| 1.1, бедный буратино (ok), 09:40, 19/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 блин, только стаблюверсию 6.0 собрал и раскидал...
а почему мини-новость? и где волнующие подробности?
| | |
| |
| |
| 3.4, бедный буратино (ok), 09:58, 19/10/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
непонятно даже, каких версий касается - оригинальной, portable или всех. но, судя по тому, что прямо в дерево openbsd коммит вфигачили - умрём мы действительно все
| | |
| 3.5, бедный буратино (ok), 10:02, 19/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
пробил все зеркала - ничего нового. потом смотрю, а коммит-то от 10 октября, ещё с 13-й эрраты. у меня билды от 15 октярбя, так что можно спать спать спокойно :)
| | |
| |
| 4.16, Андрей (??), 20:05, 19/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Тоже обнаружил, что уже неделю как исправлено.
Кстати, в коммите речь идёт о 128 МБ, а обнаруживший утверждает, что 384 МБ, а в коммите описка. Причём ни та, ни другая сторона не объясняют, откуда числа.
| | |
| |
| 5.19, эцсамое (ok), 02:30, 20/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 и коммит, и это письмо в рассылку от одного и того же человека, так что это одна и та же сторона.
я конечно не расист, но он слегка китаец. возможно это обьясняет скупость предоставленной информации.
| | |
| |
| 6.20, Андрей (??), 03:44, 20/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> и коммит, и это письмо в рассылку от одного и того же человека, так что это одна и та же сторона.
Я предположил о двух разных людях исходя из имени (и адреса email) автора коммита и имени вот того китайца 石磊 <shilei-c () 360 cn>:
Author: markus@openbsd.org <markus@openbsd.org> 2016-10-10 21:28:48
> -/* $OpenBSD: kex.c,v 1.126 2016/09/28 21:44:52 djm Exp $ */
> +/* $OpenBSD: kex.c,v 1.127 2016/10/10 19:28:48 markus Exp $ */
Разве что Markus может оказаться его псевдонимом на западный лад. Но тогда он говорил бы о себе же в третьем лице:
> Reported by shilei-c at 360.cn
Что исключено, так как он - автор коммита.
| | |
| |
| 7.21, эцсамое (ok), 03:59, 20/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
A, прошу прощения, проглядел автора коммита.
таки да, два человека.
| | |
|
|
|
|
|
|
| 1.8, CHERTS (??), 13:34, 19/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Что то не понял я, а где сам фикс для OpenSSL то? Все ссылки на openbsd
| | |
| |
| 2.9, anonymous (??), 13:53, 19/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Ты путаешь OpenSSL и OpenSSH. Это две разные хреновины, у них разные авторы.
| | |
|
| |
| |
| 3.26, Аноним (-), 11:15, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> и чё, много поломали? в OpenBSD эта проблема уже 9 дней, как исправлена
Быстро поднятый маздай - упавшим не считается?
| | |
|
|
| 1.13, ALex_hha (ok), 16:46, 19/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А эксплойт где то есть рабочий? Не зла ради, хотел бы посмотреть на виртуалке хотя бы.
| | |
| |
| 2.17, Андрей (??), 20:20, 19/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Он, наверное, совсем тривиальный. Похоже, одно из первых действий после подсоединения клиента - это сервер посылает версию протокола. И сразу же идёт отсылка SSH2_MSG_KEXINIT. Ещё до выбора протокола шифрования.
| | |
|
| 1.24, Аноним (-), 10:38, 21/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
OpenSSH upstream dos not consider this as a security issue btw.
It seems the only thing the attacker could do here, is self-dos his own
connection. Regarding consuming memory on the server, by opening several
concurrent connections at the same time, there are various protections
available in opensshd_config file, such as "MaxStartups", which can
limit the maximum number of sessions per network connections.
This value is effectively set to 10:30:100 so maximum of 100 * 128 MB
can be allocated, which is pretty much for unauthenticated user. Though
the rate limiting starts to drop connection after 10, which is like 1GB
and which should not hurt the server (though it is not cool).
| | |
|
