Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..., opennews (?), 29-Янв-20, (0) [смотреть все] +1 это не уязвимость, повторяю, НЕ УЯЗВИМОСТЬ в OpenBSD уязвимостей нет, а все серв, Spoofing (?), 09:57 , 29-Янв-20, (1) –7 // Найс аутотренинг, Аноним (5), 10:08 , 29-Янв-20, (5) +11 // Это не аутотренинг, это стёб над позицией разработчиков опёнка , pda (?), 13:43 , 29-Янв-20, (30) +5 // Демонстрирующий, главным образом, непонимание этой самой позиции , Дон Ягон (ok), 13:50 , 29-Янв-20, (31) +2 Так разъясните Они любят заострять внимание на Only two remote holes in the de, pda (?), 03:08 , 31-Янв-20, (131) Only two remote holes in the default install, in a heck of a long time - это , Дон Ягон (ok), 14:53 , 31-Янв-20, (145) Потому что выглядит как попытка ввести в заблуждение Люди ожидают от default i, pda (?), 00:42 , 03-Фев-20, (156) Для кого Для тех, кто не умеет читать Для тех кто не в курсе про наличие темати, Дон Ягон (ok), 12:39 , 03-Фев-20, (157) Разработчики OpenSMTPD говорят, что есть Но тебе, конечно, виднее Qualys has f, Дон Ягон (ok), 12:21 , 29-Янв-20, (20) +4 // Спасибо ребятам из Qualys, которые на деле показали, что OpenBSD мало чем отлича, XL (?), 13:14 , 29-Янв-20, (24) –6 // Конечно, мало чем Всего лишь реакцией за считанные дни и часы вместо замалчиван, Аноним (26), 13:27 , 29-Янв-20, (26) +4 Ага, и не в первый раз уже Как ни найдут дыру в OpenBSD, так сразу на деле пок, Дон Ягон (ok), 13:30 , 29-Янв-20, (27) +9 Ты зачем сразу с козырей то зашел , ssh (ok), 13:38 , 29-Янв-20, (28) +2 То есть преимущество OpenBSD над другими системами это настройки по умолчанию Т, Zulu (?), 16:24 , 29-Янв-20, (50) –6 Это один из способов снижения вреда от уязвимостей Естественно, всех проблем не, Дон Ягон (ok), 17:12 , 29-Янв-20, (59) +1 Я стараюсь намекнуть на то, что безопасность надо сравнивать при сопоставимых фу, Zulu (?), 18:09 , 29-Янв-20, (69) Смотря в каком контексте рассматривать Если речь об использовании OpenSMTPD как , Дон Ягон (ok), 18:24 , 29-Янв-20, (74) Зачем тогда в принципе устанавливать программу, которая в дефолтных настройках , sstj3n (?), 20:37 , 29-Янв-20, (89) +1 вздыхает Ты не знаешь, зачем нужен локальный почтовик в юниксах UPD И да, блин, Дон Ягон (ok), 21:05 , 29-Янв-20, (91) +2 Речь не о том, зачем он там нужен, а о том, насколько он необходим для функциони, sstj3n (?), 10:31 , 30-Янв-20, (112) В стандартной поставке он нужен рутовые нотификации , далее ты можешь настроить, Дон Ягон (ok), 13:34 , 30-Янв-20, (123) Как же туго-то Суть примеров если то, что ты называешь адекватными настройка, sstj3n (?), 09:43 , 31-Янв-20, (142) Ты или слушаешь в пол уха или не хочешь понимать меня, похоже Core functionality, Дон Ягон (ok), 15:50 , 31-Янв-20, (146) В смысле письма от всяких демонов на root host Как мне показалось, формулировка, Дон Ягон (ok), 03:00 , 01-Фев-20, (154) Зачем вообще локальному почтовику слушать smtp Насколько я помню в debian exim , Анонимус2 (?), 11:21 , 30-Янв-20, (113) И зачем, если локально хватает MTA типа DMA man dma, Аноним (122), 13:24 , 30-Янв-20, (122) +1 DMA - очень хороший вариант, да и вообще стрекоза мне нравится В OpenBSD вмес, Дон Ягон (ok), 13:37 , 30-Янв-20, (124) +1 Я обманул, инсталлятор спрашивает о том, запускать по дефолту или нет , Дон Ягон (ok), 03:19 , 01-Фев-20, (155) Мы и не продаём слона , Аноним (66), 18:00 , 29-Янв-20, (66) Т е General Motors, JPL не в счет , OpenEcho (?), 16:55 , 29-Янв-20, (53) +1 Можно каких-то пруфов Не то, чтобы я сомневаюсь или не верю, просто люблю, когд, Дон Ягон (ok), 17:22 , 29-Янв-20, (61) Информация инсайдерская, поэтому сорри, пруфов не будет, хотите верьте, хотите н, OpenEcho (?), 19:30 , 29-Янв-20, (78) +1 Ничего в моей жизни не изменится от того, поверю я или нет Также ничего не изме, Дон Ягон (ok), 19:37 , 29-Янв-20, (81) Полностью согласен, sorry, просто обидно за опенку стало, сорвалось Надеюсь ли, OpenEcho (?), 19:45 , 29-Янв-20, (82) Разумеется Это вебмакаки опять тру ветеранам сишникам из BSD баги в код залили , Аноним (80), 19:34 , 29-Янв-20, (80) –1 // Мсье сейчас, разумеется, расскажет, как от ЛОГИЧЕСКИХ ошибок в АЛГОРИТМЕ страхуе, Michael Shigorin (ok), 12:53 , 30-Янв-20, (116) +2 // Простите, Михаил, но тут не какие-то абстрактные логические ошибки Конкретно эт, Аноним (80), 15:37 , 30-Янв-20, (130) –2 Это какой-то очень специфичный вариант юниксвэя - так странно sh звать прямо хар, Аноним (-), 06:59 , 31-Янв-20, (133) https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон (ok), 17:50 , 31-Янв-20, (150) Это юниксвей тот самый, изначальный, лазоревый, который worse is better Простот, Аноним (80), 18:50 , 31-Янв-20, (153) 15 8211 поняли очевидный сарказм-23 8211 не поняли, Аноним (83), 19:58 , 29-Янв-20, (83) +1 Э, вот пардон, сервис под маркой OpenSMTPD изначально маркетировавшийся как с, Аноним (-), 06:57 , 31-Янв-20, (132) // Qmail When a mail message arrives, qmail-local runs sh -c command in your home, Дон Ягон (ok), 17:21 , 31-Янв-20, (147) define BUG FEATURE, мде , Аноним (-), 07:50 , 31-Янв-20, (138) Неуловимого Джо таки поймали И при этом, к его большому огорчению, поймали не с, A.Stahl (ok), 09:58 , 29-Янв-20, (2) –11 // https mobile twitter com OpenSMTPD status 1222288467046076417А это он так пыта, антикудах (?), 11:47 , 29-Янв-20, (19) +8 На странице Goals их сайта первая же строка Be as secure as possible , Аноним (4), 10:02 , 29-Янв-20, (4)   // Что-то execle bin sh , bin sh , -c , mda_command, не выглядит в этом к, Аноним (-), 07:07 , 31-Янв-20, (134)   // https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон (ok), 17:51 , 31-Янв-20, (151)   Вообще я бы за такое выгонял из профессии навсегда, но в секьюрном бсд видимо лу, Анонимус2 (?), 10:16 , 29-Янв-20, (6) –2 // Будьте так добры, накидайте ссылочек, как необходимо делать по вашему мнению , Аноним (11), 10:47 , 29-Янв-20, (11) +3 // Оне выгонять учились, а не тому как надо делать , Нононим (?), 10:54 , 29-Янв-20, (13) +4 Смотри postfix, Аноним (22), 12:40 , 29-Янв-20, (22) –3 // Тот же postfix тоже позволяет запускать команду mda шеллом https github com vd, Дон Ягон (ok), 13:20 , 29-Янв-20, (25) +1 Не совсем То что он недостаточно хорошо проверяет -- это проблема Но то, что о, Ordu (ok), 14:52 , 29-Янв-20, (41) +5 Для начала, спасибо за развёрнутое сообщение с текстом по существу вопроса Если , Дон Ягон (ok), 15:13 , 29-Янв-20, (44) +1 Во-первых, там не нужна валидация Нельзя сказать, чтобы совсем не нужна, но сра, Ordu (ok), 17:43 , 29-Янв-20, (62) Описанная проблема понятна, её разработчики OpenSMTPD пытаются решать списком до, Дон Ягон (ok), 20:04 , 29-Янв-20, (86) Да, но и тем не менее логическая ошибка в коде экранизации привела к возможности, Ordu (ok), 00:27 , 30-Янв-20, (102) Сори за долгий ответ, не хотелось отвечать совсем не подумав Я такого способа не, Дон Ягон (ok), 14:38 , 30-Янв-20, (129) Ну да, в случае libsh условного , мы бы вызывали саму программу Но тогда бы да, Дон Ягон (ok), 20:54 , 29-Янв-20, (90) Спс, Аноним (11), 13:55 , 29-Янв-20, (32) В postfix было так https www exploit-db com exploits 34896Уязвимость в bash C, Аноним (109), 01:14 , 30-Янв-20, (109) Не делать вызов sh программно вообще никогда, не видел пока ни одной программы с, Анонимус2 (?), 11:35 , 30-Янв-20, (114) // Во-во А если какие-то параметры отдать надо - то наверное все-таки не в sh -c, , Аноним (-), 07:11 , 31-Янв-20, (135) Просто нужно запретить создание произвольных процессов Вместо этого при вызове , Аноним (7), 10:30 , 29-Янв-20, (7) +1 // SELinux это умеет Или другое решение , Аноним (83), 20:02 , 29-Янв-20, (84) // Нет, не умеет Это capability-based security См не взлетевший cloudABI , Аноним (7), 00:31 , 30-Янв-20, (103) SELinux в OpenBSD , phaoost (ok), 11:39 , 30-Янв-20, (115) // У них, кстати, pledge есть Он что, не умеет лимитировать параметры сисколов Вп, Аноним (-), 07:14 , 31-Янв-20, (136) на селе можно, но для 99 цЫкурити-админов сильно сложно ибо редхад методички, исчо_адын_гентушнег (?), 16:22 , 04-Фев-20, (159) Ага, все-таки можно настраивать сервер через SMTP А то все SSH, да SSH , Аноним (15), 10:56 , 29-Янв-20, (15) +10 // Ну блин всегда так делал, а тут понабежали Повторяю это НЕ БАГ, это фича , neAnonim (?), 11:11 , 29-Янв-20, (16) –4 // Именно АНБ просили сделать возможнность , им сделали А тут пришли какие-то ан, Аноним (37), 14:42 , 29-Янв-20, (37) ЫХыххыхы , Аноним (17), 11:15 , 29-Янв-20, (17) +2 Неуловимый Джо отбегался по прериям , Аноним (18), 11:44 , 29-Янв-20, (18) –6 // И ни меча, ни лат, и лицом в салат до утра - вот и все дела , Аноним (87), 20:16 , 29-Янв-20, (87) Двоякие ощущения С одной стороны хорошо, что нашли, с другой - похожее уже было, Дон Ягон (ok), 12:27 , 29-Янв-20, (21) +3 Самая бестолковая из всех bsd и этот хайп про безопасность ОС для фанатиков , Аноним (-), 13:09 , 29-Янв-20, (23) –4 // Есть ещё NetBSD, которая без хайпа , Аноним (37), 14:43 , 29-Янв-20, (38) –1 // и без каких-либо заметных достоинств вообще , Аноним (40), 14:51 , 29-Янв-20, (40) –2 // Это, конечно же, не так NetBSD вполне себе достойная ОС , Дон Ягон (ok), 14:56 , 29-Янв-20, (42) +1 Как минимум там есть Чеусов - , Michael Shigorin (ok), 12:57 , 30-Янв-20, (117) Мне это мало о чём говорит Погуглил, нашёл про nih пакетный менеджер , вспомни, Дон Ягон (ok), 13:45 , 30-Янв-20, (125) NetBSD и по безопасности внезапно, да , и по сетевой подсистеме и по многим д, 11 (?), 16:16 , 29-Янв-20, (46) При всех моих симпатиях к NetBSD как и к прочим BSD-системам , в комментарии на, Дон Ягон (ok), 16:55 , 29-Янв-20, (54) +4 Опять словоблудие Ещё себе пару плюсиков поставь Секта она и есть секта , Аноним (-), 21:12 , 29-Янв-20, (93) –2 Зато ты предельно конкретен, ага Сколько надо, столько и поставлю, у тебя спрошу, Дон Ягон (ok), 21:25 , 29-Янв-20, (96) От openssh ты конечно уже отказался , Аноним (55), 17:04 , 29-Янв-20, (55) Отродясь не пользовался , Аноним (-), 21:11 , 29-Янв-20, (92) дропбер путти локалхост онли одмин твое все , Аноним (98), 21:33 , 29-Янв-20, (98) +3 Тогда скорее Далее, далее, далее, ОК , Michael Shigorin (ok), 12:58 , 30-Янв-20, (118) Она работает на VAX И на тостерах , Аноним (83), 20:03 , 29-Янв-20, (85) HammerFS Единственные из BSDшников кто смог хотя-бы попытаться сделать приличну, Аноним (-), 09:51 , 31-Янв-20, (143) HAMMER разрабатывается в DragonflyBSD, Мэттом Диллоном и компанией В NetBSD UFS , Дон Ягон (ok), 17:24 , 31-Янв-20, (148) У NetBSD нет слогана и она оплачивает аудит http blog netbsd org tnf entry ne, Аноним (-), 01:58 , 30-Янв-20, (110) https packages debian org bullseye opensmtpdhttps centos pkgs org 7 epel-x86, Аноним84701 (ok), 13:43 , 29-Янв-20, (29) +4 // Этих шутов из OpenBSD имеет смысл содержать только ради openssh Что, собственно, Аноним (37), 14:49 , 29-Янв-20, (39) –6 // Перепиши openssh на своём любимом яваскрипте и тебе не придётся больше содержать, Хороним (?), 14:57 , 29-Янв-20, (43) +3 А как все на exim гнали когда полгода назад уязвимость у него выявили У всех та, suffix (ok), 14:15 , 29-Янв-20, (33) –1 // Всё-таки есть разница между наличием ошибок в принципе и положенным на безопасно, Дон Ягон (ok), 14:25 , 29-Янв-20, (34) // sh -c с параметрами сформированными из юзерских данных так и хочется назвать бол, Аноним (-), 07:17 , 31-Янв-20, (137) // Процитирую сам себя Qmail When a mail message arrives, qmail-local runs sh -c c, Дон Ягон (ok), 17:32 , 31-Янв-20, (149) Так вы посравнивайте, что и в каких количествах находили у exim в тот же период , Аноним (26), 14:32 , 29-Янв-20, (36) +1 // То что , Аноним (55), 17:07 , 29-Янв-20, (56) // То сидите дальше на своей пороховой бочке, только не удивляйтесь, что менее скло, Michael Shigorin (ok), 12:59 , 30-Янв-20, (119) Не пойму, что здесь многие уцепились, за BSD или за людей с недостаточным или н, Аноним (11), 16:03 , 29-Янв-20, (45) Заметил забавную тендецию, что в теме где встречается фэйлы про опенку очень зна, VeryWideOpenBSD (?), 16:18 , 29-Янв-20, (47) –2 // Советую последить за Доном Ягоном, если он в новости, то обычно минусы встречают, Аноним (-), 16:23 , 29-Янв-20, (49) –2 // Советую проследить за анонимами Если они в новости, то минусы встречаются везде, Аноним (-), 16:35 , 29-Янв-20, (52) +1 Естественно я ставлю минусы тем, кто пишет херню с моей точки зрения в мере по, Дон Ягон (ok), 17:18 , 29-Янв-20, (60) +3 // Так-то пока херню тут пишешь только ты Причём огромные простыни потока сознания, lorovec (?), 21:26 , 29-Янв-20, (97) –2 Ну раз ты так сказал Даже если так, то не по той причине, что там нашли о, Бо, Дон Ягон (ok), 21:49 , 29-Янв-20, (100) +1 Это я, ленивый Перерезус лень логиниться , пока ещё агрюсь И ловлю кучу минусо, Аноним (26), 01:09 , 30-Янв-20, (104) +1 Пора перебарывать лень привет А на User294 не обижайся, его я покусал, когда , Michael Shigorin (ok), 13:03 , 30-Янв-20, (120) Меня одно время тоже задолбали BSDшники вопящие в всех ветках про линух И вот т, Аноним (-), 08:33 , 31-Янв-20, (140) –1 Спасибо на добром слове, коли не шутите , Дон Ягон (ok), 13:59 , 30-Янв-20, (127) Перерезус, просто для сведений 1 Я технически не могу ставить минусы JS тут, Аноним (-), 08:31 , 31-Янв-20, (139) 129318 129318 129318 21й век, а openBSD разрабы еще в 20м , pin (??), 16:22 , 29-Янв-20, (48) –1 // Ага, в 21 веке shell же отменили, на новый год президент как раз выступал с этим, Аноним (55), 17:10 , 29-Янв-20, (58) // Ну да, писать на C и дергать из него shell Месье знает толк , pin (??), 18:48 , 29-Янв-20, (75) // Действительно, когда уже execve сделают deprecated , Аноним (26), 01:10 , 30-Янв-20, (105) Execve с параметрами из юзерского ввода вообще стремноватая затея, а когда там к, Аноним (-), 08:35 , 31-Янв-20, (141) https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон (ok), 17:52 , 31-Янв-20, (152) Почитал тему К чему эти бессмысленные простыни текста от юзеров опёнка Какие-т, Iron_ (?), 16:29 , 29-Янв-20, (51) –2 // А вы, простите, кто, что бы оценки раздавать качеству кода , Аноним (55), 17:09 , 29-Янв-20, (57) +1 А в чём смысл этих срывов покровов про безопасность OpenBSD почти в каждой теме , Дон Ягон (ok), 17:46 , 29-Янв-20, (64) А сколько уязвимостей мсье нашёл в чужом коде, чтобы так авторитетно говорить, м, Аноним (26), 01:11 , 30-Янв-20, (106) +1 Эй фряшники как победить trueos aks freebsd 13checking whether gmake sets MAK, Аноним (63), 17:44 , 29-Янв-20, (63) // Что там aka -то И почему не в более подходящей, соседней новости о MPV там ес, анонн (ok), 18:04 , 29-Янв-20, (67) // Что за дичь, кто вайном из репы пользуется Там такое-то шерето в коде по дефолт, Аноним (76), 19:00 , 29-Янв-20, (76) // И шерето магически исчезнет, если собрать самому из портов , анонн (ok), 19:26 , 29-Янв-20, (77) Нужно немножко поправить юзы , тогда исчезнет Большая часть потенциально уязви, Аноним (76), 21:19 , 29-Янв-20, (94) Configuring for wine-devel-5 0 r6,1configure loading site script usr por, Аноним (63), 17:48 , 29-Янв-20, (65) // У вас компилятор бракованый, видимо пиратская версия, Аноним (71), 18:10 , 29-Янв-20, (71) +2 См config log, но лучше сразу ставьте минт , Michael Shigorin (ok), 13:04 , 30-Янв-20, (121) +1 тут про bsd, права кругом дефолтные и версию wine хочу новее , Аноним (63), 18:08 , 29-Янв-20, (68) // Как пропатчить KDE2 тогда уж спрашивайте , Аноним (26), 01:13 , 30-Янв-20, (107) +1 это сделать , Аноним (63), 18:10 , 29-Янв-20, (70) // посмотреть в вывод mount code mount tmpfs on tmp tmpfs, local, noexec, nos, анонн (ok), 19:31 , 29-Янв-20, (79) // с расстройства не сделал ответом log , Аноним (63), 21:36 , 29-Янв-20, (99) fstab Device Mountpoint FStype Options Dum, Аноним (63), 18:14 , 29-Янв-20, (72) Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..., Аноним (63), 18:15 , 29-Янв-20, (73) // Не ваше Вы не умеете в домашнюю работу 8212 вы идёте лесом , Аноним (26), 01:14 , 30-Янв-20, (108) +1 Все хором проигнорировали фразу в соответствии с требованиями RFC 5322 Отдельн, DAV (?), 20:24 , 29-Янв-20, (88) пиратская всё такиCopyright C 2019 Free Software Foundation, Inc This is free , Аноним (63), 21:19 , 29-Янв-20, (95) // Чей-то тут не то code uname -rsFreeBSD 12 1-STABLE locate libc_nonshared usr , анонн (ok), 22:02 , 29-Янв-20, (101) Подозреваю, что вы намудрили с опциями сборки gcc9 как бы намекает Возможно, о, Дон Ягон (ok), 13:55 , 30-Янв-20, (126) https download freebsd org ftp snapshots amd64 13 0-CURRENT отсюда взял базу, , Аноним (111), 06:57 , 30-Янв-20, (111) Доломал и фряху поставил, но как собрать wine5 с поддержкой в том числе и 32бит , Аноним (144), 13:23 , 31-Янв-20, (144) Разработчик OpenSMTPD опубликовал разбор ситуации с уязвимостью и некоторые сооб, Дон Ягон (ok), 12:40 , 03-Фев-20, (158) 1,2,4,6,7,15,18,21,23,29,33,45,47,48,51,63,65,68,70,72,73,88,95,111,144,158

Сообщения

[Сортировка по времени | RSS]

4. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+/–
Сообщение от Аноним (4), 29-Янв-20, 10:02
На странице Goals их сайта первая же строка: "Be as secure as possible."
Ответить | Правка | Наверх | Cообщить модератору

	134. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+/–
	Сообщение от Аноним (-), 31-Янв-20, 07:07
	Что-то 'execle("/bin/sh", "/bin/sh", "-c", mda_command,...' не выглядит в этом ключе, уж сорри.
	Ответить | Правка | Наверх | Cообщить модератору

	151. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+/–
	Сообщение от Дон Ягон (ok), 31-Янв-20, 17:51
	> Что-то 'execle("/bin/sh", "/bin/sh", "-c", mda_command,...' не выглядит в этом ключе, уж сорри. https://www.opennet.ru/openforum/vsluhforumID3/119631.html#147
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема