https://opennet.me/openforum/vsluhforumID3/95367.html В списке рассылки разработчиков OpenBSD произошло (http://article.gmane.org/gmane.os.openbsd.tech/35731) заслуживающее внимания обсуждение (http://article.gmane.org/gmane.os.openbsd.tech/35722) с участием Тео де Раадт, из которого следует, что OpenSSH подвержен серьезной уязвимости. Утверждается, что уязвимы как минимум варианты OpenSSH используемые в FreeBSD. К сожалению, кроме голословных заявлений, подробности о характере проблемы не приводятся. Тео де Раадт отказался предоставить какие либо сведения об уязвимости, что вызвало некоторую критику в списке рассылки. <br><br>URL: http://article.gmane.org/gmane.os.openbsd.tech/35731<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=39561<br> https://opennet.me/openforum/vsluhforumID3/95367.html#80 Tue, 22 Apr 2014 10:37:07 GMT &gt; Тео написал вот это, буквально: &#171;фрибсд &#8212; мудаки, и поэтому ничего я им говорить не собираюсь. если вам интересно, пример мудачизма попросите у кузика.&#187; вот и всё.<br><br>Нет, не всё. Суть его выпада сводится к: 1) во FreeBSD (а также Juniper) дырявый OpenSSH; 2) МакКузик знает, почему им (фряхе) ничего не рассказывают (причем не ясно, Тео говорит лишь за себя или не только); и 3) эти причины довольно веские.<br><br>Сложность в том, что МакКузик нигде не говорит, что &#171;таки-да, Тео считает нас (или меня) мудаками и не рассказывает про дырку в нашем ссх; у нас есть достаточные основания считать, что дырка действительно есть; мудаками нас считают потому-то и тому-то&#187;, хотя я не вижу причин, почему бы этого не сделать, например, во внутренней рассылке разработчиков FreeBSD (если придавать широкой огласке по каким-то причинам нежелательно).<br><br>Мудаком здесь себя выставляет скорее Тео, а вовсе не МакКузик. Насколько я в курсе обсуждений в рассылках FreeBSD конкретно этого письма Тео, кроме как https://opennet.me/openforum/vsluhforumID3/95367.html#79 Sun, 20 Apr 2014 02:32:45 GMT &gt; И чего предполагается?<br><br>предполагается, что Тео ловит лулзы.<br> https://opennet.me/openforum/vsluhforumID3/95367.html#78 Sun, 20 Apr 2014 02:30:32 GMT при чём тут &#171;кузику известно про уязвимость&#187;? совсем навыки чтения поистёрлись? Тео написал вот это, буквально: &#171;фрибсд &#8212; мудаки, и поэтому ничего я им говорить не собираюсь. если вам интересно, пример мудачизма попросите у кузика.&#187; вот и всё.<br> https://opennet.me/openforum/vsluhforumID3/95367.html#77 Wed, 16 Apr 2014 12:45:39 GMT От смены BSD на GPL денег больше не станет.<br> https://opennet.me/openforum/vsluhforumID3/95367.html#76 Wed, 16 Apr 2014 02:37:47 GMT На самом деле Тео неплохо вбросил:<br>&gt;... as long as you aren't using FreeBSD or a derivative (hint: Jupiper), you are fine. That's the only place I know of an OpenSSH hole.<br>&gt;<br>&gt;Oh now I sense some angst. Please ask Kirk McKusick, he knows the story about why this &gt;is not being disclosed to FreeBSD.<br><br>Ну что, котятки, немного конспирологии? :)<br><br>Странно, что он ссылается на Кирка... Когда прошлой зимой забурлили говна по поводу использования RDRAND[1] и др., Тео не упустил возможность облить[2] FreeBSD помоями, заявив в интервью iTWire, в частности, что &#171;it is 10 years of FreeBSD stupidity. They don't know a thing about security. They even ignore relevant research in all fields, not just from us, but from everyone.&#187;<br><br>Спустя недели три в том же iTWire появляется спокойный и обстоятельный ответ[3] МакКузика, где он довольно подробно описывает, как во FreeBSD реализован /dev/random и вообще откуда весь сыр-бор.<br><br>В свете всего этого невольно возникают вопросы: 1) зачем Тео сейчас (10 апреля) у https://opennet.me/openforum/vsluhforumID3/95367.html#75 Wed, 16 Apr 2014 00:01:24 GMT &gt; Наоборот, хорошо, если дырку по-тихому заткнут, а не раструбят о ней на <br>&gt; весь нет, чтобы каждый малолетний кульхаксор ее поюзал.<br><br>Поэтому кулсисопы и не почешутся апдейтиться. Зато червяков и ботов прибавится, это да.<br> https://opennet.me/openforum/vsluhforumID3/95367.html#74 Tue, 15 Apr 2014 23:51:13 GMT &gt; но и в опен и у линуса и ко - тоже, рудименты, если быть честным.<br><br>Нифига себе рудименты у линуса. Защит туева хуча. Особенно преуспели openwall, если я правильно помню.<br><br> https://opennet.me/openforum/vsluhforumID3/95367.html#73 Tue, 15 Apr 2014 23:49:52 GMT &gt; А подробная информация об уязвимости, очевидно, стоит денег, да?<br><br>Знаешь, чувак, если апстрим сажает баги а потом еще и начинает лечить что информация о них стоит денег - с таким апстримом лучше не связываться. Особенно там где вопросы касаются криптографии.<br> https://opennet.me/openforum/vsluhforumID3/95367.html#72 Tue, 15 Apr 2014 23:48:48 GMT &gt; "Дырка есть" волнует только фбсд и джунипер -- очень волнует! Примерно на $0.<br><br>На сайте openssh.com последний абзац прямо сочится батхертом - "я тут как лох BSDшную лицензию юзал и поэтому мне не обломилось ни денег, ни патчей!"<br><br>