Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

OpenNews: Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL, opennews (??), 13-Май-08, (0) [смотреть все] Только CentOS Точка , Аноним (-), 23:33 , 13-Май-08, (1) // То, что не пишет про ЦентОС, не значит, что там нету уязвимостей Тот факт, что , vas (??), 23:52 , 13-Май-08, (2) // не пишется , vas (??), 23:53 , 13-Май-08, (3) Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты , Аноним (-), 23:59 , 13-Май-08, (4) // Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _, Аноним (12), 02:56 , 14-Май-08, (12) Слушайте, это даже не смешно https bugzilla redhat com , Анонимно (?), 11:31 , 14-Май-08, (21) У дебианщиков сроду паранойя Что в плане лицензий, что в плане секурити, что в п, User294 (ok), 03:49 , 15-Май-08, (51) Ни за какие коврижки Опять ткну пальцем в http bugs centos org view php id 2, Michael Shigorin (ok), 01:42 , 14-Май-08, (11) // А мейнтейнер не причем http marc info l openssl-dev m 114652287210110 w 2, anonymous (??), 08:55 , 14-Май-08, (17) Обалдеть какой удачный пример Дядька, если для вас глюк с железкой и блокировка , Анонимно (?), 11:28 , 14-Май-08, (20) Прошу прощения за нецензурщину заранее Господа, разницу почувствуйте Debian - д, Имя (?), 14:31 , 14-Май-08, (32) правильнее сказать - собранный из открытых исходников РХЕЛа, none (??), 16:32 , 14-Май-08, (34) Вообще не понял, что вы хотели этим сказать , Анонимно (?), 17:14 , 14-Май-08, (35) http bugs centos org view php id 1557И нет записи что проблема решена , User (??), 18:12 , 14-Май-08, (37) и , Анонимно (?), 12:05 , 15-Май-08, (54) То что Ваш CentOS тоже не без проблем Успокойтесь Все стараются решать проблемы, Аноним (-), 14:04 , 15-Май-08, (56) Я вообще живу под Fedora и мне хорошо , Foxcool (ok), 17:51 , 14-Май-08, (36) Замечательно А чего в федорином горе хорошего Тестовый полигон редхата он и есть, User294 (ok), 13:53 , 25-Май-08, (61) There is a slight difference between the test-spot and the circus In the last c, geekkoo (??), 14:46 , 26-Май-08, (62) Что-точка А если в каком-то пакете оного окажется дырень а пакетов много и это н, User294 (ok), 03:45 , 15-Май-08, (50) // Неосилившему rpm Пипец Вот чем конфигурежка в Дебьяне отличается от конфигур, Анонимно (?), 12:09 , 15-Май-08, (55) ещё многое впереди В свете темы -- где что корёжат, окромя как в редхате , Michael Shigorin (ok), 16:12 , 15-Май-08, (57) вот, блин, новость, vitek (??), 00:10 , 14-Май-08, (6) Респект админам Без тени иронии , PereresusNeVlezaetBuggy (ok), 00:27 , 14-Май-08, (7) молодцы ребята безопасность прежде всего , smn (??), 00:39 , 14-Май-08, (8) Каким местом думал кретин, выкативший этот идиотский патч Как хорошо, что я все, гость (?), 00:56 , 14-Май-08, (9) А нет ли ссылки на конкретный патч, вызвавший проблемы , Аноним (10), 01:09 , 14-Май-08, (10) // Есть https www pgpru com comment23189, spinore (??), 03:11 , 14-Май-08, (13) Дык как раз сегодня привалил апдейт по apt-get update apt-get upgrade - там ка, Аноним (12), 03:16 , 14-Май-08, (14) ХАЧУ эксплойту , pavlinux (ok), 04:38 , 14-Май-08, (15) // Вам не положено, это только для детей , sproot (ok), 07:14 , 14-Май-08, (16) молодцы ребята однозначно за то что ищут и за то говорят об этом открыто , Аноним (10), 09:39 , 14-Май-08, (18) Грамотный народ, расскажите в чем суть бага Есть у меня приватный и публичный к, fa (??), 10:55 , 14-Май-08, (19) // zless usr share doc openssh-server README compromised-keys gz, Аноним (12), 12:05 , 14-Май-08, (24) Ключи можно перебрать по подмножеству из примерно 260 000 вариантов Обычная маш, guest (??), 11:02 , 16-Май-08, (58) Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измер, Дмитрий Ю. Карпов (?), 11:59 , 14-Май-08, (22) // man urandom до просветления, Аноним (12), 12:07 , 14-Май-08, (25) Гдето я слышал что в какихто процессорах интел, просто снимается помеха с какого, Гость (?), 12:11 , 14-Май-08, (26) Апаратные существуют, но с ростом вычислительной мощности всеравно, ранше или по, Logo (ok), 14:04 , 14-Май-08, (30) Вы в своем репертуаре, Дмитрий , ilia kuliev (?), 15:58 , 14-Май-08, (33) Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет вну, geekkoo (??), 12:03 , 14-Май-08, (23) // 10000000000000000000, exn (??), 13:32 , 14-Май-08, (28) // Точнее даже будет сказать - пределывает все и вся только для своего дистрибутива, exn (??), 13:33 , 14-Май-08, (29) Это грабли о двух концах Не знаю насчёт грязных не встречался , но то, что ру, Michael Shigorin (ok), 18:03 , 28-Май-08, (64) Эх что-то не везёт Debian на узявимости, приводящие к неработоспособности их , ZANSWER (??), 12:59 , 14-Май-08, (27) // У других не лучше, но они молчат , Logo (ok), 14:06 , 14-Май-08, (31) // Эт - точна , Аноним (12), 18:22 , 14-Май-08, (39) Оказуеться виновником бага является сам ментейнер Debian, который сам же его пор, ZANSWER (??), 18:28 , 14-Май-08, (40) // закоментировал - для удобства отладки ну ошибся человек, с кем не бывает не о, Аноним (12), 18:44 , 14-Май-08, (42) // Если есть патч - шли его разработчикам А то эти distribution-specific патчи уже, geekkoo (??), 18:54 , 14-Май-08, (43)   // Возьмём хороший сферический дистрибутив в вакууме , Andrey Mitrofanov (?), 18:59 , 14-Май-08, (44)   Не понял Если есть патч, то что мешает отправите его разработчикам Или просто , geekkoo (??), 19:15 , 14-Май-08, (46)   полностью согласен, Вы абсолютно правы И в данной ситуации, разработчики из debi, Аноним (12), 19:10 , 14-Май-08, (45)   Насколько я понял, там всё малость сложнее и тупее В Debian натравливают val, PereresusNeVlezaetBuggy (ok), 20:14 , 14-Май-08, (48)   http www links org p 328, Аноним (-), 08:44 , 15-Май-08, (53) // Там есть ссылка на оригинальное обсуждениеhttp marc info t 114651088900003 r , Аноним (-), 04:20 , 17-Май-08, (60) всегда относился с достаточной долей сомнительности к привычке дебианистов нак, vehn (??), 18:38 , 14-Май-08, (41) Дырки в пакете дебиана, а пострадают - редхатовцы Потому, что дебиановци вытр, Аноним (12), 19:31 , 14-Май-08, (47) // Если подумать, то это вряд ли Вероятно, уязвимости подвержены debian-based серв, Акфтл (?), 00:16 , 15-Май-08, (49) gt оверквотинг удален Рекламный слоган Debian - you can never be sure http , geekkoo (??), 16:38 , 16-Май-08, (59) // http openwall com lists oss-security 2008 05 27 3, Michael Shigorin (ok), 17:58 , 28-Май-08, (63) Debian в своём репертуаре, ещё и убунту за собой потянет на дно , Sol (?), 12:28 , 30-Май-08, (65) // В своём репертуаре программисты openssl, не написавшие комментарии , Pilat (ok), 02:03 , 18-Июн-08, (66) 1,6,7,8,9,10,14,15,18,19,22,23,27,40,41,47,59,65

Сообщения

[Сортировка по времени | RSS]

	43. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."	+/–
	Сообщение от geekkoo (??), 14-Май-08, 18:54
	>> Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO* > >закоментировал - для удобства отладки. ну ошибся человек, с кем не бывает >? не ошибается только тот, кто ничего не делает. вот например >ZANSWER тока на форумах может языком чесать, поэтому он никогда не >ошибается. *BRAVO* ZANSWER, так держать ! :) Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "чтобы похудеть, ешьте вот это. и побольше!"	+/–
	Сообщение от Andrey Mitrofanov (?), 14-Май-08, 18:59
	>А то эти distribution-specific патчи >уже достали. В хорошем дистрибутиве все должно быть ванильным. "Возьмём хороший сферический дистрибутив в вакууме"...
	Ответить | Правка | Наверх | Cообщить модератору

	46. "чтобы похудеть, ешьте вот это. и побольше!"	+/–
	Сообщение от geekkoo (??), 14-Май-08, 19:15
	>>"Возьмём хороший сферический дистрибутив в вакууме"... Не понял. Если есть патч, то что мешает отправите его разработчикам? Или просто разработчики отказываются его принимать?  А потом приходится с кислым видом повторять -"Не ошибается тот кто ничего не делает". По-моему, пусть уж лучше каждый занимается своим делом \
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."	+/–
	Сообщение от Аноним (12), 14-Май-08, 19:10
	> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным. полностью согласен, Вы абсолютно правы. И в данной ситуации, разработчики из debian как ответственные люди - обсуждали с разработчиками openssl это исправление, но вот в чём проблема - ни первые ни вторые, не заметили этой ошибки...
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	48. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."	+/–
	Сообщение от PereresusNeVlezaetBuggy (ok), 14-Май-08, 20:14
	>> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным. > >полностью согласен, Вы абсолютно правы. >И в данной ситуации, разработчики из debian как ответственные люди - обсуждали >с разработчиками openssl это исправление, но вот в чём проблема - >ни первые ни вторые, не заметили этой ошибки... Насколько я понял, там всё малость сложнее (и тупее)... В Debian натравливают valgrind на OpenSSL. Тот ругается на строчку, связанную с чтением из неинициализированной области памяти. Недолго думая, в Debian строчку комментируют, и отсылают патчег в OpenSSL. Разработчики OpenSSL говорят, что патч некорректен, и через какое-то время делают свой фикс, не затрагивающий строчку, фигурировавшую в изначальном патче. Фактически PRNG в OpenSSL использует различные методы для увеличения энтропии, и один из них - чтение неинициализированной части стека. Прошу заметить: не в качестве единственного или основного метода, а в дополнение к другим, т.е., энтропия от этого не ухудшалась в любом случае. В Debian своим патчем затронули не только этот метод, но и результаты работы остальных методов... со всеми (ныне) вытекающими. Так что ошибка была замечена, но OpenSSL-разработчики не стали утруждать себя информированием о том, _почему_ исходный патч был некорректен, ну а Debian-овцы, положившись на valgrind ("миллионы мух не могут ошибаться!"), в итоге лажанулись. Тем не менее, как уже было не раз сказано, в Debian свои ошибки не побоялись открыто признать и оперативно исправить, и за это их _администраторов_ нельзя не уважать. BTW: http://daniel.molkentin.de/blog/archives/118-On-the-topic-of...
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема