forum.opennet.ru

"OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Серверы инфраструктуры Fedora и Red Hat были взломаны"	+/–
Сообщение от Хоменко (?), 25-Авг-08, 17:26
>Шарящие в криптографии, видимо плохо шарили в программинге, если в качестве источника >энтропии использовали неинициализированный блок памяти. Насколько случайные там окажутся данные - >не знает никто. Мэйнтэйнер пофиксил использование неинициализированного массива, отсюда и были >проблемы. Если бы программисты использовали в качестве источника энтропии /dev/urandom, этого >бы не произошло. Вот оно! Именно этого комментария я и искал! И действительно, за самочинное исправление неинициализированной переменной в незнакомом коде, где нужна дешевая энтропия, мантайнера-дебиановца надлежит наказать не столько за само самоуправство, сколько за то, что не просигналил девелоперам. Потому как тут ящик с тройным дном может оказаться. Из каких соображений авторы openssh предпочли просто не проинициализировать тот массив, а не написать туда что-то на манер текущая_секунда по модулю текущая_минута (насчет доступности /dev/urandom -- а оно, кстати, есть ли на всех системах?) Ведь так же просто, издержки минимальные, и gcc ругаться не будет. С другой стороны, непроинициализированные переменные ловятся компиляторами с доисторических времен, и уж автор определенно знал о том массиве. Знал, но таки ж оставил! Нет, я все никак не могу вкурить и поверить, что такой сурьезный прожект -- и вот так по-школьному решает добывать энтропию. Кто действительно шарит и потрудился посмотреть в код и в дебиановский патч -- растолкуйте, действительно ли все так просто и самонадеянно там?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны, opennews, 23-Авг-08, 01:26 [смотреть все]

На самом деле единственное что в этой всей ситуации напрягло - я хочу обновить q, kost BebiX, 23-Авг-08, 01:26 (2)
that the intruder was not able to capture the passphrase used to securethe Fedor, Dmitri, 23-Авг-08, 01:32 (3) //
- Дело ясное,либо кто-то из своих же разработчиков, простите, про бал ключ и ником, dry, 23-Авг-08, 13:26 (21) //
  - Еще он мог потерять ключ и не знать об этом Например Снял блондинку в баре, п, Dmitri, 23-Авг-08, 23:38 (45)
- Ну да, как признаться, что у супербезопасного RHL дыра Это только Debian новцам, Logo, 23-Авг-08, 17:19 (30)
Фигасе, чё вытворяют с основными серваками обоих проектов А ведь только здесь, Alex, 23-Авг-08, 03:09 (4) //
- Ну, когда МИЛЛИОНЫ виндовых машин регулярно шлют спам и т п - почему-то никто н, User294, 23-Авг-08, 03:27 (5) //
  - МИЛЛИОНЫ машин пусть шлют спам А вот взломанный РЕПОЗИТОРИЙ RH - это нечто чуть-, Щекн Итрч, 23-Авг-08, 08:51 (8) //
    - Мне кажется что когда одним можно срать по всей планете и все настолько к этому , User294, 25-Авг-08, 03:04 (49)
  - Смерь одного - трагедия, смерть миллионов - статистика с И В Сталин , alen, 23-Авг-08, 11:53 (14) //
    - А вот тут http bibliotekar ru encSlov 17 132 htm пишут что это говорил совсем , Аноним, 23-Авг-08, 23:01 (41)
      - Вот и к перманентным горам гуано лезущего с виндовых машин так вот привыкли Да, , User294, 25-Авг-08, 03:08 (50)
      - А года смерти Сталина и написания данного произведения ни о чем не говорят , Insa88, 25-Авг-08, 10:08 (61)
      - gt оверквотинг удален Берите шире Человеку просто свойственно привыкать ко все, dexter, 25-Авг-08, 15:25 (63)
- Правильно порутатое вторжение обнаружить очень сложно Логи надо вести, и ве, Щекн Итрч, 23-Авг-08, 08:59 (9) //
  - любую атаку можно отследить, если есть поддежка гб на уровне стран, Аноним, 23-Авг-08, 10:51 (13) //
    - ТОЛЬКО если есть поддержка логов на уровне местного админа , Щекн Итрч, 23-Авг-08, 14:20 (23)
      - 100, Logo, 23-Авг-08, 17:23 (31)
      - самомнение губит детей , Аноним, 23-Авг-08, 19:33 (33)
        
        Не совсем понимаю, за что выступаете Но если против, скажем, моего мнения Тог, Щекн Итрч, 23-Авг-08, 20:52 (34)
    - Угу, а хакеры по вашему клинические дебилы Знаете сколько есть методов сделать в, User294, 25-Авг-08, 03:14 (51)
- в 2002 был взломан оф сайт openbsd, как известно самой секурной ОСи по дефолту , Аноним, 23-Авг-08, 21:48 (38)
Кстати о птичках я тут вспомнил что видел апдейт ssh кой-где недавно, это не, User294, 23-Авг-08, 04:50 (6) //
- А если скачать их скрипт http www redhat com security data openssh-blacklist h, Bod, 23-Авг-08, 17:30 (32) //
  - Он смотрит md5 по списку известных как левопакеты правоподписанные Кстати, дов, Michael Shigorin, 23-Авг-08, 21:28 (35)
  - Качал, смотрел Совершенно бесполезная конструкция для всех кроме пользователей к, User294, 25-Авг-08, 02:50 (48) //
    - Эт-та а куда универсальней быть решению проблемы с конкретным неавторизованны, Michael Shigorin, 25-Авг-08, 17:36 (66)
      - Проблема в том что полной картины нет Ни как на сервера попали хацкеры, ни что о, User294, 25-Авг-08, 20:51 (74)
миф о надежности и неломаемости линупса развенчан, причом сломан один из самых р, Аноним, 23-Авг-08, 09:59 (10) //
- password, user i ip ne dat tebe k, k, 23-Авг-08, 10:29 (11)
- Только лохи верят сказкам о неломаемости Вчера в этом убеждались опёнковцы, се, Michael Shigorin, 23-Авг-08, 12:37 (18)
- По-моему, Вы слишком торопитесь с глобальными выводами Мы пока даже не знаем, им, remi, 23-Авг-08, 14:16 (22)
- Ты идиот что ли Или дебил Украли КЛЮЧ от openssh, а не Red Hat взломали, Аноним, 23-Авг-08, 14:23 (24) //
  - Вообще-то получили неавторизованный доступ к ключу gpg, которым подписываются па, Michael Shigorin, 23-Авг-08, 21:31 (36)
- Ой, откуда таких специалистов то повылезло с дефектами речи Шамкают тут как стар, User294, 25-Авг-08, 05:11 (55)
Может я что то не понял но там было про уязвимость OpenSSH при работе с протокол, Аноним, 23-Авг-08, 10:30 (12) //
- Жалко это признавать, но статистика не врёт Чем более популярной становится ОС, Vovanxx1, 23-Авг-08, 11:59 (15) //
  - причём здесь ОС, если взлом был через стыренный пароль Точно также можно взл, lelik, 23-Авг-08, 12:12 (16) //
    - Скажи чем в данном контексте отличается стырили от взлом Почему им тогда не, Vovanxx1, 23-Авг-08, 12:22 (17)
      - особенно ничем Ещё у стырили есть синоним скомпрометировать , lelik, 23-Авг-08, 15:58 (28)
  - Помогает всё-таки оценивать происходящее адекватно, по возможности понимая суть , Michael Shigorin, 23-Авг-08, 12:46 (19) //
    - Серверы инфраструктуры Fedora и Red Hat были взломаны, Vovanxx1, 23-Авг-08, 13:02 (20)
      - чего то про уязвимость ОС я ничего пока не нашёл может ни там читаю -D, vitek, 23-Авг-08, 14:54 (26)
Ай-яй А сколько было вони по поводу OpenSSL Debian Оказывается все мы смер, Logo, 23-Авг-08, 17:14 (29) //
- Дык не нужно Выводы вот делать стоит хотя бы на своём уровне ну и подождём , Michael Shigorin, 23-Авг-08, 21:33 (37)
- Вы разницу не видите В случае Дебиана был факт изменения кода openssh неграмотн, mv, 23-Авг-08, 22:06 (39) //
  - Поддерживаю точку зрения целиком и полностью И еще они Red Hat вполне могли , Все тот же аноним, 23-Авг-08, 23:02 (42) //
    - согласен полностью , vitek, 23-Авг-08, 23:11 (43)
    - Дык блин, ну и где описание метода взлома И хотя-бы какое-либо описание что из с, User294, 25-Авг-08, 03:21 (52)
  - ну пусть будет всё-же opensslмантайнер ктати сказать всё-же очень даже грамотный, pavel_simple, 23-Авг-08, 23:17 (44) //
    - Я бы не стал смешивать грамотность и активность в угоду линтерам и valgrind, Michael Shigorin, 24-Авг-08, 23:52 (47)
- С и они при всем уважении к дебиану Если уж не шарите в криптографии - нефиг, User294, 25-Авг-08, 03:25 (53) //
  - Смайлик прощает такое заявление, но на всякий случай хочу сказать вот что Debian, www2, 25-Авг-08, 08:50 (57) //
    - 1 http www gnu org software gnutls manual gnutls html Compatibility-with-the-, pavel_simple, 25-Авг-08, 09:11 (58)
    - Да потому и стоит Я уважаю их за проделанную работу Но хочу все-таки сказать что, User294, 25-Авг-08, 09:36 (59)
      - С вами и с Аноним1 я спорить не собираюсь Вы те ещё тролли, поберегу своё вре, www2, 25-Авг-08, 10:01 (60)
        
        А я разве тут предлагал о чем-то спорить Я всего лишь выразил неудовольствие нек, User294, 25-Авг-08, 20:37 (72)
      - 1 насколько понимаю, это было design decision2 используют http www openssl , Michael Shigorin, 25-Авг-08, 17:47 (68)
        
        Прочитал по ссылке - действительно используют dev u random Почему тогда исключ, www2, 25-Авг-08, 18:10 (69)
        
        мутных без аналогий без мутных аналогий, www2, 25-Авг-08, 18:13 (70)
        Из того, что читал -- не помню уже, перечитывать сейчас неинтересно Не, шланг --, Michael Shigorin, 26-Авг-08, 12:27 (78)
        
        Уже почитал заметку в LJ Витуса Вагнера http vitus-wagner livejournal com 279, www2, 26-Авг-08, 12:59 (80)
        Про ed2k клиент, если уж говорить точнее Осел такой же вариант торента как HTTP , User294, 01-Сен-08, 10:42 (84)
        
        Ну-ну, на Вас только время тратить Я же прекрасно знаю, что Ваши вопросы неисся, www2, 01-Сен-08, 10:55 (85)
        
        Просто суть бага до меня не доходит Нафиг нужен девайс якобы выдающий рандом есл, User294, 25-Авг-08, 20:46 (73)
        
        Да Вы, батенька, развращены тем, что если цифра -- так всё можно - Из вселенной, Michael Shigorin, 26-Авг-08, 12:33 (79)
        
        Уй А что, какой-нибудь там тепловой шум оцифровать - не прокатывает Или как всег, User294, 01-Сен-08, 10:57 (86)
        
        Дык это ж Сертифицированная Область, соответственно тама Сертифицированные Решен, Michael Shigorin, 03-Сен-08, 00:44 (87)
    - IMHO, использовать неинициализированные данные из необнулённых страниц можно тол, Дмитрий Ю. Карпов, 25-Авг-08, 15:11 (62)
      - dev random - быстрый источник псевдослучайных чисел, dev urandom - как раз исто, www2, 25-Авг-08, 15:52 (64)
        
        эээвообще-то всю жизнь наоборот было , just_another_anonymous, 27-Авг-08, 06:12 (81)
        
        1 Очепятка 2 Оказалось, что неинициализированный массив не являлся источником , www2, 27-Авг-08, 07:24 (82)
    - Вот оно Именно этого комментария я и искал И действительно, за самочинное испра , Хоменко, 25-Авг-08, 17:26 (65)
      - Насколько я знаю, мэйнтейнеры Debian никогда не лезут в код своими ручками, если, www2, 25-Авг-08, 17:37 (67)
        
        они мантайнер Debian и разраб openssl писали друг-другу письмапотом на какой-т, pavel_simple, 25-Авг-08, 19:53 (71)
        Ещё как лезут -- жизнь такая PS вообще этот вопрос довольно подробно разбирался, Michael Shigorin, 26-Авг-08, 12:21 (77)
а вы уверены что RH так вам и выложила всю правду нюню , Vulzscht, 24-Авг-08, 01:18 (46) //
- Да к парированию проблемы трудно придраться, редхат вроде грамотно парировал про, User294, 25-Авг-08, 03:28 (54)
в новости сказано, что репозиторий CentOS не пострадал, так с чего бы он мне обн, Гость, 25-Авг-08, 05:33 (56) //
- Вариантов я вижу 2 - или они обновили ssh с подачи редхата или хакеры решили что, User294, 25-Авг-08, 21:51 (75)
Что касается обновления OpenSSH для CentOS, то обновлении мне приходила новость , Аноним, 26-Авг-08, 12:16 (76)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру