OpenForum RSS: 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck https://www.opennet.ru/openforum/vsluhforumID3/120963.html В проприетарном TCP/IP стеке Treck, который применяется во многих промышленных, медицинских, коммуникационных, встраиваемых и потребительских устройствах выявлено 19 уязвимостей, эксплуатируемых через отправку специально оформленных пакетов. Уязвимостям присвоено кодовое имя Ripple20. Некоторые уязвимости также проявляются в TCP/IP-стеке KASAGO от компании Zuken Elmic (Elmic Systems), имеющем общие корни c Treck...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53170<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#114 Mon, 22 Jun 2020 13:10:46 GMT Чтобы знать чем не пользоваться (стараться избегать, не доверять важное и т.п.)<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (pofigist) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#112 Mon, 22 Jun 2020 13:04:25 GMT Ха! Вот уж где откаты рулят, так это при внедрении опенсорца... Там все расходы - "консультации" в основном. Любимая статья откатчиков :)<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#111 Sun, 21 Jun 2020 18:18:26 GMT Наоборот, недостаточно дорогим для того, чтобы успешно прятать откаты.<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (ilyafedin) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#110 Fri, 19 Jun 2020 16:04:22 GMT &gt; Ага. И как же это сделать не затрачивая ресурсы машины на проверку <br>&gt; всего и вся, в том числе и ненужных? Как пример iptables <br>&gt; и shorewall. Первый нужно изучать и легко выстрелить в ногу, "безопасный" <br>&gt; и формирует правила для первого. Но видели бы вы эти правила <br>&gt; - там если разработчик ошибется то даже опытный юзер первого <br>&gt; не факт, что найдет где именно. Плюс создается много правил на <br>&gt; все так сказать случаи в жизни, которые конкретно в этом применении <br>&gt; никогда не наступят, а это все ресурсы компьютера.<br><br>Странная аналогия, у раста все проверки в compile-time<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#109 Fri, 19 Jun 2020 10:39:27 GMT Ага. И как же это сделать не затрачивая ресурсы машины на проверку всего и вся, в том числе и ненужных? Как пример iptables и shorewall. Первый нужно изучать и легко выстрелить в ногу, "безопасный" и формирует правила для первого. Но видели бы вы эти правила - там если разработчик ошибется то даже опытный юзер первого не факт, что найдет где именно. Плюс создается много правил на все так сказать случаи в жизни, которые конкретно в этом применении никогда не наступят, а это все ресурсы компьютера.<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (ilyafedin) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#108 Fri, 19 Jun 2020 01:08:19 GMT &gt;&gt; Об этом уже с десяток лет говорят. Пора бы уже понять, что <br>&gt;&gt; это не работает, CVE все также появляются и в таком же <br>&gt;&gt; количестве. Люди допускают ошибки, на то они и люди. Единственный способ <br>&gt;&gt; от них избавиться - убрать возможность их допускать. Что, собственно, раст <br>&gt;&gt; и делает.<br>&gt; Ну невозможно быть настолько тупым. Или таки возможно?<br>&gt; Ни в каком языке программирования невозможно убрать возможность логической ошибки.<br><br>Логической - нет<br>А вот всякие переполнения буферов и прочие из-за небезопасности работы с памятью - вполне<br>И пока одни это понимают, другие так и будут уираться в свои сишки/плюсы, делать CVE и убеждат ьсебя в том, что "это просто люди без опыта пишут"<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (antonimus) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#107 Fri, 19 Jun 2020 00:53:21 GMT &gt; Если бы профи писали ВСЕ компоненты, софт стоил бы как чугунный мост <br>&gt; - поэтому увы, часто мелочи отдают на откуп макакам.<br><br>Если бы ты был поумнее, не писал бы про чугунный мост.<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (antonimus) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#106 Fri, 19 Jun 2020 00:50:43 GMT &gt; Есть и обратное: вера в жипеель, мол в открытом коде сразу все <br>&gt; баги видны, не то что в этом вашем коммерческом софте.<br><br>Тебе про веру напели или сам сочинил?<br> 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck (antonimus) https://www.opennet.ru/openforum/vsluhforumID3/120963.html#105 Fri, 19 Jun 2020 00:48:04 GMT &gt; Об этом уже с десяток лет говорят. Пора бы уже понять, что <br>&gt; это не работает, CVE все также появляются и в таком же <br>&gt; количестве. Люди допускают ошибки, на то они и люди. Единственный способ <br>&gt; от них избавиться - убрать возможность их допускать. Что, собственно, раст <br>&gt; и делает.<br><br>Ну невозможно быть настолько тупым. Или таки возможно?<br>Ни в каком языке программирования невозможно убрать возможность логической ошибки.<br>