| |
| 2.35, Аноним (-), 10:14, 11/12/2022 [^] [^^] [^^^] [ответить]
| –7 +/– | |
> Опубликованы результаты fuzzing-тестирования утилиты ping из состава OpenBSD
Да вообще. Хрычи обнаружили что на этой планете некоторые еще и тестируют свой софт. Попробовали так же. Получили неожиданные результаты, немного противоречащие блабла про качественный и безопасный код.
| | |
| |
| 3.42, Аноним (42), 11:51, 11/12/2022 [^] [^^] [^^^] [ответить]
| +8 +/– | |
>> Ошибка приводит к бесконечному зацикливанию при обработке ответа с нулевым размером
... сетевой стек в ядре OpenBSD не пропускает подобные пакеты в пространство пользователя...
> Получили неожиданные результаты, немного противоречащие блабла про качественный и безопасный код.
Ну-ну.
И то ли дело пинг в твоем вантузе, да?
| | |
| |
| 4.49, Аноним (49), 12:57, 11/12/2022 [^] [^^] [^^^] [ответить]
| –6 +/– |
Ну пока проблема с пингом только в двух бсд, лол. А в вантузе и других ОС проблем не обнаружено, совершенно верно.
| | |
| |
| 5.59, Аноним (42), 14:03, 11/12/2022 [^] [^^] [^^^] [ответить] | +4 +/– | Особенно если усиленно зажмурить глазки, закрыть ушки и мотать гузочкой, громко ... большой текст свёрнут, показать | | |
|
|
|
|
| |
| 2.98, X86 (ok), 09:02, 12/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Как если бы проблема с уязвимостью с курсором все еще была в свежей винде.
| | |
|
| |
| 2.4, Аноним (4), 00:05, 11/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Эта песня будет длиться вечно.
Не те программисты попались, плохие, вебма...на JavaScript...ouh, sheet... подождите...
| | |
| 2.17, Аноним (17), 05:15, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Почему плохие? там же нет ошибки: "OpenBSD не пропускает подобные пакеты в пространство пользователя". Как раз хорошие.
| | |
| |
| |
| 4.44, Аноним (42), 11:54, 11/12/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
>> сетевой стек в ядре
> обычно из пространства пользователя в ядро уже лезут а не наоборот
> или академики перепили коньяку ?
Или опеннетные Ыксперты опять бздят в лужу ...
| | |
| |
| |
| 6.56, Аноним (49), 13:11, 11/12/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
С мифом "бсд хороши для сетевых вещей" можно сказать покончено.
| | |
| 6.57, Аноним (42), 13:34, 11/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Да нет, ну что ты. Просто всего лишь очередная дыра в опёнке, причём, тоже в сетевом стеке
>> утилиты ping
> в сетевом стеке
Опять лужу газифицируешь?
> и в общем картина там вырисовывается так себе
> Удалённая DoS-уязвимость в ядре Linux, эксплуатируемая через отправку пакетов ICMPv6
> 16.03.2022 13:03
В общем, спрыг опять неудачный.
| | |
| |
| 7.68, Аноним (49), 14:58, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Аргументировать наличие дыр в бзде наличием дыр в линуксе... Да вы оригинал!
| | |
| |
| 8.75, Аноним (75), 15:50, 11/12/2022 [^] [^^] [^^^] [ответить] | +/– |  То ли дело аргументировать спрыги и газификацию луж наличием другой дыры в опенк... текст свёрнут, показать | | |
|
|
|
|
|
| 3.87, Аноним (3), 18:29, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот где не пускает, там точно хорошие писали, спору нет, а вот ICMP-пакет парсить похоже студента заставили. И это в OpenBSD, системе с легендарной безопасностью, не какими-то смузихлёбами писаной! Думаете АНБ пыталась встроить закладку? А то может и что похуже?
| | |
|
|
| |
| 2.89, Аноним (3), 18:35, 11/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
А в Windows, как известно любому на этом ресурсе, сетевой стек из FreeBSD украли, а не из OpenBSD, поэтому вот именно этой ошибки в нём нет.
| | |
|
| |
| 2.52, Аноним (49), 12:59, 11/12/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Хорошо, отпиши как закончишь проверять все остальные утилиты.
| | |
|
| |
| 2.11, Аноним (11), 02:09, 11/12/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
А где вы "дырень" увидели? Даже если не брать в расчет, что пакеты не попадают в юзер спейс, то это всего лишь ошибка, которая вешает программу в бесконечный цикл. Где здесь уязвимость?
| | |
| |
| |
| 4.24, qetuo (?), 07:35, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Экперты опеннета как обычно.
Еще раз, в ping не могут попасть пакеты, оформленные таким образом, потому что они блокируются на уровне сетевого стека. А даже если бы могли -- вы действительно считаете, что зацикливание утилиты ping может привести к denial-of-service?
| | |
| |
| 5.46, Аноним (46), 12:25, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Номера для процессов и на линуксе можно исчерпать. В нём их всего ~30000 (технически сколько-то там миллионов, но тоже не бесконечные). Но, мне кажется, память кончится намного раньше. Если там к pid что-нибудь привязано (особенно в ядре), то ещё быстрее. Процессор тоже не бесконечный, опять же.
| | |
| |
| 6.61, Аноним (42), 14:11, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Номера для процессов и на линуксе можно исчерпать.
А в огороде бузина?
| | |
| 6.63, qetuo (?), 14:12, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Номера для процессов и на линуксе можно исчерпать.
А вы собрались в цикле запускать ping? Если что, при зависании одного инстанса второй автоматически не запускается.
| | |
| |
| 7.64, Аноним (46), 14:15, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Если в скрипте ping, который никогда не завершается, то этот скрипт останется висеть до перезагрузки. И все новые инстансы тоже.
| | |
|
|
| 5.53, Аноним (49), 13:02, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да легко. Миллион кривых пакетов сформировать займёт меньше минуты при нормальном канале. Каждый такой пакет стриггерит баг.
| | |
| |
| 6.60, Аноним (42), 14:08, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> утилита ping
>> при обработке ответа с нулевым размером
>> сетевой стек в ядре OpenBSD не пропускает подобные пакеты в пространство пользователя.
> Да легко. Миллион кривых пакетов сформировать займёт меньше минуты при нормальном канале.
> Каждый такой пакет стриггерит баг.
У опеннетных Ыкспертов ping теперь запускается сам, в ответ на прием пакета ядром ... *рукалицо*
| | |
| 6.62, qetuo (?), 14:11, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Да легко. Миллион кривых пакетов сформировать займёт меньше минуты при нормальном канале.
> Каждый такой пакет стриггерит баг.
Не каждый, а только первый. Далее ping зациклится. Если у вас есть возможность запустить миллион инстансов ping, вам этот баг априори неинтересен.
И все это при заведомо ложном допущении, что сетевой стек пропустил битый пакет.
| | |
|
|
|
|
| 2.15, Аноним (15), 04:08, 11/12/2022 [^] [^^] [^^^] [ответить]
| +9 +/– |
Справедливости ради, данная конкретная дырень к Си не имеет никакого отношения. Любой программист, который не просыпал и не пробухивал пары по теории информации знает про проблему останова машины Тьюринга. То бишь, бесконечного зацикливания можно добится на любом языке и любой машине сложнее калькулятора. Но анонимному трололо это не важно.
| | |
| |
| 3.48, Аноним (49), 12:53, 11/12/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
А у вас всегда "ну это к си не имеет отношения". Только почему-то именно на си и другим недоязычках таких ошибок тьма. Магия, правда?
| | |
| |
| 4.85, Admino (ok), 17:55, 11/12/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
 А потому что именно на си такие утилиты и пишут, другие языки не тянут.
| | |
|
|
| 2.38, ng (ok), 10:17, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
 > Сишники без дыреней уже даже hello world и ping написать не могут?
А где Вы видите сишников в последнее время?
Стоит ли винить болид формулы 1, когда сидящий за его рулём опытный водитель трамвая "сложился" на первом же вираже?
| | |
| |
| |
| 4.47, Аноним (49), 12:49, 11/12/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Эта порода этого не поймёт никогда. Азаза, быстра и проста, ификтивная сишечка
| | |
|
| 3.72, Аноним (72), 15:06, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Стоило бы почитать про безопасность болидов, прежде чем приводить дурацкие аналогии.
| | |
| |
| 4.114, фф (?), 06:49, 13/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
а зачем читать про безопасность? никто ж не говорит что убьешься.
запустите любой симулятор, отключите все помощники (в реальном болиде нет ни абс ни трекшн-контрола) и попробуйте проехать хотя бы один круг не улетев с асфальта.
| | |
|
|
|
| 1.29, Аноним (29), 08:48, 11/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Что значит в протоколе, если у IP пакета будет поле option нулевого размера?
| | |
| 1.81, pin (??), 16:33, 11/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А что может опёнок в базовом сетапе? Маршрутизация/ACL/NAT/VPN и всякие ntp/ftp?
| | |
| |
| 2.88, Аноним (3), 18:33, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Да. Но на этом как бы всё. 802.11ax не может, современные сетевые карты не поддерживает, видеокарты, блютусы и прочее не моложе десяти-пятнадцати лет, и так далее. За пределами виртуалки и 3½ древних лаптопов ещё более уныла, чем FreeBSD. В общем-то, существует как хобби Тео, основная работа которого править баги в OpenSSH.
| | |
| |
| 3.94, Аноним (94), 22:26, 11/12/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> видеокарты ... не моложе десяти-пятнадцати лет
Вот тут не прав. Обновляют чаще других BSD.
| | |
| |
| 4.109, Аноним (49), 19:52, 12/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Наловчились копипастить, да. Правда, никто не гарантирует работы, но обновляют часто!
| | |
|
|
| |
| |
| 4.110, Аноним (49), 19:53, 12/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я бы сказал "не достаточно всрато", потому что даже на старом качественном железе опеныш никогда норм работать не будет (удачи его на какой-нибудь бимеровский блейд старой серии водрузить).
| | |
|
|
|
| |
| 2.100, A (?), 10:15, 12/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ты перепутал слова: ошибка не означает уязвимость.
Незачёт.
| | |
|
| 1.101, Аноним42 (?), 11:27, 12/12/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А как звали чувака, который тут рекламировал постоянно анализатор коммерческий и в качестве рекламы анализировал проекты с открытым кодом?
Может его позовем? Пусть они OpenBSD засунут в свой анализатор
Или страшненько?
| | |
| |
| 2.105, Аноним (3), 18:38, 12/12/2022 [^] [^^] [^^^] [ответить]
| +/– |
Он бросил это дурное занятие и теперь пишет на Расте коммерческий софт.
| | |
|
|
