The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Устранена критическая уязвимость, затрагивающая 318 моделей ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +/
Сообщение от opennews (ok) on 10-Май-17, 09:38 
Компания Cisco выпустила (https://tools.cisco.com/security/center/content/CiscoSecurit...) обновление прошивки, в котором устранена критическая уязвимость (CVE-2017-3881), позволяющая получить доступ к коммутаторам на базе Cisco IOS и Cisco IOS XE, поддерживающим протокол CMP (Cluster Management Protocol).  Атакующий может получить полный контроль над коммутатором, передав специфичный набор опций CMP  при обращении к устройству через telnet. В том числе уязвимости подвержены популярные модели коммутаторов Cisco Catalyst 29xx, 35xx, 37xx, 45xx, 49xx.


Уязвимость подтверждена в 318 моделях коммутаторов Cisco и позволяет без аутентификации выполнить любые команды в интерфейсе командной строки, при наличии у атакующего доступа к коммутатору по протоколу telnet.  Проблема вызвана ошибкой в реализации протокола CMP, предназначенного для построения кластеров коммутаторов, и связана с тем, что опции CMP могли использоваться не только для локально подключенных между собой устройств, но и при внешнем запросе по сети.
В качестве обходного пути защиты можно ограничить доступ к 23 сетевому порту (telnet) или отключить обработку опций CMP. Информация об уязвимости была выявлена в ходе разбора мартовской (https://www.opennet.ru/opennews/art.shtml?num=46157) утечки документов ЦРУ.

URL: https://arstechnica.com/security/2017/05/cisco-kills-leaked-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=46522

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +23 +/
Сообщение от A.Stahl (ok) on 10-Май-17, 09:38 
Компания Cisco выпустила обновление прошивки, которое вы можете скачать с сайта производителя за 9.85$ при условии действующей гарантии и подтверждения подписки на ежечасный сборник ссылок "Wise housewife".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –12 +/
Сообщение от Аноним (??) on 10-Май-17, 11:57 
Предпочитаете чтобы было как с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?

Любая тех. поддержка стоит денег.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +13 +/
Сообщение от Аноним (??) on 10-Май-17, 12:04 
Серьезно? Вы считаете, что даже патчи для таких серьезных дыр можно распространять за деньги?

Если такая "поддержка" стоит денег, то пусть открывают исходники, за них поработают другие люди. Дыр меньше будет.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –10 +/
Сообщение от Аноним (??) on 10-Май-17, 12:08 
Чтобы патч написать нужно потратить время разработчика. Это стоит денег.

> Если такая "поддержка" стоит денег, то пусть открывают исходники

Не вижу логической связи между двумя частями предложения. У вас есть возможность использовать другие продукты других разработчиков, если считаете что у них больше/лучше.

Поддержка везде стоит денег. Просто эти деньги иногда платите вы лично, а иногда АНБ. Знаете, кто платит, тот и заказывает музыку. Предпочитаю платить сам.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +5 +/
Сообщение от Гость (??) on 10-Май-17, 12:25 
> Чтобы патч написать нужно потратить время разработчика. Это стоит денег.

Принимать надо профессионалов, а не по блату или с улицы. И если компания пытается сэкономить на стоимости разработки, то все издержки должен оплачивать производитель, а покупатель. Например, ты покупаешь машину, а в ней какой-то заводской недочет. Ты в сервис, а с тебя "бабки" трясут. Ты согласишься и отдашь за то, что должны сделать бесплатно?

> У вас есть возможность использовать другие продукты других разработчиков

Так может тогда производитель деньги вернет, а не наживается на потребителях еще раз?

Предложи Google монетизировать поддержку своих продуктов и люди перейдут на обычные телефоны.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –1 +/
Сообщение от Гость (??) on 10-Май-17, 12:26 
* а не покупатель.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –9 +/
Сообщение от Аноним (??) on 10-Май-17, 13:13 
Если уж ты упомянул автомобиль, не подскажешь в каком сервисе выполняют бесплатное тех. обслуживание? А сколько автомобилей ты уже вернул потому что тебе отказали в бесплатном тех. обслуживании после первых 3 лет эксплуатации?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +6 +/
Сообщение от Аноним (??) on 10-Май-17, 13:21 
Могу послать в гугл за данными о том, как часто отзывают автомобили из-за потенциального критического дефекта. Это происходит довольно часто. Тут ситуация абсолютно та же.

Пойми, никто не требует новых фишечек бесплатно. Тут можно согласиться, что подобные обновления можно получать за деньги. Но то, за что ты изначально платил, должно функционировать железно. Без уязвимостей. Simple as that.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –3 +/
Сообщение от Аноним (??) on 10-Май-17, 13:45 
Автопроизводитель даёт гарантию и отзывает только в пределах гарантийного (= заранее оплаченного и включённого в стоимость при покупке) срока. Обычно предлагают доплатить чтобы продлить этот срок ещё на несколько лет. За пределами срока - за свой счёт.

С патчами ситуация аналогичная: в стоимость продукта обычно включено несколько лет бесплатных обновлений, дальше за деньги.

> Без уязвимостей

Пока нет возможности математически доказать отсутствие ошибок в коде, под таким никто не подпишется.

> Но то, за что ты изначально платил

Там обычно написано что-то вроде такого (далее п.15 лицензии GPL в переводе с оф.сайта):

НА ПРОГРАММУ НЕ ПРЕДОСТАВЛЯЕТСЯ НИКАКИХ ГАРАНТИЙ ЗА ИСКЛЮЧЕНИЕМ ПРЕДУСМОТРЕННЫХ
ДЕЙСТВУЮЩИМ ЗАКОНОДАТЕЛЬСТВОМ. ЕСЛИ ИНОЕ НЕ УКАЗАНО В ПИСЬМЕННОЙ ФОРМЕ,
ПРАВООБЛАДАТЕЛИ И (ИЛИ) ТРЕТЬИ ЛИЦА ПРЕДОСТАВЛЯЮТ ПРОГРАММУ "КАК ЕСТЬ", БЕЗ
КАКИХ-ЛИБО ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ, ВКЛЮЧАЯ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ
КОНКРЕТНЫХ ЦЕЛЕЙ, НО НЕ ОГРАНИЧИВАЯСЬ ИМИ. ВЕСЬ РИСК, СВЯЗАННЫЙ С КАЧЕСТВОМ И
ПРОИЗВОДИТЕЛЬНОСТЬЮ ПРОГРАММЫ, ВОЗЛАГАЕТСЯ НА ВАС. ЕСЛИ В ПРОГРАММЕ БУДУТ
ВЫЯВЛЕНЫ НЕДОСТАТКИ, ВЫ ПРИНИМАЕТЕ НА СЕБЯ СТОИМОСТЬ ВСЕГО НЕОБХОДИМОГО
ОБСЛУЖИВАНИЯ, РЕМОНТА ИЛИ ИСПРАВЛЕНИЯ.

Читать умеешь? "Весь риск возлагается на вас", "вы принимаете на себя стоимость необходимого обслуживания или исправления".

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +2 +/
Сообщение от cmp (ok) on 10-Май-17, 14:39 
> только в пределах гарантийного

http://www.mercedes-benz.ru/content/russia/mpc/mpc_russia_we...

Гарантийное и послегарантийное обслуживание не только выгодно ограждает от груза забот и проблем владельца автомобиля, но и оправдывает его первоначальные вложения.

Лень ковырять, но европах на машины начала прошлого века можно купить оригинальные запчасти на заводе изготовителе.

Сравнивать автопром и ИТ не совсем корректно, в ИТ нет факта износа, по крайней мере такого как у ДВС. Но даже с учетом этого, с учетом отсутствия транспортной составляющей на доставку запчастей (патчей), эти "люди" берут деньги.

Наверное, правильно сравнивать с самолетостроением. Упал самолет, весь модельный ряд в ангар до выяснения. Гарантия?. Неет, самолет будет летать пока его починка будет дешевле покупки нового, а самолет стоит как самолет, крыло дешевле приварить новое, если старое сгнило, и ведь летают и 40ка летние развалюхи, и не падают. Может потому, что законодательство жестко регламентирует, потому что кровью писано, а не писульки на туалетной бумаге, где от всех последствий производитель себя освобождает, самолеты тоже математически не просчитаны и 100% гарантии нет, однако же авиастроение не последняя отрасль.

А цисковцы просто му..ки, и пользователей за скот считают, который и так схавает, ну.. приятного аппетита.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

23. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +7 +/
Сообщение от freehck email(ok) on 10-Май-17, 13:35 
> Чтобы патч написать нужно потратить время разработчика. Это стоит денег.

Логика просто бомба: чем хуже разработчика наймёшь, тем больше бабла срубишь.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –2 +/
Сообщение от Аноним (??) on 10-Май-17, 14:10 
Конкуренция не позволит. А так да, ты прав.

Аналогично в других областях. Напр. непрофессиональный врач может лечить больного годами пока тот не умрёт. Или не поймёт что нужно найти другого врача.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +1 +/
Сообщение от 1 (??) on 10-Май-17, 14:38 
Может этот врач познал дзен ?
А непрофессионал убил бы больного за месяц.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +1 +/
Сообщение от Аноним (??) on 10-Май-17, 14:47 
Как шутят хирурги: у одного 2-3 неудачных операции в месяц, а у другого 2-3 удачные.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +/
Сообщение от ram_scan on 10-Май-17, 16:57 
> Чтобы патч написать нужно потратить время разработчика. Это стоит денег.

Я когда оборудование покупал то таких дыр не заказывал. И это не мои половые трудности что для того чтобы их заделывать вендору надо какие-то деньги тратить еще.

Если вы купите матерую дверь с замком под гарантии "все супир", и назавтра выясните что он открывается отверткой, то вы вправе потребовать чтобы вендор вам его исправил бесплатно, или вернул деньги и пускай забирает свой шрот обратно.

Совершенно прямая аналогия.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

35. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –3 +/
Сообщение от нах on 10-Май-17, 18:09 
> Совершенно прямая аналогия.

"все аналогии сосут", но эта - совершенно кривая.
Вы не дверь купили, а технологический шкаф - с кучей крепежа (чтоб ураганом с мачты не сорвало), климатической установкой в двери, системой влагозащиты и т д.
Теперь выясняется, что замок на двери, ну надо же, в принципе могут взломать - ЦРУ растеряло описание, по которому отмычку изготовит любой слесарь (что шкафы эти чаще всего воруют вместе с куском стойки, к которой были прикручены, и всем содержимым, среди которого самое дорогое - та самая дверь, вы, в силу слабого знания предмета, вообще не в курсе).

кстати, по таким багам, обычно, можно получить поддержку и без контракта - если ты достаточно убедительно рассказываешь TAC, как именно ты так криво спроектировал сеть, что у тебя телнет торчит на улицу. Серийник, учтите, проверят.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

40. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –1 +/
Сообщение от Аноним (??) on 11-Май-17, 12:28 
пофиксите мне LG P950... там до сих пор 4.4.2 и куча дыр..
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –1 +/
Сообщение от Гость (??) on 10-Май-17, 12:16 
> с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?

Список устройств назвать можешь или "работодатель" еще не ознакомил?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

41. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –1 +/
Сообщение от Аноним (??) on 11-Май-17, 12:29 
>> с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?
> Список устройств назвать можешь или "работодатель" еще не ознакомил?

ASUS zenphone 2. дальше перечислить ?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –2 +/
Сообщение от нах on 10-Май-17, 13:28 
чувак, ты не в теме - совсем.
1. никакая "гарантия" не дает тебе права скачивать прошивки с цискокома. Ни задаром, ни за деньги. Гарантия - на сборку и компоненты (и она там такая унылая, что не знаю, кто ей вообще пользуется - из серии "два месяца с момента прихода сдохшей железки на наш склад в Штатах, за твой счет и с твоей растаможкой" - тебе она вообще еще нужна будет?)
2. это право дается на любую железку, на которую у тебя открыт саппорт-контракт. Бесплатно.
Сам контракт - от стольника на офисную херню до 10-20% цены на новые-модные железяки ценой дороже самолета, но, на минуточку, он включает замену железки на месте, если вдруг что-то всерьез отвалилось, и разбирательство с твоими конкретными глюками и багами вполне живым цискоиндусом (прошивку, кстати, бывает что и вовсе под тебя, любимого, собирают). Если оно тебе не надо - ты просто зачем-то приперся в салон по продаже лексусов, имея целью возить дерьмо от дачи до огорода. Тебе в садовый магазин, за тачкой.

правда, как обычно "есть нюанс"... но тебе оно явно никогда в жизни не встретится.

P.S. хоть какая-то польза с ЦРУ...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

33. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +1 +/
Сообщение от Admin (??) on 10-Май-17, 17:26 
Шикарный троллинг про подписку "Мудрая домохозяйка".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –1 +/
Сообщение от fi (ok) on 10-Май-17, 10:02 
Трудно назвать уязвимость "критическая" - telnet давно ограничен для доступа служебной сетью, где все знают пароль от enable :)


зы. вот в свое время, когда утек "инженерный" пароль, а 23порт листелся для всех - вот было весело - traceroute и все киски твои :D

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +/
Сообщение от фоменковщина детектед on 11-Май-17, 16:43 
ну-ка, ну-ка...  это когда на _циски_ утекал инженерный пароль?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

44. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –1 +/
Сообщение от Led (ok) on 11-Май-17, 21:10 
> ну-ка, ну-ка...  это когда на _циски_ утекал инженерный пароль?

С вами, цискофилами, разговор короткий: сначала деньги (много) - потом вопросы.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

5. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +/
Сообщение от Аноним (??) on 10-Май-17, 10:06 
"Информация об уязвимости была выявлена в ходе разбора мартовской утечки документов ЦРУ." - не уязвимость устранили, а закрыди бекдор, пишите правильно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +11 +/
Сообщение от A.Stahl (ok) on 10-Май-17, 10:09 
Не закрыли бекдор, а изменили условия его активации. Пишите правильно.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –3 +/
Сообщение от Сергей (??) on 10-Май-17, 10:32 
А что, в этих моделях циски только телнет был?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +/
Сообщение от анонимм on 11-Май-17, 00:04 
телнет во всех есть, а вот для ssh нужен IOS с шифрованием.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +3 +/
Сообщение от Аноним (??) on 10-Май-17, 10:56 
АНБ попрсило обновить бэкдор для продолжения совместоного контракта по глобальному нанесению ущерба.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –2 +/
Сообщение от 1 (??) on 10-Май-17, 11:10 
дайте эксплойт
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +/
Сообщение от A.Stahl (ok) on 10-Май-17, 18:08 
А волшебное слово где?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

36. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  +/
Сообщение от EuPhobos email(ok) on 10-Май-17, 21:42 
> А волшебное слово где?

sudo !! ему

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

42. "Устранена критическая уязвимость, затрагивающая 318 моделей ..."  –2 +/
Сообщение от Аноним (??) on 11-Май-17, 16:16 
убунтёнок без капабилитесов
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру