47	+/–
Ассемблер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

61. Сообщение от нах. (?), 09-Июл-24, 16:57	+/–
> Мне ситуация видится так: части пользователей дистрибутива требуется аудит-лог (вероятно, из-за > каких-то законов причем тут - законы? audit.log защищен selinux, в отличие от сислогов, и есть шансы что в нем останется та попытка, которая внезапно оказалась удачной, даже когда обычные логи подчистят. И если в системе есть аудит - феноменально глупо выглядит пускать ssh работать в обход, не оставляя в нем никаких следов. Ну а дальше да - трэш собственно в самом openssh, и always have been. Но другого sshd (на безопастном йезычке) нам, к сожалению, никто не напишет. А Йлонен поди на пенсии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #68, #112

63. Сообщение от нах. (?), 09-Июл-24, 17:00	+3 +/–
> Кто просил в чужой код вносить изменения? Конкретно код ssh от "создателей" - даже не скомпилируется у тебя. Потому что он - openbsd only. Внезапно. Кто просил, действительно? Сиди с телнетом. Он вот от создателей. Но это неточно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #70

64. Сообщение от Аноним (-), 09-Июл-24, 17:01	+2 +/–
> Ты противоречишь Open Source. А ты противоречишь здравому смыслу. Вот представь что ты выпускаешь пирожки под торговой маркой "Соль земли". И даже рецепт для всех выложил! А Васян™, перед тем как отдать пользователю, туда просто насарал, в каждую коробочку. Но он не сменил надпись на коробке на 'Пирожки "Соль земли" с сюрпризом от Васяна' Лезешь своими корявками? Так переименуй либу. Назови "Омнокодище". Тогда никаких претензий не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #76

65. Сообщение от penetrator (?), 09-Июл-24, 17:08	+/–
почему сслыка на Debian трекер ведет?
Ответить | Правка | Наверх | Cообщить модератору

66. Сообщение от Аноним (66), 09-Июл-24, 17:14	+/–
Так, надо подумать. Он реально существует, значит, точно не на раст. Он должен работать на максимально возможном числе систем, значит точно не яве/сишарпе с их полутора поддерживаемыми платформами. Он не монструозный микросервис, работающий по хттп, значит точно не на похапе/руби/питон/го/нодежс. Ну, вроде как остаётся только си. Я угадал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #69, #99

67. Сообщение от YetAnotherOnanym (ok), 09-Июл-24, 17:20	+/–
Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый исполняемый код, и при этом абсолютно свободный от состояния гонки. 30 секунд пошли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #79, #100, #119

68. Сообщение от Аноним (68), 09-Июл-24, 17:35	–1 +/–
> в отличие от сислогов а сислог, внезапно, на другом сервере (сием). > причем тут - законы? журналирование событий в "крит." важных системах - обязательное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

69. Сообщение от Аноним (69), 09-Июл-24, 17:48	+/–
Нет, плюсы пропустил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

70. Сообщение от Аноним (70), 09-Июл-24, 17:49	–1 +/–
зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #108, #113

71. Сообщение от n00by (ok), 09-Июл-24, 17:54	+1 +/–
В большинстве случаев, что я видел, англоязычные используют глагольную форму ("я поддерживаю"). Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и не по ГОСТ-у.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

73. Сообщение от ин номине патре (?), 09-Июл-24, 17:57	+/–
>Правильно говорят лучше продолжать сидеть на доисторическом центе вообще-то в 8м OL ни этой, ни предыдущей дырки не было, 7ка уже больше на диагноз похоже. postEOL саппорт там какие-то васяны делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

74. Сообщение от n00by (ok), 09-Июл-24, 18:00	+1 +/–
Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит, где специалисту приходится что-то доказывать тому, кто даже подписаться под своими словами боится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #105

75. Сообщение от noc101 (ok), 09-Июл-24, 18:10	+/–
> Ты противоречишь Open Source. Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда делают глупости вредные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #107

76. Сообщение от noc101 (ok), 09-Июл-24, 18:10	+/–
>> Ты противоречишь Open Source. > А ты противоречишь здравому смыслу. > Вот представь что ты выпускаешь пирожки под торговой маркой "Соль земли". > И даже рецепт для всех выложил! > А Васян™, перед тем как отдать пользователю, туда просто насарал, в каждую > коробочку. > Но он не сменил надпись на коробке на 'Пирожки "Соль земли" с > сюрпризом от Васяна' > Лезешь своими корявками? Так переименуй либу. > Назови "Омнокодище". Тогда никаких претензий не будет. База! Почему до такой мысли люди не могут дойти? Это же очевидно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

78. Сообщение от noc101 (ok), 09-Июл-24, 18:18	+/–
>>но в пакетах к RHEL 9 и Fedora был применён дополнительный патч > Опять мейнтейнеры запустили свои ручки в чужой код. Это какое-то бедствие уже. > Им пора усвоить, что они не программисты и в чужой код > лезть нельзя. Мейнтейнеры должны уйти как класс. Только беды от них
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #103

79. Сообщение от noc101 (ok), 09-Июл-24, 18:19	+1 +/–
> Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый > исполняемый код, и при этом абсолютно свободный от состояния гонки. 30 > секунд пошли. С++? )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

80. Сообщение от Аноним (80), 09-Июл-24, 18:24	–2 +/–
>>> Приведи пример безопасного языка, который нужно было взять на момент начала разработки OpenSSH. >> Ada? > ... Знал автор первых строчек кода OpenSSH язык Ada? Демагог мелкого пошиба. Сначала спросил, какой язык надо было брать (видимо, ожидая, что не ответят), а когда ответили, выдал - "а автор его не знал! Вот!". Л - логика, аж фонтаном прёт. Создан сабж был под руководством Тео де Раадта. Уж у такого чувака вопросы с "новым языком" не возникли бы, думаю. Причем, если забыть о его огромном опыте работы в ИТ, то и образование у него профильное, бакалавр информатики Университета Калгари. Могу предположить, "студентов-информатиков" там не только Си с паскалем, SuperCalc'у и dBase'у с фокспро учили. Про аду уж всяко хотя бы слышал, учитывая, что в 1987 году язык Ада был официально стандартизован ISO, переведен Министерством обороны США в общественное достояние и к 1990 году в мире существовало уже около 200 компиляторов, соответствовавших стандарту языка Ада. А сам Раадт 92-го года университетского выпуска, а OpenSSH - вообще 1999-го. И вообще, безотносительно к Аде, утверждать, что "автор не знал языка" - это обвинить профессионала от ИТ в неспособности выучить более подходящий задаче новый язык, т.е. в профессиональной недееспособности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #86, #102

81. Сообщение от Вызабылизаполнитьполе (?), 09-Июл-24, 18:28	+2 +/–
Это какая-то логика госпараш? Коммитер должен всегда делать идеальные правки с риском после любой ошибки сесть на кол как при Иване Грозном? Все ошибаются кто-то чаще кто-то реже, если возможность ошибится есть - ошибка гарантированно случится, тому нет никакого смысла выяснять даже кто её допустил. Нужно менять процессы ревью, анализа, тестирования и так далее, чтобы ошибок было меньше. Тыкать в людей смысла абсолютный ноль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #89

82. Сообщение от Афанасий (?), 09-Июл-24, 18:31	–1 +/–
Сообщество никому ничего не должно. Запомни это. Это раз. Трудно использовать в floss проектах закрытое платное программное обеспечение, проще взять бесплатное открытое с некоторыми изъянами ПО. Это два. Почитай историю про Ada, тогда поймёшь почему этот язык довольствуется узкой нишей и почему его в здравом уме во floss проектах не используют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #98

83. Сообщение от Vivaswan (ok), 09-Июл-24, 18:32	+1 +/–
И все изображения колюще-режущих заменить на акртинки ромашек
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

84. Сообщение от Аноним (80), 09-Июл-24, 18:35	–1 +/–
вдогонку > либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ... Автор, что за фэнтези ты там из пальца высасываешь, описывая какого-то сферического коня в вакууме? Что за гаражные кодеры-"наколеночники"? Это не какая-то скрытая история: "OpenSSH был создан командой OpenBSD [под руководством Тео де Раадта] как альтернатива SSH, который все ещё является проприетарным ПО"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #95, #110

86. Сообщение от Афанасий (?), 09-Июл-24, 18:47	–1 +/–
Я - "Знал автор первых строчек кода OpenSSH язык Ada?" Ты - ...утверждать, что "автор не знал языка"... Видишь свою первую допущенную ошибку? На разбор всей остальной твоей писанины жалко даже минуты свободного времени.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

87. Сообщение от Всем Анонимам Аноним (?), 09-Июл-24, 18:48	+1 +/–
Технически, баг не в этом коммите и исправление тоже не затрагивает это изменение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

88. Сообщение от Аноним (88), 09-Июл-24, 18:54	+/–
Из них только один может иметь хоть какое-то отношение к сигналам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

89. Сообщение от Аноним (88), 09-Июл-24, 18:59	+/–
Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт важном сервисе. Важен не сам факт ошибки, а какой был рабочий процесс внесения изменения. Если прошляпиля куча глаз, включая апстрим, то ~ сделали всё что смогли. Если же в одно рыло под одеялом ночью патчили, то таки да - на кол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #94

93. Сообщение от Аноним (93), 09-Июл-24, 19:12	+/–
А сколько вы заплатили за использование? Какова ответственность поставщика этого по вашему договору?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

94. Сообщение от нах. (?), 09-Июл-24, 19:13	+/–
> Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт > важном сервисе. вон там тебе человек, нашедший уязвимость (так что да - куча глаз - внезапно, в этот раз не прошляпила), пытался разжевать - проблема создана именно апстримом. Так что вероятнее всего - даже если бы кто-то оттуда снизошел до посмотреть, и даже всерьез бы задумался точно тут все работает или не совсем - нет никаких гарантий что заметил бы проблему. Но на деле тот и не собирается этим заниматься, ему твой редхат - пофигу абсолютно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

95. Сообщение от нах. (?), 09-Июл-24, 19:39	+/–
это в викивракии нынче такое вранье?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #129, #156

97. Сообщение от Аноним (-), 09-Июл-24, 21:08	+/–
> Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное Угу, а вот криптогафия, это универсальное решение! Каждый уважающий пограммист обязан написать свою криптолибу. И главное, чтобы она был быстрой, то что дырявая, то дело житейское, все равно бракоделы по другому не умеют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

98. Сообщение от Аноним (-), 09-Июл-24, 21:12	–1 +/–
> Сообщество никому ничего не должно. Запомни это. Это раз. Так и я щообществу™ тоже) И потыкать их мордочков в лужу, никто мне запретить не может. > Трудно использовать в floss проектах закрытое платное программное обеспечение, проще взять > бесплатное открытое с некоторыми изъянами ПО. Это два. С несколькими ФАТАЛЬНЫМИ изьянами. Типа дырявая криптолиба)) > Почитай историю про Ada, тогда поймёшь почему этот язык довольствуется узкой нишей и почему его в здравом уме во floss проектах не используют. Естественно не используют. Во-1х, у поехавших фанатиков, до 2008 кажется года, весь код который компилялся ЖЦЦ должне был заражаться гну-раком. пришлось отдельный экстеншн пилить. Во-2х, чтобы писать на АДА нужны мозги, а чтобы прдолить каст к void*, внезапно нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #109

99. Сообщение от Аноним (-), 09-Июл-24, 21:17	–2 +/–
> Он должен работать на максимально возможном числе систем, значит точно не яве/сишарпе > с их полутора поддерживаемыми платформами. Он не монструозный микросервис, работающий > по хттп, значит точно не на похапе/руби/питон/го/нодежс. > Ну, вроде как остаётся только си. Я угадал? Ты забыл добавить, он должен быть дырявый как портовая девка, тк без этого будет трудно ломать криптографию. И чтобы такая ситуация была максимально долгой, нужно придумывать всякие отмазки типа "а вдруг нашу либу захотят напустить на Motorola 6809!", "а вдруг над пользователь захочет чтобы все шифровалось побыстрее, и пофиг что хартблид!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

100. Сообщение от Аноним (-), 09-Июл-24, 21:21    Скрыто ботом-модератором	+/–
> Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый исполняемый код, и при этом абсолютно свободный от состояния гонки. 30 секунд пошли. Ассемблер! Хорошо оптимизированный ассемблер будет побыстрее дыряшки. А если не столь быстрый? Когда нечем больше хвастаться начинается меранье в скорости? Жене в кровате тоже будешь хвастаться "за 30 секунд успел!"? Криптолиба имеет основную характеристику, самое важное свойство - надежность. Остальное это уже вторично. А то получится как в анекдоте про машинистку "1000 слов в минуту печатаю, но такая фигня получается"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #136

101. Сообщение от verh010m (ok), 09-Июл-24, 22:30	+/–
То есть новый более мощный компьютер покупать не надо? Патч отрицательно  не ускоряет его?
Ответить | Правка | Наверх | Cообщить модератору

102. Сообщение от Аноним (102), 09-Июл-24, 23:42	–1 +/–
Рассуждаешь неплохо, но не владеешь фактами. Тео не создал OpenSSH, а форкнул форк. Программист он посредственный, а как человек — конфликтный, неуживчивый. Разработка любого сложного софта — а OpenSSH это очень сложный софт — занятие прежде всего социальное, и только во вторую очередь требующее специальных навыков. Поэтому даже если кто-то и предлагал переписать на Аде (что крайне сомнительно, культура разработки в те годы была крайне плохая, в первую очередь в опенсорсе), то вряд ли Тео услышал, если вообще был готов слушать. А сейчас уже поздно. Одна надежда на раст-сообщество, у них и задор пока есть, и необходимость занять нишу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #132

103. Сообщение от Аноним (-), 09-Июл-24, 23:51	+1 +/–
> Мейнтейнеры должны уйти как класс. Только беды от них Так и представляю себе морды програмеров которые будут разучивать как билдовать пакет под шляпную хрень самолично. А оно им, простите, надо, если они допустим убунточку какую юзали, где это все - сильно иначе? Более того - бэкпорты на стабильную версию тоже програмер должен хреначить? Не, вкатить то что вот прям ща у прогармера есть в стабильный дистр - не вариант. Может оно вообще не запускается даже, или там формат конфигов сменили 2 раза - так что оно вообще работать не будет с конфигой от старой версии?! И тут продакшн такой после апдейта этого всего - хрясь. И бизнес клиентуры - упсь. Так что ваш хитрый план имеет небольшой изъян.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #118, #122

104. Сообщение от Аноним (-), 09-Июл-24, 23:53	+/–
> Правильно говорят лучше продолжать сидеть на доисторическом центе. Который ещё не стрим. В случае solardiz у него есть кое-что получше: работающий головной мозг. Это - лучше всего, особенно в паре с экспертизой в предметной области.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

105. Сообщение от Аноним (-), 09-Июл-24, 23:56	+1 +/–
> Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит, > где специалисту приходится что-то доказывать тому, кто даже подписаться под своими > словами боится. Я вижу довольно большую разницу между "n00by" и "solardiz". Второй никогда не набивал себе цену нахрапом. Ему это не надо! Его уровень экспертизы все желающие могут увидеть в тематичных рассылках. И он не вызывает вопросов, в отличие от твоей напыщеной фигни и самолюбования. А еще наверное у solardiz все же хватит ума не быковать на майнтайнеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #126

106. Сообщение от Reer (?), 09-Июл-24, 23:56	–1 +/–
Как мгу подготовило так и написали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

107. Сообщение от Аноним (-), 10-Июл-24, 00:04	–1 +/–
> Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда > делают глупости вредные. Тебя никто не заставляет чем либо пользоваться. Вообще совсем. Редхат чисто технически не может потребовать от кого-то юзать их дистр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #117

108. Сообщение от Аноним (-), 10-Июл-24, 00:05	+/–
> зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd Вместо редхата то? Ну попробуй. А LTS ветка у OpenBSD есть? Или вместо нее ты послушаешь пафосные песенки, глядя на развалившийся при эксплуатации прод?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #123

109. Сообщение от Аноним (-), 10-Июл-24, 00:09	+1 +/–
> Так и я щообществу™ тоже) Ну вот и не пользуйся программой, например. Напиши свою, как там тебе удобно, лучше, а мы постебем тебя как раз. Так намного интереснее все соотношения будут! > И потыкать их мордочков в лужу, никто мне запретить не может. Так и фак тебе в ответ показать - тоже. Такой вот нюанс. > С несколькими ФАТАЛЬНЫМИ изьянами. > Типа дырявая криптолиба)) Не нравистя -> не пользуйся. Какие-то проблемы с пониманием этого факта? :) > Во-1х, у поехавших фанатиков, до 2008 кажется года, весь код который компилялся > ЖЦЦ должне был заражаться гну-раком. Казалось бы при чем тут лужков^W openssh?.... > Во-2х, чтобы писать на АДА нужны мозги, а чтобы прдолить каст к void*, внезапно нет. Ну ты ж на этом сблюве не написал вон то, весь такой фильдиперсовыЙ, так что кюшай что дают и не вякай, или пиши свое и лучше сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

110. Сообщение от Аноним (102), 10-Июл-24, 00:45	+/–
> OpenSSH был создан командой OpenBSD А чем же тогда занимались Tatu Ylönen и IETF secsh group?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #131

111. Сообщение от Sem (??), 10-Июл-24, 00:46	–1 +/–
И в чем же он ошибся? В том, что его спалили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

112. Сообщение от Аноним (102), 10-Июл-24, 00:50	+/–
> audit.log защищен selinux О чём ты? Три четверти гайдов по настройке чего угодно на RHEL начинается с "setenforce 0", который бездумно копируется из системы в систему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #115, #121

113. Сообщение от Аноним (102), 10-Июл-24, 00:55	+/–
> можно не сидеть, а использовать openbsd Использовать может и можно, но неясно зачем и для чего. И где. Последнее оборудование, на котором оно работает догорает в подвале у Тео. А для нового драйверов нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #120

115. Сообщение от mickvav (?), 10-Июл-24, 02:25	+1 +/–
9/10 постов и коментов в интернете имеют отрицателььную пользу. Если бездумно копировать гайды не читая и не разбираясь - ожидаемо получится небезопасная система, потому что авторы их оптимизируют под аудиторию, а НЕ под безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #150

116. Сообщение от Аноним (116), 10-Июл-24, 02:58	+/–
Очевидно же: великий и могучий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

117. Сообщение от noc101 (ok), 10-Июл-24, 03:14	+/–
>> Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда >> делают глупости вредные. > Тебя никто не заставляет чем либо пользоваться. Вообще совсем. Редхат чисто технически > не может потребовать от кого-то юзать их дистр. тебя никто не заставляет читать мою критику опен сорсных глупостей! Слабо к себе применить свои требования? Обожаю охранителей, не дай бог на их идола фанатизма както криво посмотрят. Порвут! Нельзя Опен сорс критиковать! Ведь он идеальный!!! Охранителям в голову не приходит, что именно критика делает продукт лучше!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

118. Сообщение от noc101 (ok), 10-Июл-24, 03:22	+/–
>[оверквотинг удален] > под шляпную хрень самолично. А оно им, простите, надо, если они > допустим убунточку какую юзали, где это все - сильно иначе? > Более того - бэкпорты на стабильную версию тоже програмер должен хреначить? Не, > вкатить то что вот прям ща у прогармера есть в стабильный > дистр - не вариант. Может оно вообще не запускается даже, или > там формат конфигов сменили 2 раза - так что оно вообще > работать не будет с конфигой от старой версии?! И тут продакшн > такой после апдейта этого всего - хрясь. И бизнес клиентуры - > упсь. > Так что ваш хитрый план имеет небольшой изъян. Именно в этот момент, разработчики задумаются, а нафига им билдовать 212545424564654 пакетов для всех возможных 341564321374564 дистрибутивов. И такие О, есть же флатпак, снап, да даже appImage. Или о боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности, по принципу сделаю свою сущность с блекджеком и развлечениями. А так да. Зачем разрабам задумываться, когда за них работу делают. Снимают ответственность с них за их работу. Благодать. И пофигу, что в общем система страдает и лагает, но зато разрабам таааак удобно. А так, на самом деле сейча всё вот это, это костыли на костылях и костылями подгоняемо. Увы. И ситуации, когда левые ребята хреначат бекдоры или уязвимости(разберись еще, спецом они или случайно) и такие "ну прастите нас" и все прощают. А что ты сделаешь. Костыль использовать приходится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #134

119. Сообщение от Bottle (?), 10-Июл-24, 09:04	+2 +/–
SPIRAL.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #137

120. Сообщение от Аноним (70), 10-Июл-24, 09:46	+/–
Ну так попроси у него попользоваться, зачем тебе новое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

121. Сообщение от нах. (?), 10-Июл-24, 11:09	+/–
обычно это означает что чегоугодно либо не стоит пользоваться вообще, либо не стоит пользоваться этим гайдом, потому что его писал кексперт с локалхостом, даже хуже здешних.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #151

122. Сообщение от нах. (?), 10-Июл-24, 11:13	+/–
>> Мейнтейнеры должны уйти как класс. Только беды от них > Так и представляю себе морды програмеров которые будут разучивать как билдовать пакет > под шляпную хрень самолично. А оно им, простите, надо, если они > допустим убунточку какую юзали, где это все - сильно иначе? с опенссхем все еще хуже - они openbsd юзают, и оно даже и не будет собираться вообще. Причем разумеется можно было сразу писать кроссплатформенный код, но зачем, так гранты можно ж два раза собирать. > Более того - бэкпорты на стабильную версию тоже програмер должен хреначить? вот это - честно-то говоря - да. Поддержка стабильной версии руками кого-то кроме основного разработчика - задача существенно сложнее чем добавить вызов audit в место, специально помеченное как предназначенное для добавления локальных хуков. И чревата регресиями в самых стремных местах. Можно посмотреть в той же рассылке убунты, она не за пэйволом - сколько раз они "ой, мы сбэкпортили фикс, но сделали это без уважения, вот еще один фикс фикса". (и еще один, и еще!) Но... правильно, нынешние разработчики блюют своим смузи от одной мысли прикоснуться к чему-то не наиновейшему еще дымящемуся, поэтому и этим тоже заниматься не будут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

123. Сообщение от нах. (?), 10-Июл-24, 11:15	+/–
>> зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd > Вместо редхата то? Ну попробуй. А LTS ветка у OpenBSD есть? Или > вместо нее ты послушаешь пафосные песенки, глядя на развалившийся при эксплуатации > прод? ты сперва тот прод хотя бы запусти. Хрен с ним, с дыркером - оно ж вообще никак у него не соберется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #143

124. Сообщение от Reer (?), 10-Июл-24, 11:38	+/–
Работать надо уметь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

125. Сообщение от Big Robert TheTables (?), 10-Июл-24, 12:20	+/–
> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя > про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average > to win the race condition, and ~6-8 hours to obtain a > remote root shell (because of ASLR)." Что за "фуфел про опенссл" > я не понял, OpenSSL там не упомянут. Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #127

126. Сообщение от n00by (ok), 10-Июл-24, 12:44	+1 +/–
Спасибо за наглядный пример, о таком и пишу. Влазит неизвестно кто и пишет с таким пафосом, будто бы его мнение имеет какой-то вес. Подобный троллинг имел бы смысл, если бы далее ты смог представиться, но... ;) > хватит ума не быковать на майнтайнеров. Цитирую себя, #71: "В большинстве случаев, что я видел, англоязычные используют глагольную форму ("я поддерживаю"). Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и не по ГОСТ-у." Мне пока "не хватило ума" понять, кто вообще такие - майнтайнеры, и зачем они называют себя таким словом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #142

127. Сообщение от n00by (ok), 10-Июл-24, 12:57	–2 +/–
>> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя >> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average >> to win the race condition, and ~6-8 hours to obtain a >> remote root shell (because of ASLR)." Что за "фуфел про опенссл" >> я не понял, OpenSSL там не упомянут. > Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов. То есть ты готов изучить все системы и доказать, что эксплуатации не было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали, закинули руткит. Не видишь руткит? Значит он работает и справляется со своей задачей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #128

128. Сообщение от Big Robert TheTables (?), 10-Июл-24, 13:15	+/–
>>> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя >>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average >>> to win the race condition, and ~6-8 hours to obtain a >>> remote root shell (because of ASLR)." Что за "фуфел про опенссл" >>> я не понял, OpenSSL там не упомянут. >> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов. > То есть ты готов изучить все системы и доказать, что эксплуатации не > было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали, > закинули руткит. Не видишь руткит? Значит он работает и справляется со > своей задачей. вы некорректно ставите задачи, не ваше это. От исходного сообщения этих горе-взломщиков так и тянет душком фальсификации - тут и цитаты из книг, описания протоколов, статистика распространенности систем и многое другое, чего быть не должно в нормальном описании цве. Как, например, было в уязвимости дхклиента. Просто и четко. Тут же много ненужного, воды, в описании механизма перескоки. Допустим у тебя вообще есть возможность в коде ссш поставить мемцпи со своими данными в указанный связанный список пакетов. Что и куда ты закопируешь для исполнения кода? побьешь указатели на пакеты? очень хороший результат. Нет, не верю. Если первый же приведенный пример не работает, что говорить об остальных? Увидимся здесь же в 2026.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #147

129. Сообщение от User (??), 10-Июл-24, 13:25	+1 +/–
Ну. Прям рядом с рассказом, как Столлман Емакс ваял ). Everybody knows(C)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

130. Сообщение от User (??), 10-Июл-24, 14:31	+1 +/–
Еще-б программисты умели что-нибудь окромя как "программиздить" (И то - плохо) - нужды в "сопровождающих" бы и не возникло, но у них же - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #135, #144

131. Сообщение от нах. (?), 10-Июл-24, 14:42    Скрыто ботом-модератором	+/–
>> OpenSSH был создан командой OpenBSD > А чем же тогда занимались Tatu Ylönen и IETF secsh group? вредительством! Попытками очернения и скрытия ценного кода от соворщества! Кто владеет прошлым, тот владеет будущим. А других источников информации у поколения смузихлебов кроме викивракии - нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

132. Сообщение от нах. (?), 10-Июл-24, 14:43	+/–
> Одна надежда на раст-сообщество, > у них и задор пока есть, и необходимость занять нишу. но пока они прячутся от борова. А CoC.md и README.md занимают только нишу проверенных эталонных м-ков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #149

134. Сообщение от нах. (?), 10-Июл-24, 15:17	–1 +/–
> И такие О, есть же флатпак, снап, да даже appImage. Или о > боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности, а зачем ее делать-то? Одна винда у нас уже есть, хватит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #141

135. Сообщение от Аноним (-), 10-Июл-24, 15:32	–1 +/–
> Еще-б программисты умели что-нибудь окромя ... Прогромисты умеют. И даже иногда делают. Но просто они ценят свое время и не хотят его тратить на поддержку всех безумных вариантов для кучи дистров. Вы сильно особенные и решили в своем НеИмеющемАналогов дистре поменять версии либ, пути, версию ядра, еще фиг знает что? Ну так прдольтесь с ним сами!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #153

136. Сообщение от YetAnotherOnanym (ok), 10-Июл-24, 15:36	+/–
> Ассемблер! Было условие - наличие в языке средств, исключающих возникновение состояния гонки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #146

137. Сообщение от YetAnotherOnanym (ok), 10-Июл-24, 16:33	+1 +/–
> SPIRAL. Спасибо. Интересная штука.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

138. Сообщение от Аноним (138), 10-Июл-24, 16:43	+/–
Ещё есть "кф двигатель"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

139. Сообщение от Аноним (-), 10-Июл-24, 17:08	+/–
> Давно в аэропортах не был, да? Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей - очень нишевое удовольствие, я бы сказал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #145, #154

141. Сообщение от noc101 (ok), 10-Июл-24, 17:12	+/–
>> И такие О, есть же флатпак, снап, да даже appImage. Или о >> боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности, > а зачем ее делать-то? Одна винда у нас уже есть, хватит. Нах нах ты явно читать не умеешь. Я не писал про один Линукс. Но раз ты эту тему зацепил. Это было бы офигенно!И винда с макОС и с Андроидом и ИОС, это доказало. Чем меньше сущностей, тем лучше для ОС и пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

142. Сообщение от Аноним (142), 10-Июл-24, 17:25	+/–
> Влазит неизвестно кто и пишет с таким пафосом, будто бы его мнение имеет какой-то вес. Вес и осмысленность того или иного мнения каждый подписчик определит для себя сам. > Подобный троллинг имел бы смысл, если бы далее ты смог представиться, но... ;) Ты уже достаточно представился для антигравитации в вопросах веса. Это тот неловкий момент когда я бы в твоей шкуре - предпочел быть анонимом. Но ты такой гений что закрыл себе этот путь. И будешь с твоей репутацией вечно. Нет, ты в принципе рядом не стоишь с solardiz. Не льсти себе. Он значительно более умный субъект, и даже если у него не написан реалнейм и проч, это совершенно пофиг. Он известен конкретными делами, в конкретных тусовочках. > Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и > не по ГОСТ-у." Еще 1 пример могучего интеллекта сдобреного квадратно-гнездовым мышлением. Когда у тебя будет хотя-бы проц и оперативка сделаные по госту, можно будет продолжить разговор. > Мне пока "не хватило ума" понять, кто вообще такие - майнтайнеры, Это заметно. > и зачем они называют себя таким словом. Затем что это устоявшийся в отрасли термин для их деятельности. Но если так, соваться в погосты, то номинально "старший программист Шигорин" может оказаться круче тебя. На бумаге. А де факто он програмить если и умеет то на баше каком, и то...  так что погостовская фигня оказывается не очень стыкованой с активностью "в поле". Зато если "майнтайнером ffmpeg" обозвать - всем гораздо понятнее что делает тушка в том контексте и ожидания совсем другие. Как эта тушка майнтайнит ту программу, не умея на си прогать я, правда, не знаю. Наверное на манер билдбота. Но это уже нюансы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #148

143. Сообщение от Аноним (-), 10-Июл-24, 17:36	+/–
> ты сперва тот прод хотя бы запусти. Хрен с ним, с дыркером > - оно ж вообще никак у него не соберется. Ну, если учесть что NYSE генту поднял - может, если целую тиму опенщиков нанять - что-то, где-то, как-то даже и. Это, правда, без гарантий и оценок времени даже с целой командой. Потому что те еще ослое^W простите волое^W концептуалы, во.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

144. Сообщение от Аноним (-), 10-Июл-24, 17:39	+/–
> - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен Что, завидно? Я вот видел как настоящие девопсы работают. И это было круто. Ну а ты по сравнению с ними будешь жалким бесполезным ненужно, соответственно. С совсем иным набором скиллов, таймингов решения задач, и - может тебе не говорили - но тупые лекции на тему "почему нет", вместо решенных задач, равно как решение долго, дорого, хреново и криво - это не очень ценный актив. Более менее приличные компании это давно уже поняли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #152

145. Сообщение от Аноним (-), 10-Июл-24, 17:45	+/–
> Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей > - очень нишевое удовольствие, я бы сказал. Можешь пешком ходить) Я вот только за чтобы всяких подобных б-ланов, тщательно проверили. А то еще сядет подобное на соседнее сиденье, и начнет рассказывать про теории заговора, химтрейлы и тд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

146. Сообщение от n00by (ok), 10-Июл-24, 18:54	+1 +/–
Ассемблер и не будет быстрее Си. По крайней мере, в руках того эксперта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

147. Сообщение от n00by (ok), 10-Июл-24, 19:00	–2 +/–
>[оверквотинг удален] >>>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average >>>> to win the race condition, and ~6-8 hours to obtain a >>>> remote root shell (because of ASLR)." Что за "фуфел про опенссл" >>>> я не понял, OpenSSL там не упомянут. >>> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов. >> То есть ты готов изучить все системы и доказать, что эксплуатации не >> было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали, >> закинули руткит. Не видишь руткит? Значит он работает и справляется со >> своей задачей. > вы некорректно ставите задачи Вполне адекватно исходному "через пару лет зафиксировать отсутствие эксплойтов". Даже обошёлся без термина "фуфло". Понял, что ты не готов. ЧИТД.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #161

148. Сообщение от n00by (ok), 10-Июл-24, 19:10	+/–
Я ведь занёс "Аноним" в ЧС не для того, что бы запретить Анонимам мне отвечать, а что бы не читать именно тебя, User287 (или как было твоё имя, от которого ты отказался?) Соответственно, я и не читаю, ты это знаешь. Потому не вполне понятно усердие вот этих попыток продемонстрировать своё превосходство над кодом сайта. Ты хочешь показать публике, что Максим что-то не доделал? Это вполне нормально, когда человек тянет проект один. На деле ты показываешь, что никто из сообщества так и не заслужил его доверия. Это как раз та проблема, о которой я и писал в своём первом сообщении ветки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

149. Сообщение от Аноним (102), 10-Июл-24, 19:14	–1 +/–
Тебе виднее от чего они прячутся. Я пока что наблюдаю, как они уверенно закладывают базу для того, чтобы спуститься с холма и покрыть стадо. Случится ли это, и если случится, то когда — время покажет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

150. Сообщение от Аноним (102), 10-Июл-24, 19:40	+/–
Дооооо, расскажи мне какой ты весь в белом и на коне, а остальные плебеи. Я насмотрелся вдоволь что в топ500, что в стартапах, что на производствах (особенно на производствах — нет хуже админа чем цискарь со своим 10.0.0.0/8 и минимум месяц чтобы порт в фаерволле открыть даже с аппрувом от CTO). В комментариях все такие прохаваные, а в реальности одинаковый рутовый пароль на всех серверах, принтеры с админскими правами в АД ходят, а SELinux был отключен для дебага в 2019.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

151. Сообщение от Аноним (102), 10-Июл-24, 19:42	+/–
Ага. А потом смотришь в реальную сеть, а там не система, а набор локалхостов, хоть сейчас под кровать ставь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #158

152. Сообщение от User (??), 10-Июл-24, 21:58	+2 +/–
>> - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен > Что, завидно? Я вот видел как настоящие девопсы работают. И это было > круто. Ну а ты по сравнению с ними будешь жалким бесполезным > ненужно, соответственно. С совсем иным набором скиллов, таймингов решения задач, и > - может тебе не говорили - но тупые лекции на тему > "почему нет", вместо решенных задач, равно как решение долго, дорого, хреново > и криво - это не очень ценный актив. Более менее приличные > компании это давно уже поняли. Уф. Вот как из тезиса "современные программисты уже и контейнеры собирать разучились - им для этого специально обученный devops нужен" делается вывод о "зависти devops'ам", ка-аак?!!! "Люди читают дупой"(Ц). А уж восторженный (Аааах, Кееент!) рассказ о том, что Имярек Ленина видел - в смысле аж с ЦЕЛЫМ DEVOPS'ом знаком - может даже оффлайн пиво пил! (Картинка со снятыми трусиками и "А ты точно devops?!" не прилагается, но видимо подразумевается) и вовсе непересказуемо доставляет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #155

153. Сообщение от User (??), 10-Июл-24, 21:59	+1 +/–
>> Еще-б программисты умели что-нибудь окромя ... > Прогромисты умеют. И даже иногда делают. > Но просто они ценят свое время и не хотят его тратить на > поддержку всех безумных вариантов для кучи дистров. Вы сильно особенные и > решили в своем НеИмеющемАналогов дистре поменять версии либ, пути, версию ядра, > еще фиг знает что? Ну так прдольтесь с ним сами! Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на компе стоит, да? Хорошо если в помянутом доскере, а то ведь и вовсе...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #159

154. Сообщение от User (??), 10-Июл-24, 22:10	+/–
>> Давно в аэропортах не был, да? > Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей > - очень нишевое удовольствие, я бы сказал. "С удовольствием" - это уже какое-то лядство, а мы тут честную проституцию обсуждаем. Положено медосмотр - проходим медосмотр - но нет, обязательно найдутся любители почти-даром-за-амбаром, зато "со всем удовольствием и немного даже по любви!" - и лечи потом за ними разные CVE-RCE...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

155. Сообщение от Аноним (102), 11-Июл-24, 02:05	+/–
> Картинка со снятыми трусиками и "А ты точно devops?!" не прилагается, но видимо подразумевается) и вовсе непересказуемо доставляет. Это реальность, а не картинка. Мне так на конфе в Сан-Диего одна программистка дала. Обсуждали в баре разницу между эксплуатацией и разработкой софта, и как часто бывают нестыковки на ровном месте типа логов. Она и говорит, мол, когда нужно что-то сделать — зови девопса. Ты ж девопс? Ну да, говорю, девопс, век пайплайна не видать. Тогда, говорит, веди в номера. А я не будь дурак и повёл. Все три ночи мы с ней компили и деплоили. А как она прод поднимала… Приятно вспомнить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

156. Сообщение от _ (??), 11-Июл-24, 06:38	+/–
Все врут! И только нах - пох! :) Вот ещё врули лопоухие, так к примеру: https://www.oreilly.com/library/view/ssh-the-secure/05960089...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #157

157. Сообщение от нах. (?), 11-Июл-24, 07:47	+/–
> Вот ещё врули лопоухие, так к примеру: > https://www.oreilly.com/library/view/ssh-the-secure/05960089... тут не написано что что-то было "создано" командой недоучек. Тут написано правильно - они сп-ли последний бесплатный релиз у Йлонена, переименовали и понаставили своих убогих копирайтов. > It has been ported successfully вот это особенно смешно. Потому что настоящий ssh и так работал на всем перечисленном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156

158. Сообщение от нах. (?), 11-Июл-24, 07:49	+/–
> Ага. А потом смотришь в реальную сеть, а там не система, а > набор локалхостов, хоть сейчас под кровать ставь. не работай в помойках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

159. Сообщение от нах. (?), 11-Июл-24, 07:58	+/–
> Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на > компе стоит, да? Хорошо если в помянутом доскере, а то ведь > и вовсе... А в чем разница? Они ж доскер собирают FROM srach и COPY all.tar / в который умелец смахнул все крошки со своего рабочего стола, упаковав туда примерно весь свой WSL. Некогда разбираться что из этого нужное а что нет, спринт не ждет! (в свое время из дыркера онлиофиса я выкинул примерно половину содержимого. Это не фром srach, это они честно старались пакетами ставить. Без малейшего похоже понятия, что в этих пакетах и зачем - "так у (с придыханием) РАЗРАБОТЧИКОВ!")
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153

160. Сообщение от Аноним (160), 11-Июл-24, 18:07	+/–
А, если это молоток с кривой ручкой) и притом все окружающие утверждают ведь что оня прямее всех прямых!... > Угадайте, на каком языке он написан Чего копаться с сортах дерьма гадая?!... Ну вот я про один из - только что написал своё видение(в "Критическая уязвимость в GitLab"): > "Gitlab - новый sendmail" - причем на безопасном руби И на безопасном линукс, молодцы! А, чтобы не было никаких уязвимостей в ч.н.в гите* - отменить пароли, вот я например сижу даже в линуксе не только без антивируса а и даже рутового пароля - неверится? Только что расписал тут: - https://www.opennet.me/opennews/art.shtml?num=61517#25
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

161. Сообщение от Big Robert TheTables (?), 15-Июл-24, 13:20	+/–
К чему не готов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #163

163. Сообщение от n00by (ok), 16-Июл-24, 05:44	+/–
> К чему не готов? Я понимаю, что моё сообщение #127 было слишком давно для некоторых, потому сохранил вопрос со словом "готов" и в #147. Если ты теряешь контекст и не способен прочесть сообщение, на которое отвечаешь, забудь про вопросы безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #164

164. Сообщение от Big Robert TheTables (?), 12-Авг-24, 11:26	+/–
появились эксплойты, не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163 Ответы: #165

165. Сообщение от n00by (ok), 12-Авг-24, 13:55	+/–
Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты же взялся доказывать, что их нет. Но учти, что могут и надуть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #166

166. Сообщение от Big Robert TheTables (?), 12-Авг-24, 14:51	+/–
> Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты > же взялся доказывать, что их нет. Но учти, что могут и > надуть. фиксируем: эксплойтов нет, пылкие юноши уже теряют уверенность в собственной квалификации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165 Ответы: #167

167. Сообщение от n00by (ok), 12-Авг-24, 18:37	–1 +/–
>> Спроси на тематическом ресурсе. $100 за регистрацию не должны тебя остановить, ты >> же взялся доказывать, что их нет. Но учти, что могут и >> надуть. > фиксируем: эксплойтов нет Бремя доказательства утверждения "эксплоитов нет" лежит на заявителе, то есть на тебе. > пылкие юноши уже теряют уверенность в собственной квалификации. Согласен, потому "они" и заговорили о себе во множественном числе ("фиксируем"). У тебя стандартный набор эксперта: примитивная демагогия и проекции. Ничего нового, дальше ты мне не интересен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

168. Сообщение от Big Robert TheTables (?), 06-Дек-24, 19:44	+/–
> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя > про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average > to win the race condition, and ~6-8 hours to obtain a > remote root shell (because of ASLR)." Что за "фуфел про опенссл" > я не понял, OpenSSL там не упомянут. и все-таки, давайте попробуем осуществить этот код с максимальной поддержкой от уязвимого софта. Где, каким образом мы добъемся выполнением кода из пакета, что "формируется хакером"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема