forum.opennet.ru

"Критическая уязвимость в сервисе Librem One, выявленная в де..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Критическая уязвимость в сервисе Librem One, выявленная в де..."	+/–
Сообщение от opennews (ok), 02-Май-19, 12:15
В сервисе Librem One, нацеленном на использование в смартфоне Librem 5, сразу после запуска (https://puri.sm/posts/the-new-librem-one-services/) всплыла критическая проблема (https://puri.sm/posts/underscoring-our-transparency-first-li.../) с безопасностью, которая дискредитирует проект, преподносимый как защищённая платформа для обеспечения приватности. Уязвимость найдена в сервисе Librem Chat и позволяла зайти в чат под любым пользователем, без знания параметров аудентификации. В использованном коде бэкенда авторизации через LDAP (matrix-appservice-ldap3) для сети Matrix была допущена ошибка (https://github.com/matrix-org/matrix-synapse-ldap3/commit/90...), которая оказалась перенесена и в код рабочего сервиса Librem One. Вместо строки "result, _ = yield self._ldap_simple_bind" было указано "result = yield self._ldap_simple_bind", что позволяло любому пользователю без авторизации войти в чат под любым идентификатором. Допустившие ошибку разработчики проекта Matrix утверждают (https://twitter.com/matrixdotorg/status/1123298776725303299), что проблема проявлялась только в master-ветке "matrix-appservice-ldap3", а не в релизах, но в репозитории проблемная строка присутствует (https://github.com/matrix-org/matrix-synapse-ldap3/commit/4b...) ещё с 2016 года (возможно условия для эксплуатации проблемы возникли только после каких-то других недавних изменений). Введённый в строй набор сервисов Librem One подразумевает платную подписку ($7.99 в месяц или $71.91 в год), но при этом за основу мобильных клиентов и серверных обработчиков взяты существующие открытые проекты, которые были переименованы (https://puri.sm/posts/how-purism-works-upstream-and-gives-back/) для распространения под брендом Librem. Например, Librem Chat является переименованным Matrix-клиентом Riot (https://github.com/vector-im/riot-android), Librem Social основан на Tusky (https://github.com/tuskyapp/Tusky), Librem Mail переименован из K-9 (https://github.com/k9mail/k-9), Librem Tunnel заимствован из Ics-openvpn (https://github.com/schwabe/ics-openvpn). Серверные компоненты основаны на Postfix и Dovecot для Librem Mail, Matrix (https://matrix.org/) для Librem Chat и Mastodon (https://mastodon.social/) для Librem Social. В качестве причины поставки приложений под другими названиями называется желать собрать под одним узнаваемым брендом различные децентрализованные сервисы на базе открытых стантартов (Matrix, ActivityPub, IMAP). URL: https://puri.sm/posts/underscoring-our-transparency-first-li.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=50616
Ответить \| Правка \| Cообщить модератору

Оглавление

Критическая уязвимость в сервисе Librem One, выявленная в де..., opennews, 02-Май-19, 12:15 [смотреть все]

Ну, Librem теперь можно разве что поздравить , freehck, 02-Май-19, 12:15 (1) //
- Что-то Matrix вообще не везет в последнее время , Аноним, 02-Май-19, 13:35 (17) //
  - просто им начали пользоваться кто-то кроме полутора его разработчиков Ничего, с, Аноним, 02-Май-19, 16:04 (32)
  - Жопоруким вообще часто не везёт , Аноним, 02-Май-19, 19:46 (54)
  - нафига этот матрикс вообще нужен есть более провереные и надёжные протоколы По, Dmitry77, 02-Май-19, 23:09 (71)
- Да, дырочка весьма кстати Теперь можно ещё раз отложить поставку по предзаказам, Аноним, 02-Май-19, 14:15 (22) //
  - Так дырка не в железе прошивке, а в онлайн-сервисе Так что не проканает, пусть , Аноним, 02-Май-19, 19:49 (55)
После этой истории отношение к Librem и Purism у меня сильно изменилось Громко , Аноним, 02-Май-19, 12:22 (2) //
- Ну конечно, знакомого интерфейса никто-никто бы не увидел А ovpn и tusky, извин, Аноним, 02-Май-19, 12:47 (6)
- В защищенных системах тоже существуют баги, особенно на старте Благо о проблеме , Аноним, 02-Май-19, 13:35 (16) //
  - Это, конечно, правда Вот только все эти защищённые из коробки сервисы есть по, freehck, 02-Май-19, 13:47 (18) //
    - вопрос в том что такие проблемы с софтом могут свидетельствовать о проблеме с , хотел спросить, 02-Май-19, 16:36 (36)
  - me погладил ёлочку , Michael Shigorin, 02-Май-19, 18:24 (47)
  - С какого бодуна 171 дикость 187 Подписка на сервисы, которые работают на их, Ключевский, 02-Май-19, 19:41 (53)
- Их ошибка тут есть, но всё же она не в том, что они допустили дырку, а в том, чт, Аноним, 02-Май-19, 19:52 (56)
Но ведь виноваты тут разрабы матрицы, а не либрема , Аноним, 02-Май-19, 12:25 (3) //
- Виноваты разработчики либрема, не выполнившие тестирование и аудит За что они с, Аноним, 02-Май-19, 14:00 (19) //
  - За железку и дистрибутив, как вариант Это уже немало, даже если бы дополнительн, Аноним, 02-Май-19, 19:54 (57) //
    - А зачем нужен такой дистриб и его ментейнеры Можно самому хоть из гита собирать, Аноним, 02-Май-19, 20:55 (66)
      - Ты так и делаешь, вероятно Сюрприз-сюрприз майнтейнеры дистрибутивов не проводя, Аноним, 02-Май-19, 21:41 (68)
        
        А, стейбл-ветка с заморозкой версий и портирование только патчей безопасности дл, Аноним, 03-Май-19, 11:44 (74)
        
        Не понимаю, каким образом ты мог сделать такой вывод, и тем более какое это всё , Аноним, 03-Май-19, 12:21 (79)
        
        --Сюрприз-сюрприз майнтейнеры дистрибутивов не проводят никакого аудита, разве , Аноним, 03-Май-19, 16:21 (85)
        
        Найдёшь десять отличий И мой тебе совет прежде чем бросаться умными словами ти, Аноним, 03-Май-19, 17:05 (87)
        
        А, попытка перевести разговор в русло что удобно тебе Не выйдет соскочить и при, Аноним, 03-Май-19, 21:26 (88)
        
        Молодец Теперь прочитай и то, что писал я В ч, Аноним, 04-Май-19, 00:09 (90)
        
        В чём я неправ , Аноним, 04-Май-19, 00:12 (91)
        Тебе уже сказали следить за тем с чего началось обсуждение - аудит и тестировани, Аноним, 04-Май-19, 01:10 (93)
        Так он и ответил, что maintainer-ы дистрибутивов не проводят ни аудита, ни тести, anonymous, 04-Май-19, 11:52 (94)
- А особенно не при делах усердно рекламировавшие этих пызнесменов анонимы , Аноним, 02-Май-19, 14:06 (20)
- Либремы предоставляли его под своим именем, так что в данном случае к матриксу н, Аноним, 02-Май-19, 15:07 (25)
Переименование сервисов Это кого-то мне напоминает Денис Попов постарался , Аноним, 02-Май-19, 12:26 (4) //
- Дениска, вроде, ещё и тексты лицензий удалял , Какаянахренразница, 02-Май-19, 12:38 (5)
- Purism делает готовый продукт для конечного протребления на базе свободных собс, anonymous, 02-Май-19, 12:49 (7) //
  - наивное летнее дитя На этом сайте каждый настраивает постфикс минимум раз в нед, Аноним, 02-Май-19, 13:07 (12) //
    - Железо для хостинга тоже бесплатное, очевидно, Аноним, 02-Май-19, 15:10 (26)
      - электроэнергия для этого всего тоже бесплатная, очевидно, Аноним, 02-Май-19, 15:44 (30)
      - очевиндо этот аноним не понимает сарказма, виндотролль, 02-Май-19, 22:20 (70)
    - я настриваю его максимум раз в год в связи со сменой серверачет не понимаю накой, хотел спросить, 02-Май-19, 16:38 (37)
      - наверное под настройкой подрузумевалось подкручивание header_checks или postscre, OpenEcho, 03-Май-19, 16:58 (86)
    - Брехня Я, например, этим не каждый год занимаюсь А за железо и электричество кт, Аноним, 02-Май-19, 21:46 (69)
    - И никто выше не понял что это был сарказм , Аноним, 18-Май-19, 02:22 (103)
- ага, эволюционировал , fleonis, 02-Май-19, 13:13 (13)
- Примерно каждого поставщика почтовых сервисов, который использует те же Postfix , Аноним, 02-Май-19, 19:57 (59)
Трэш какой-то с этими именами Разве трудно было просто взять и предустановить с, InuYasha, 02-Май-19, 12:49 (8) //
- Из ссылки из комментариев чуть выше даётся такой официальный ответ , anonymous, 02-Май-19, 12:52 (9) //
  - Я читал И это меня напрягает - т е что такое Watsup и Facebok юзеры знают и не, InuYasha, 05-Май-19, 14:31 (98) //
    - Прошу прощения, не понял о чём Вы Стандартно на телефонах и планшетах сейчас всё, anonymous, 06-Май-19, 22:33 (102)
      - Ну тогда и назвали бы Messages, а не librem chtototam, АнонАнон, 25-Сен-19, 18:07 (104)
- Опеннет эксперт решил что нужно весь софт называть его категорией Video player,, Аноним, 02-Май-19, 13:15 (14) //
  - Я бы не отказался Media player classicSound ForgeVideo Directorsndrec32 Есть ж, InuYasha, 05-Май-19, 14:36 (99)
- И то ли дело такие интуитивно-понятные названия, как Outlook, Edge, AIMP, Wina, Аноним84701, 02-Май-19, 15:18 (27)
result, _ Наркоманы блин, что уж сразу не result, _ - , А, 02-Май-19, 12:54 (10) //
- Обычное поведение для неиспользуемых переменных, в чём проблема , Аноним, 02-Май-19, 14:42 (24) //
  - У этого психологического феномена есть собственное название, но оно у меня начис, Аноним, 02-Май-19, 18:13 (43)
  - Зачем спецсимволы Зачем их так много result понятен всем, unset var понятен , А, 02-Май-19, 19:11 (51)
  - Оно обычно далеко не для всех языков и очень далеко от интуитивного Поэтому так, Аноним, 02-Май-19, 20:00 (60) //
    - Используется оно еще со времен Пролога, SML, в реляционной алгебре калькуляции, , Аноним84701, 03-Май-19, 11:46 (75)
      - О того, что какая-то форма записи используется давно, она не становится автомати, Аноним, 03-Май-19, 12:28 (80)
        
        Для паттерматчинга в этих ЯП она достаточно удачна foo x,y,_,_ и foo x,y,unuse, Аноним84701, 03-Май-19, 13:03 (82)
А PVS-studio 129412 для пайтона нет 128533 , iPony, 02-Май-19, 12:59 (11) //
- Не надоело коверкать греческий , Аноним, 02-Май-19, 14:11 (21)
- Для пайтона нет проблем тестами покрыть весь проект вдоль и поперёкИ так же нет , GG, 02-Май-19, 15:37 (28)
Что езе раз подтверждает ущербность matrix, Аноним, 02-Май-19, 13:27 (15) //
- Предлагай альтернативу, Аноним, 02-Май-19, 14:28 (23) //
  - XMPP, Tox, Аноним, 02-Май-19, 15:39 (29) //
    - сам на токсе сижу но почему он не развивается говорят новые девы не вытягиваю, хотел спросить, 02-Май-19, 16:40 (38)
      - слабенькие программисты сейчас пошли, только жс осиливают а в лучшем случае шар, Аноним, 02-Май-19, 18:10 (42)
    - позевывая в очередной раз Что там нам предлагается в очередной раз для использо, Аноним, 02-Май-19, 20:59 (67)
  - Jami Он хоть какой-то аудит проходил, к тому же serverless , Аноним, 02-Май-19, 20:02 (61)
  - Skype, WhatsApp, Viber, Аноним, 03-Май-19, 07:09 (73) //
    - Конечно, товарищ майор, только ими и пользуемся Как Вы могли сомневаться , Аноним, 03-Май-19, 12:29 (81)
Matrix снова порадовал нас дырой Почему я не удивлён Интересно, сколько ещё ин, Дон Ягон, 02-Май-19, 15:54 (31) //
- Референсный клиент на электроне - нуфф сэйд , Аноним, 02-Май-19, 16:27 (34) //
  - Тоже обращаю на такое внимание и считаю, что это, как минимум, звоночек , Дон Ягон, 02-Май-19, 16:29 (35)
- Справедливости ради, тут была тупо опечатка, а не какая-то ошибка в design-е при, anonymous, 02-Май-19, 17:29 (40) //
  - И что Поимеют тебя, а ты такой Сорян парни, нещитово Это не ошибка в дезигне, Дон Ягон, 02-Май-19, 18:20 (45) //
    - Понятно, вот это действительно выглядит как халатное отношение к security и priv, anonymous, 03-Май-19, 14:19 (84)
  - Это не опечатка Это мелкая ошибка, имеющая крупные последствия Процентов 95 вс, Аноним, 02-Май-19, 20:04 (62) //
    - Я убёжден, что в 99 крупных проектов есть такого рода опечатки Собственно, ког, anonymous, 03-Май-19, 14:16 (83)
Питон, такой питон , Аноним, 02-Май-19, 17:06 (39) //
- В данном случае эта ошибка универсальна для большинства нетипизированных языков , Аноним, 02-Май-19, 18:20 (46) //
  - s нетипизированных любимых макаками , виндотролль, 02-Май-19, 20:12 (64)
ну и дырища, Аноним, 02-Май-19, 17:42 (41)
Был бы сам телефон Librem 5, а софт и из исходников с официальных сайтов проекто, Аноним, 02-Май-19, 18:15 (44)
Уязвимости - то второстепенно Главное - как можно скорее выйти на рынок , Эффективный менеджер, 02-Май-19, 18:28 (48)
Питон особо не поможет или не помешает, кому как , если на весь компонент супе, Аноним, 02-Май-19, 18:59 (50)
Интересно какой лох после такого будет покупать у них что-то если и найдутся та, zower, 02-Май-19, 19:38 (52)
чего еще можно было ждать от питономакак, виндотролль, 02-Май-19, 20:11 (63)
И дыра Вот такой вот он, охрененный питоновский синтаксис , Аноним, 03-Май-19, 11:53 (76) //
- Критическая уязвимость в сервисе Librem One, выявленная в де..., Аноним, 03-Май-19, 11:54 (77)
Желная новость ни о чем Обычная бага Сервис ведь только создали Фиксится мгнов, Аноним, 03-Май-19, 12:15 (78) //
- хипстерский Даже хипстеры уже додумались до статической типизации Куда не пл, виндотролль, 03-Май-19, 22:27 (89)
- Это была довольно унылая попытка at downplaying, имейте в виду , Michael Shigorin, 04-Май-19, 00:31 (92)
Питон А что вы ожидали от динамически-типизированного языка , Аноним, 04-Май-19, 17:45 (95)
А кто нибудь пояснит смысл этого сервиса То есть компания будет собирать всю се, Аноним, 05-Май-19, 04:54 (96) //
- Вопрос не риторический сам не пользовался, поэтому не знаю А тот же Matrix ра, anonymous, 05-Май-19, 11:01 (97)
- Переписка в матриксе на серверах не хранится , Аноним, 05-Май-19, 21:02 (100)
Что-то я запутался, Librem 5 будет на андроиде , Анонимомус, 06-Май-19, 13:17 (101)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру