| 1.1, Аноним (1), 13:31, 09/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– |
У каждой уязвимости есть имя и фамилия. Есть коммитер есть мейнтейнер, но конечно же их упоминать мы не будем, плохой только Jia Tan.
| | |
| |
| |
| 3.7, Random (??), 13:44, 09/07/2024 [^] [^^] [^^^] [ответить]
| +14 +/– |
Стальные ножи и топоры опасны, надо срочно заменить на пластмассовые!
| | |
| |
| 4.26, Аноним (26), 14:26, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
А если что нарезать надо - в специализированную фирму пойдут, им там профессионально нарежут. Заодно и кто надо прибыль получат, и с неё кому надо дань заплатят. Отработано в Пекине, готово к распространению на весь мир.
| | |
| |
| 5.48, Random (??), 15:43, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное
| | |
| |
| 6.97, Аноним (-), 21:08, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Воот! "Безопасные" пластмассовые языки - нишевое решение, а не универсальное
Угу, а вот криптогафия, это универсальное решение!
Каждый уважающий пограммист обязан написать свою криптолибу.
И главное, чтобы она был быстрой, то что дырявая, то дело житейское, все равно бракоделы по другому не умеют.
| | |
|
| 5.139, Аноним (-), 17:08, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Давно в аэропортах не был, да?
Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей - очень нишевое удовольствие, я бы сказал.
| | |
| |
| 6.145, Аноним (-), 17:45, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей
> - очень нишевое удовольствие, я бы сказал.
Можешь пешком ходить)
Я вот только за чтобы всяких подобных б-ланов, тщательно проверили.
А то еще сядет подобное на соседнее сиденье, и начнет рассказывать про теории заговора, химтрейлы и тд.
| | |
| 6.154, User (??), 22:10, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Давно в аэропортах не был, да?
> Каждый день проходить через раздевающий сканер и подвергаться шмону всех личных вещей
> - очень нишевое удовольствие, я бы сказал.
"С удовольствием" - это уже какое-то лядство, а мы тут честную проституцию обсуждаем. Положено медосмотр - проходим медосмотр - но нет, обязательно найдутся любители почти-даром-за-амбаром, зато "со всем удовольствием и немного даже по любви!" - и лечи потом за ними разные CVE-RCE...
| | |
|
|
|
| 3.88, Аноним (88), 18:54, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Из них только один может иметь хоть какое-то отношение к сигналам
| | |
|
| 2.35, Аноним (35), 14:57, 09/07/2024 [^] [^^] [^^^] [ответить]
| +7 +/– |
не ошибается тот кто ничего не делает! не делает и ядовитые комменты везде оставляет! вот он то, да, он молодец!
| | |
| |
| 3.51, Аноним (1), 16:09, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Jia Tan тоже всего лишь ошибся. А воя на несколько новостей на одном только опеннете.
| | |
|
| 2.39, ин номине патре (?), 15:09, 09/07/2024 [^] [^^] [^^^] [ответить]
| –4 +/– | |
>У каждой уязвимости есть имя и фамилия.
вставьте имя админа который на важный сервер поставил RHEL9. 8ке ещё стоять и стоять. предыдущая дырка тоже мимо пролетела. я знаю челов, у которых до сих пор всё на 7ке ))) их в принципе можно понять.
| | |
| 2.81, Вызабылизаполнитьполе (?), 18:28, 09/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Это какая-то логика госпараш? Коммитер должен всегда делать идеальные правки с риском после любой ошибки сесть на кол как при Иване Грозном?
Все ошибаются кто-то чаще кто-то реже, если возможность ошибится есть - ошибка гарантированно случится, тому нет никакого смысла выяснять даже кто её допустил. Нужно менять процессы ревью, анализа, тестирования и так далее, чтобы ошибок было меньше. Тыкать в людей смысла абсолютный ноль.
| | |
| |
| 3.89, Аноним (88), 18:59, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт важном сервисе. Важен не сам факт ошибки, а какой был рабочий процесс внесения изменения. Если прошляпиля куча глаз, включая апстрим, то ~ сделали всё что смогли. Если же в одно рыло под одеялом ночью патчили, то таки да - на кол.
| | |
| |
| 4.94, нах. (?), 19:13, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Полезно свой кривой патч показать кому-нибудь близкому к апстриму когда речь идёт
> важном сервисе.
вон там тебе человек, нашедший уязвимость (так что да - куча глаз - внезапно, в этот раз не прошляпила), пытался разжевать - проблема создана именно апстримом.
Так что вероятнее всего - даже если бы кто-то оттуда снизошел до посмотреть, и даже всерьез бы задумался точно тут все работает или не совсем - нет никаких гарантий что заметил бы проблему.
Но на деле тот и не собирается этим заниматься, ему твой редхат - пофигу абсолютно.
| | |
|
|
| 2.93, Аноним (93), 19:12, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
А сколько вы заплатили за использование? Какова ответственность поставщика этого по вашему договору?
| | |
|
| 1.3, Аноним (3), 13:41, 09/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –12 +/– |
Угадайте, на каком языке он написан. На размышление дается 30 секунд.
| | |
| |
| 2.12, Аноним (12), 13:54, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Молоток опасен для того, у кого руки из опы. Ну или в руках того, кто твёрдо вознамерился нанести урон. Но есть и обратная сторона - когда в руках молоток, всё становится похожим на гвоздь. Вот такая диалектика.
| | |
| |
| 3.160, Аноним (160), 18:07, 11/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
А, если это молоток с кривой ручкой) и притом все окружающие утверждают ведь что оня прямее всех прямых!...
> Угадайте, на каком языке он написан
Чего копаться с сортах дерьма гадая?!...
Ну вот я про один из - только что написал своё видение(в "Критическая уязвимость в GitLab"):
> "Gitlab - новый sendmail" - причем на безопасном руби
И на безопасном линукс, молодцы!
А, чтобы не было никаких уязвимостей в ч.н.в гите* - отменить пароли,
вот я например сижу даже в линуксе не только без антивируса а и даже рутового пароля - неверится? Только что расписал тут:
- https://www.opennet.me/opennews/art.shtml?num=61517#25
| | |
|
| 2.15, Афанасий (?), 13:57, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Приведи пример безопасного языка, который нужно было взять на момент начала разработки OpenSSH.
| | |
| |
| |
| 4.42, Афанасий (?), 15:26, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Какого качества были свободные компиляторы Ada в то время? Знал автор первых строчек кода OpenSSH язык Ada? Какова вероятность найти нужного количества "помощников" со знанием Ada? И так далее...
На заре становления open source проектов кроме C, C++ выбора особо и не было. Либо закрытые компиляторы, либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ...
| | |
| |
| 5.55, Аноним (-), 16:21, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Какого качества были свободные компиляторы Ada в то время?
А они обязательно свободные должны быть? Типа ради шbo6oдки и омно жрать готовы?
Ты ж понимаешь что все вопросы к качеству компилятора нужно задавать сообществу.
Вот почему сообщество не запилило хороший компилятор, а?
| | |
| |
| 6.82, Афанасий (?), 18:31, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Сообщество никому ничего не должно. Запомни это. Это раз.
Трудно использовать в floss проектах закрытое платное программное обеспечение, проще взять бесплатное открытое с некоторыми изъянами ПО. Это два.
Почитай историю про Ada, тогда поймёшь почему этот язык довольствуется узкой нишей и почему его в здравом уме во floss проектах не используют.
| | |
| |
| 7.98, Аноним (-), 21:12, 09/07/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Так и я щообществу 8482 тоже И потыкать их мордочков в лужу, никто мне запрет... большой текст свёрнут, показать | | |
| |
| 8.109, Аноним (-), 00:09, 10/07/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Ну вот и не пользуйся программой, например Напиши свою, как там тебе удобно, лу... большой текст свёрнут, показать | | |
|
|
|
| 5.80, Аноним (80), 18:24, 09/07/2024 [^] [^^] [^^^] [ответить] | –2 +/– | Демагог мелкого пошиба Сначала спросил, какой язык надо было брать видимо, ожи... большой текст свёрнут, показать | | |
| |
| 6.86, Афанасий (?), 18:47, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Я - "Знал автор первых строчек кода OpenSSH язык Ada?"
Ты - ...утверждать, что "автор не знал языка"...
Видишь свою первую допущенную ошибку?
На разбор всей остальной твоей писанины жалко даже минуты свободного времени.
| | |
| 6.102, Аноним (102), 23:42, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Рассуждаешь неплохо, но не владеешь фактами. Тео не создал OpenSSH, а форкнул форк. Программист он посредственный, а как человек — конфликтный, неуживчивый. Разработка любого сложного софта — а OpenSSH это очень сложный софт — занятие прежде всего социальное, и только во вторую очередь требующее специальных навыков. Поэтому даже если кто-то и предлагал переписать на Аде (что крайне сомнительно, культура разработки в те годы была крайне плохая, в первую очередь в опенсорсе), то вряд ли Тео услышал, если вообще был готов слушать. А сейчас уже поздно. Одна надежда на раст-сообщество, у них и задор пока есть, и необходимость занять нишу.
| | |
| |
| 7.132, нах. (?), 14:43, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Одна надежда на раст-сообщество,
> у них и задор пока есть, и необходимость занять нишу.
но пока они прячутся от борова.
А CoC.md и README.md занимают только нишу проверенных эталонных м-ков.
| | |
| |
| 8.149, Аноним (102), 19:14, 10/07/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Тебе виднее от чего они прячутся Я пока что наблюдаю, как они уверенно закладыв... текст свёрнут, показать | | |
|
|
|
| 5.84, Аноним (80), 18:35, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
вдогонку
> либо автор знал только один из этих языков, пилил что-то на нём для себя, а потом оно стрельнуло и обрасло новыми "помощниками", либо ...
Автор, что за фэнтези ты там из пальца высасываешь, описывая какого-то сферического коня в вакууме? Что за гаражные кодеры-"наколеночники"? Это не какая-то скрытая история:
"OpenSSH был создан командой OpenBSD [под руководством Тео де Раадта] как альтернатива SSH, который все ещё является проприетарным ПО"
| | |
| |
| |
| 7.129, User (??), 13:25, 10/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну. Прям рядом с рассказом, как Столлман Емакс ваял ). Everybody knows(C)
| | |
| |
| 8.157, нах. (?), 07:47, 11/07/2024 [^] [^^] [^^^] [ответить] | +/– | тут не написано что что-то было создано командой недоучек Тут написано прави... текст свёрнут, показать | | |
|
|
| 6.110, Аноним (102), 00:45, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> OpenSSH был создан командой OpenBSD
А чем же тогда занимались Tatu Ylönen и IETF secsh group?
| | |
|
|
|
|
| 2.66, Аноним (66), 17:14, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Так, надо подумать. Он реально существует, значит, точно не на раст. Он должен работать на максимально возможном числе систем, значит точно не яве/сишарпе с их полутора поддерживаемыми платформами. Он не монструозный микросервис, работающий по хттп, значит точно не на похапе/руби/питон/го/нодежс.
Ну, вроде как остаётся только си. Я угадал?
| | |
| |
| 3.99, Аноним (-), 21:17, 09/07/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Он должен работать на максимально возможном числе систем, значит точно не яве/сишарпе
> с их полутора поддерживаемыми платформами. Он не монструозный микросервис, работающий
> по хттп, значит точно не на похапе/руби/питон/го/нодежс.
> Ну, вроде как остаётся только си. Я угадал?
Ты забыл добавить, он должен быть дырявый как портовая девка, тк без этого будет трудно ломать криптографию.
И чтобы такая ситуация была максимально долгой, нужно придумывать всякие отмазки типа "а вдруг нашу либу захотят напустить на Motorola 6809!",
"а вдруг над пользователь захочет чтобы все шифровалось побыстрее, и пофиг что хартблид!"
| | |
|
| 2.67, YetAnotherOnanym (ok), 17:20, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый исполняемый код, и при этом абсолютно свободный от состояния гонки. 30 секунд пошли.
| | |
| |
| 3.79, noc101 (ok), 18:19, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Си. Теперь твоя очередь - назови язык, компилирующийся в столь же быстрый
> исполняемый код, и при этом абсолютно свободный от состояния гонки. 30
> секунд пошли.
С++? )
| | |
|
|
| 1.4, Аноним (4), 13:42, 09/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>но в пакетах к RHEL 9 и Fedora был применён дополнительный патч
Опять мейнтейнеры запустили свои ручки в чужой код. Это какое-то бедствие уже. Им пора усвоить, что они не программисты и в чужой код лезть нельзя.
| | |
| |
| 2.8, 1 (??), 13:45, 09/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это ж ради аудита (а потом и телеметрии) ... Не трогай святое !!!
| | |
| |
| 3.49, solardiz (ok), 15:48, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Проблема присутствует, но в данной ситуации я бы не стал критиковать кого-либо или какой-либо проект. Мне ситуация видится так: части пользователей дистрибутива требуется аудит-лог (вероятно, из-за каких-то законов, применимых для какой-то категории внедрений, и написанных из лучших побуждений), Red Hat эту функциональность добавляет корректно используя внутрение интерфейсы OpenSSH, а проект OpenSSH по ошибке вызывает одну из своих же функций некорректно. Это о появлении уязвимости. Попутно мы также нашли пару других проблем с аудит-патчем, одна из которых по-видимому связана с его некорректным переносом с более старых версий OpenSSH на новые, но это непосредственно не связано с появлением уязвимости.
| | |
| |
| 4.61, нах. (?), 16:57, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Мне ситуация видится так: части пользователей дистрибутива требуется аудит-лог (вероятно, из-за
> каких-то законов
причем тут - законы? audit.log защищен selinux, в отличие от сислогов, и есть шансы что в нем останется та попытка, которая внезапно оказалась удачной, даже когда обычные логи подчистят.
И если в системе есть аудит - феноменально глупо выглядит пускать ssh работать в обход, не оставляя в нем никаких следов.
Ну а дальше да - трэш собственно в самом openssh, и always have been.
Но другого sshd (на безопастном йезычке) нам, к сожалению, никто не напишет. А Йлонен поди на пенсии.
| | |
| |
| 5.68, Аноним (68), 17:35, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> в отличие от сислогов
а сислог, внезапно, на другом сервере (сием).
> причем тут - законы?
журналирование событий в "крит." важных системах - обязательное.
| | |
| 5.112, Аноним (102), 00:50, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> audit.log защищен selinux
О чём ты? Три четверти гайдов по настройке чего угодно на RHEL начинается с "setenforce 0", который бездумно копируется из системы в систему.
| | |
| |
| 6.115, mickvav (?), 02:25, 10/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
9/10 постов и коментов в интернете имеют отрицателььную пользу. Если бездумно копировать гайды не читая и не разбираясь - ожидаемо получится небезопасная система, потому что авторы их оптимизируют под аудиторию, а НЕ под безопасность.
| | |
| |
| 7.150, Аноним (102), 19:40, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Дооооо, расскажи мне какой ты весь в белом и на коне, а остальные плебеи. Я насмотрелся вдоволь что в топ500, что в стартапах, что на производствах (особенно на производствах — нет хуже админа чем цискарь со своим 10.0.0.0/8 и минимум месяц чтобы порт в фаерволле открыть даже с аппрувом от CTO). В комментариях все такие прохаваные, а в реальности одинаковый рутовый пароль на всех серверах, принтеры с админскими правами в АД ходят, а SELinux был отключен для дебага в 2019.
| | |
|
| 6.121, нах. (?), 11:09, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
обычно это означает что чегоугодно либо не стоит пользоваться вообще, либо не стоит пользоваться этим гайдом, потому что его писал кексперт с локалхостом, даже хуже здешних.
| | |
| |
| 7.151, Аноним (102), 19:42, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ага. А потом смотришь в реальную сеть, а там не система, а набор локалхостов, хоть сейчас под кровать ставь.
| | |
|
|
|
|
|
| 2.24, Витюшка (?), 14:16, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Да, мне это тоже непонятно. С каких пор ментейнер стал программистом?
Это скорее поддерживающий в оригинальном понимании значения слова.
Но корпорасты это практикуют активно 🤷🏻♀️
| | |
| |
| 3.71, n00by (ok), 17:54, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 В большинстве случаев, что я видел, англоязычные используют глагольную форму ("я поддерживаю"). Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и не по ГОСТ-у.
| | |
|
| 2.30, Аноним (30), 14:43, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Инфраструктура патчей задумана наложения секьюрити-фиксов и для тривиальных изменений типа дефолтных путей. Но мейнтенеры решили, что они во всем поставляемом в дистрибутиве софте разбираются лучше, чем его авторы.
| | |
| 2.78, noc101 (ok), 18:18, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>>но в пакетах к RHEL 9 и Fedora был применён дополнительный патч
> Опять мейнтейнеры запустили свои ручки в чужой код. Это какое-то бедствие уже.
> Им пора усвоить, что они не программисты и в чужой код
> лезть нельзя.
Мейнтейнеры должны уйти как класс. Только беды от них
| | |
| |
| 3.103, Аноним (-), 23:51, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Мейнтейнеры должны уйти как класс. Только беды от них
Так и представляю себе морды програмеров которые будут разучивать как билдовать пакет под шляпную хрень самолично. А оно им, простите, надо, если они допустим убунточку какую юзали, где это все - сильно иначе?
Более того - бэкпорты на стабильную версию тоже програмер должен хреначить? Не, вкатить то что вот прям ща у прогармера есть в стабильный дистр - не вариант. Может оно вообще не запускается даже, или там формат конфигов сменили 2 раза - так что оно вообще работать не будет с конфигой от старой версии?! И тут продакшн такой после апдейта этого всего - хрясь. И бизнес клиентуры - упсь.
Так что ваш хитрый план имеет небольшой изъян.
| | |
| |
| 4.118, noc101 (ok), 03:22, 10/07/2024 [^] [^^] [^^^] [ответить] | +/– | gt оверквотинг удален Именно в этот момент, разработчики задумаются, а нафига ... большой текст свёрнут, показать | | |
| |
| 5.134, нах. (?), 15:17, 10/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> И такие О, есть же флатпак, снап, да даже appImage. Или о
> боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности,
а зачем ее делать-то? Одна винда у нас уже есть, хватит.
| | |
| |
| 6.141, noc101 (ok), 17:12, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> И такие О, есть же флатпак, снап, да даже appImage. Или о
>> боже задумаются, что надо сделать ОДНУ СИСТЕМУ! А не плодить сущности,
> а зачем ее делать-то? Одна винда у нас уже есть, хватит.
Нах нах ты явно читать не умеешь. Я не писал про один Линукс.
Но раз ты эту тему зацепил. Это было бы офигенно!И винда с макОС и с Андроидом и ИОС, это доказало.
Чем меньше сущностей, тем лучше для ОС и пользователей.
| | |
|
|
| 4.122, нах. (?), 11:13, 10/07/2024 [^] [^^] [^^^] [ответить] | +/– | с опенссхем все еще хуже - они openbsd юзают, и оно даже и не будет собираться в... большой текст свёрнут, показать | | |
|
|
|
| |
| 2.43, solardiz (ok), 15:28, 09/07/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
Хорошо поживают. Я нашел эту уязвимость благодаря моему участию в Rocky Linux и поддержке от компании CIQ. Мы исправили ее в Rocky Linux SIG/Security и 9.2 LTS от CIQ в день публикации, то есть вчера. А сама публикация была задержана на неделю, чтобы дать Red Hat время к ней подготовиться. AlmaLinux также были оповещены заранее через список рассылки linux-distros.
| | |
| |
| 3.53, Аноним (1), 16:11, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Правильно говорят лучше продолжать сидеть на доисторическом центе. Который ещё не стрим.
| | |
| |
| 4.73, ин номине патре (?), 17:57, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Правильно говорят лучше продолжать сидеть на доисторическом центе
вообще-то в 8м OL ни этой, ни предыдущей дырки не было, 7ка уже больше на диагноз похоже. postEOL саппорт там какие-то васяны делают.
| | |
| 4.104, Аноним (-), 23:53, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Правильно говорят лучше продолжать сидеть на доисторическом центе. Который ещё не стрим.
В случае solardiz у него есть кое-что получше: работающий головной мозг. Это - лучше всего, особенно в паре с экспертизой в предметной области.
| | |
|
|
|
| 1.14, Big Robert TheTables (?), 13:56, 09/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
RCE и тут и в предыдущей возможности даже теоретически неосуществим. Новость - самопиар.
Как-то так.
зы: сталкивался неоднократно с проблемами из-за задействования в обработчиках сигнала non-signal-safe, как раз именно с вызовом маллок в обработчике сигнала во время вызова маллок. Это приводило к дедлоку. Учитывая архитектуру подключения ссш, которая на каждое подключение создает новый процесс, проблемы это никакой не создаст. Тем более, не даст возможности удаленно выполнить код.
| | |
| |
| 2.46, solardiz (ok), 15:33, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys. Не просто и не быстро, но в лабораторных условиях проверено.
| | |
| |
| 3.50, Big Robert TheTables (?), 16:08, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Как именно осуществим RCE подробно описано в предыдущей публикации от Qualys. Не
> просто и не быстро, но в лабораторных условиях проверено.
Читал в оригинале - https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt, секция Theory. нет там RCe. Там перед этим много пафосных ссылок, цитат, описаний протоколов, книг но если продраться к деталям - то всё базируется на том, что мол в коде ssh будут неверные ссылки на список, в котороым сырые данные пакетов - тут делается усиление что мол "а это же аттакер контроллер дата", и далее переход на следующий фуфел про опенссл.
| | |
| |
| 4.56, solardiz (ok), 16:32, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average to win the race condition, and ~6-8 hours to obtain a remote root shell (because of ASLR)." Что за "фуфел про опенссл" я не понял, OpenSSL там не упомянут.
| | |
| |
| 5.74, n00by (ok), 18:00, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит, где специалисту приходится что-то доказывать тому, кто даже подписаться под своими словами боится.
| | |
| |
| 6.105, Аноним (-), 23:56, 09/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Добро пожаловать в Свободный Мир, где имя и репутация ничего не значит,
> где специалисту приходится что-то доказывать тому, кто даже подписаться под своими
> словами боится.
Я вижу довольно большую разницу между "n00by" и "solardiz". Второй никогда не набивал себе цену нахрапом. Ему это не надо! Его уровень экспертизы все желающие могут увидеть в тематичных рассылках. И он не вызывает вопросов, в отличие от твоей напыщеной фигни и самолюбования.
А еще наверное у solardiz все же хватит ума не быковать на майнтайнеров.
| | |
| |
| 7.126, n00by (ok), 12:44, 10/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Спасибо за наглядный пример, о таком и пишу. Влазит неизвестно кто и пишет с таким пафосом, будто бы его мнение имеет какой-то вес.
Подобный троллинг имел бы смысл, если бы далее ты смог представиться, но... ;)
> хватит ума не быковать на майнтайнеров.
Цитирую себя, #71:
"В большинстве случаев, что я видел, англоязычные используют глагольную форму ("я поддерживаю"). Программист вполне может "поддерживать". "Майнтайнер" похоже на местное изобретение и не по ГОСТ-у."
Мне пока "не хватило ума" понять, кто вообще такие - майнтайнеры, и зачем они называют себя таким словом.
| | |
| |
| 8.142, Аноним (142), 17:25, 10/07/2024 [^] [^^] [^^^] [ответить] | +/– | Вес и осмысленность того или иного мнения каждый подписчик определит для себя са... большой текст свёрнут, показать | | |
| |
| 9.148, n00by (ok), 19:10, 10/07/2024 [^] [^^] [^^^] [ответить] | +/– | Я ведь занёс Аноним в ЧС не для того, что бы запретить Анонимам мне отвечать, ... текст свёрнут, показать | | |
|
|
|
|
| 5.125, Big Robert TheTables (?), 12:20, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
> to win the race condition, and ~6-8 hours to obtain a
> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
> я не понял, OpenSSL там не упомянут.
Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
| | |
| |
| 6.127, n00by (ok), 12:57, 10/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Там есть несколько секций Theory и Practice про дистрибутивы разных лет. Последняя
>> про 32-бит "Debian 12.5.0, from 2024" завершается "~3-4 hours on average
>> to win the race condition, and ~6-8 hours to obtain a
>> remote root shell (because of ASLR)." Что за "фуфел про опенссл"
>> я не понял, OpenSSL там не упомянут.
> Тоже фуфло. Предлагаю тут же через пару лет зафиксировать отсутствие эксплойтов.
То есть ты готов изучить все системы и доказать, что эксплуатации не было? А как собрался доказывать? Допустим, частный случай: твою систему скомпрометировали, закинули руткит. Не видишь руткит? Значит он работает и справляется со своей задачей.
| | |
| |
| |
| 8.147, n00by (ok), 19:00, 10/07/2024 [^] [^^] [^^^] [ответить] | –2 +/– | gt оверквотинг удален Вполне адекватно исходному через пару лет зафиксировать... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.52, noc101 (ok), 16:11, 09/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Повторял и буду повторять, программы должна распространяться только создателями. Мейнтейрнеры должны умереть как класс.
Кто просил в чужой код вносить изменения? Гении блин.
| | |
| |
| |
| 3.64, Аноним (-), 17:01, 09/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Ты противоречишь Open Source.
А ты противоречишь здравому смыслу.
Вот представь что ты выпускаешь пирожки под торговой маркой "Соль земли".
И даже рецепт для всех выложил!
А Васян™, перед тем как отдать пользователю, туда просто насарал, в каждую коробочку.
Но он не сменил надпись на коробке на 'Пирожки "Соль земли" с сюрпризом от Васяна'
Лезешь своими корявками? Так переименуй либу.
Назови "Омнокодище". Тогда никаких претензий не будет.
| | |
| |
| 4.76, noc101 (ok), 18:10, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Ты противоречишь Open Source.
> А ты противоречишь здравому смыслу.
> Вот представь что ты выпускаешь пирожки под торговой маркой "Соль земли".
> И даже рецепт для всех выложил!
> А Васян™, перед тем как отдать пользователю, туда просто насарал, в каждую
> коробочку.
> Но он не сменил надпись на коробке на 'Пирожки "Соль земли" с
> сюрпризом от Васяна'
> Лезешь своими корявками? Так переименуй либу.
> Назови "Омнокодище". Тогда никаких претензий не будет.
База!
Почему до такой мысли люди не могут дойти? Это же очевидно!
| | |
|
| 3.75, noc101 (ok), 18:10, 09/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты противоречишь Open Source.
Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда делают глупости вредные.
| | |
| |
| 4.107, Аноним (-), 00:04, 10/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда
> делают глупости вредные.
Тебя никто не заставляет чем либо пользоваться. Вообще совсем. Редхат чисто технически не может потребовать от кого-то юзать их дистр.
| | |
| |
| 5.117, noc101 (ok), 03:14, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Ты так говоришь, как будто это что то плохое, противоречить. Особенно когда
>> делают глупости вредные.
> Тебя никто не заставляет чем либо пользоваться. Вообще совсем. Редхат чисто технически
> не может потребовать от кого-то юзать их дистр.
тебя никто не заставляет читать мою критику опен сорсных глупостей!
Слабо к себе применить свои требования?
Обожаю охранителей, не дай бог на их идола фанатизма както криво посмотрят. Порвут!
Нельзя Опен сорс критиковать! Ведь он идеальный!!!
Охранителям в голову не приходит, что именно критика делает продукт лучше!
| | |
|
|
|
| 2.63, нах. (?), 17:00, 09/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Кто просил в чужой код вносить изменения?
Конкретно код ssh от "создателей" - даже не скомпилируется у тебя. Потому что он - openbsd only. Внезапно.
Кто просил, действительно? Сиди с телнетом. Он вот от создателей. Но это неточно.
| | |
| |
| 3.70, Аноним (70), 17:49, 09/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd
| | |
| |
| 4.108, Аноним (-), 00:05, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd
Вместо редхата то? Ну попробуй. А LTS ветка у OpenBSD есть? Или вместо нее ты послушаешь пафосные песенки, глядя на развалившийся при эксплуатации прод?
| | |
| |
| 5.123, нах. (?), 11:15, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> зачем сидеть, да ещё и с телнетом, если можно не сидеть, а использовать openbsd
> Вместо редхата то? Ну попробуй. А LTS ветка у OpenBSD есть? Или
> вместо нее ты послушаешь пафосные песенки, глядя на развалившийся при эксплуатации
> прод?
ты сперва тот прод хотя бы запусти. Хрен с ним, с дыркером - оно ж вообще никак у него не соберется.
| | |
| |
| 6.143, Аноним (-), 17:36, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> ты сперва тот прод хотя бы запусти. Хрен с ним, с дыркером
> - оно ж вообще никак у него не соберется.
Ну, если учесть что NYSE генту поднял - может, если целую тиму опенщиков нанять - что-то, где-то, как-то даже и. Это, правда, без гарантий и оценок времени даже с целой командой. Потому что те еще ослое^W простите волое^W концептуалы, во.
| | |
|
|
| 4.113, Аноним (102), 00:55, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> можно не сидеть, а использовать openbsd
Использовать может и можно, но неясно зачем и для чего. И где. Последнее оборудование, на котором оно работает догорает в подвале у Тео. А для нового драйверов нет.
| | |
|
|
| 2.130, User (??), 14:31, 10/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Еще-б программисты умели что-нибудь окромя как "программиздить" (И то - плохо) - нужды в "сопровождающих" бы и не возникло, но у них же - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен
| | |
| |
| 3.135, Аноним (-), 15:32, 10/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Еще-б программисты умели что-нибудь окромя ...
Прогромисты умеют. И даже иногда делают.
Но просто они ценят свое время и не хотят его тратить на поддержку всех безумных вариантов для кучи дистров. Вы сильно особенные и решили в своем НеИмеющемАналогов дистре поменять версии либ, пути, версию ядра, еще фиг знает что? Ну так прдольтесь с ним сами!
| | |
| |
| 4.153, User (??), 21:59, 10/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Еще-б программисты умели что-нибудь окромя ...
> Прогромисты умеют. И даже иногда делают.
> Но просто они ценят свое время и не хотят его тратить на
> поддержку всех безумных вариантов для кучи дистров. Вы сильно особенные и
> решили в своем НеИмеющемАналогов дистре поменять версии либ, пути, версию ядра,
> еще фиг знает что? Ну так прдольтесь с ним сами!
Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на компе стоит, да? Хорошо если в помянутом доскере, а то ведь и вовсе...
| | |
| |
| 5.159, нах. (?), 07:58, 11/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Да-да, и единственно ПРАВИЛЬНАЯ версия либ-и-ядра у "умельца" - дай угадаю, на
> компе стоит, да? Хорошо если в помянутом доскере, а то ведь
> и вовсе...
А в чем разница? Они ж доскер собирают FROM srach и COPY all.tar / в который умелец смахнул все крошки со своего рабочего стола, упаковав туда примерно весь свой WSL. Некогда разбираться что из этого нужное а что нет, спринт не ждет!
(в свое время из дыркера онлиофиса я выкинул примерно половину содержимого. Это не фром srach, это они честно старались пакетами ставить. Без малейшего похоже понятия, что в этих пакетах и зачем - "так у (с придыханием) РАЗРАБОТЧИКОВ!")
| | |
|
|
| 3.144, Аноним (-), 17:39, 10/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен
Что, завидно? Я вот видел как настоящие девопсы работают. И это было круто. Ну а ты по сравнению с ними будешь жалким бесполезным ненужно, соответственно. С совсем иным набором скиллов, таймингов решения задач, и - может тебе не говорили - но тупые лекции на тему "почему нет", вместо решенных задач, равно как решение долго, дорого, хреново и криво - это не очень ценный актив. Более менее приличные компании это давно уже поняли.
| | |
| |
| 4.152, User (??), 21:58, 10/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> - "лапки". Вот docker да - могли, но почти уже и разучились - "devops" нужен
> Что, завидно? Я вот видел как настоящие девопсы работают. И это было
> круто. Ну а ты по сравнению с ними будешь жалким бесполезным
> ненужно, соответственно. С совсем иным набором скиллов, таймингов решения задач, и
> - может тебе не говорили - но тупые лекции на тему
> "почему нет", вместо решенных задач, равно как решение долго, дорого, хреново
> и криво - это не очень ценный актив. Более менее приличные
> компании это давно уже поняли.
Уф. Вот как из тезиса "современные программисты уже и контейнеры собирать разучились - им для этого специально обученный devops нужен" делается вывод о "зависти devops'ам", ка-аак?!!! "Люди читают дупой"(Ц).
А уж восторженный (Аааах, Кееент!) рассказ о том, что Имярек Ленина видел - в смысле аж с ЦЕЛЫМ DEVOPS'ом знаком - может даже оффлайн пиво пил! (Картинка со снятыми трусиками и "А ты точно devops?!" не прилагается, но видимо подразумевается) и вовсе непересказуемо доставляет.
| | |
| |
| 5.155, Аноним (102), 02:05, 11/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Картинка со снятыми трусиками и "А ты точно devops?!" не прилагается, но видимо подразумевается) и вовсе непересказуемо доставляет.
Это реальность, а не картинка. Мне так на конфе в Сан-Диего одна программистка дала. Обсуждали в баре разницу между эксплуатацией и разработкой софта, и как часто бывают нестыковки на ровном месте типа логов. Она и говорит, мол, когда нужно что-то сделать — зови девопса. Ты ж девопс? Ну да, говорю, девопс, век пайплайна не видать. Тогда, говорит, веди в номера. А я не будь дурак и повёл. Все три ночи мы с ней компили и деплоили. А как она прод поднимала… Приятно вспомнить.
| | |
|
|
|
|
| 1.101, verh010m (ok), 22:30, 09/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 То есть новый более мощный компьютер покупать не надо? Патч отрицательно не ускоряет его?
| | |
|
