The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Pwnie Awards 2020: наиболее существенные уязвимости и провалы в безопасности"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Pwnie Awards 2020: наиболее существенные уязвимости и провалы в безопасности"  +/
Сообщение от opennews (ok), 11-Дек-20, 17:44 
Определены победители ежегодной премии Pwnie Awards 2020, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54243

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]

Часть нити удалена модератором

3. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +10 +/
Сообщение от leibniz (ok), 11-Дек-20, 17:49 
Кто же лучший генератор шаблонных комментариев?
Ответить | Правка | Наверх | Cообщить модератору

5. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +9 +/
Сообщение от Аноним (5), 11-Дек-20, 18:06 
про djb улыбнуло.
Ответить | Правка | Наверх | Cообщить модератору

7. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (7), 11-Дек-20, 18:54 
Он почти как lbt с DirtyCow
Ответить | Правка | Наверх | Cообщить модератору

33. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +6 +/
Сообщение от Аноним (-), 11-Дек-20, 23:42 
> Fedora 31 через переполнение буфера в telnetd

рудхат, прудашкн, огрызки, кукареку...

Ответить | Правка | Наверх | Cообщить модератору

26. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +2 +/
Сообщение от Аноним (26), 11-Дек-20, 21:10 
> про djb улыбнуло.

И на старуху бывает проруха.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

27. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (27), 11-Дек-20, 21:40 
Вроде бы, разнос его по этому поводу был давно. Почему только в этом году премию дали?
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

46. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от Аноним (46), 12-Дек-20, 10:29 
Видимо, пошел как замена реальному факапу какой-нибудь мозиллы, мс, ораклу или тупо Поттеринга. Для отвлечения так сказать
Ответить | Правка | Наверх | Cообщить модератору

74. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от freehckemail (ok), 14-Дек-20, 12:22 
Я конечно могу ошибаться, но емнип в 2005м это нельзя было эксплуатировать, потому что дефолты ограничивали ресурсы qmail-smtpd. Сейчас же проблему переоткрыли под другим углом: оказалось, что аналогичный дефект есть в qmail-local, а он уже не ограничен по ресурсам. Ну то бишь это на самом деле другая проблема, которая вскрылась недавно. И той же её можно считать только при поверхностном рассмотрении.

Я также не уверен, что в данном случае это будет рассмотрено как проблема кода, поскольку Дэниел может вполне себе воспользоваться тем же приёмом, что и в прошлый раз: мол, если не выставили ограничения ресурсов -- то сами себе буратины. В принципе позиция djb понятна: qmail -- это знаковый проект Дэниела, презентующий его как специалиста в области ИБ. Отсутствие критических ошибок в нём с 1997го года -- это его пиар. =)

Но хочу отметить, что за новостями по Бернштейну и его творчеству не слежу, так что могу чего-то не знать. Имхо, если он сейчас выйдет и скажет "да, если бы я предусмотрел это в коде, не надо было бы ресурсы ограничивать", то всё равно за ним уже 23 года "идеального" кода будет. Но пиар есть пиар. )

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

76. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от _ (??), 14-Дек-20, 22:54 
Идеального?!
Почти все продукты профессора - tаxi-бе, а уж ку-мыло то - точно уберОНО! :)
Ответить | Правка | Наверх | Cообщить модератору

54. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (54), 12-Дек-20, 13:41 
Награда нашла героя.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

63. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  –2 +/
Сообщение от Notius (?), 13-Дек-20, 03:15 
Да с djb-то как раз всё понятно. Ну не получится прислать ему письмо, где одна строка конверта будет четыре гигабайта. Или кто-то в здравом уме на почтовом сервере не устанавливает ограничения по памяти на процесс?
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

69. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Notius (?), 13-Дек-20, 21:53 
А вот интересно, минусуют те, кто предпочитает дождаться, пока oom killer убьет невиновного, или по каким-то другим мотивам?

Я ведь хорошо помню первый разбор этой «уязвимости», которой невозможно воспользоваться на реальном почтовом сервере. Работает только в лабораторных условиях и локально.

Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  +3 +/
Сообщение от Аноним (8), 11-Дек-20, 19:00 
Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором  +/
Сообщение от гугель (?), 11-Дек-20, 22:14 
Ответить | Правка | Наверх | Cообщить модератору

9. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Kuromi (ok), 11-Дек-20, 19:21 
"Самая ламерская реакция производителя (Lamest Vendor Response)."

Ламерский тут перевод. Lamest - Глупейшая\Тупейшая реакция

Ответить | Правка | Наверх | Cообщить модератору

31. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +2 +/
Сообщение от geekay (ok), 11-Дек-20, 22:36 
Скорее, "убогий", "калеченный".
Ответить | Правка | Наверх | Cообщить модератору

32. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (32), 11-Дек-20, 23:22 
Наиболее левая отмазка вендора
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

40. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +2 +/
Сообщение от n00by (ok), 12-Дек-20, 08:18 
Ламер не видит границ собственной компетенции, строит из себя специалиста, тогда как таковым не является. http://www.jargon.net/jargonfile/l/lamer.html

Так что перевели верно (насколько корректно присвоена номинация -- это другой вопрос; учтите, она касается реакции, а не личности). Наиболее близкое по смыслу слово -- шарлатан, но его традиционно применяют к продавцам ослиной мочи под видом эликсира бессмертия (то есть шарлатан осознаёт, что обманывает).

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

48. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от threescarth (ok), 12-Дек-20, 10:52 
Ты бы сперва узнал про то, что слова могут заимствоваться из одного языка в другой, а потом хамил автору перевода в следующий раз.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

60. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Kuromi (ok), 12-Дек-20, 17:21 
> Ты бы сперва узнал про то, что слова могут заимствоваться из одного
> языка в другой, а потом хамил автору перевода в следующий раз.

Это вы про "заимствования" вроде "преферать слайсить над целым писом" ? Нет спасибо.

Ответить | Правка | Наверх | Cообщить модератору

75. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Душный типок (?), 14-Дек-20, 13:59 
Ну так не юзай заимствования, раз так их хейтишь. А другим позволь выражаться так, как им угодно.

>> преферать слайсить над целым писом

Во-первых: ничего не понятно.
Во-вторых: это нельзя считать заимствованиями в русском языке, т.к. широта их расспространения очень невелика, и используется либо совсем уж узким кругом лиц, либо же вообще только тобой и в рамках этого комментарии. Иностранное слово можно считать заимствованием только когда большинство носителей языка, заимствующего слово, понимают его значение. Т.е. "компьютер", "хейтить", "трек", "стикер" - заимствования. А всякие "переферы", "скейлы", "писы" и "нэйберхуды" - нет.

"Ламер" попадает под иную категорию - это профессиональный сленг. И его вполне уместно использовать в кругу лиц, которые этот сленг понимают. Мамины опеннетеры, я полагаю, входят в их число, так что никакого криминала тут нет.

Но энивэй, хейтерс гонна хейт.

Ответить | Правка | Наверх | Cообщить модератору

10. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (10), 11-Дек-20, 19:25 
Чет странно, что systemd в этом году не взяло хотя бы несколько номинаций.
Ответить | Правка | Наверх | Cообщить модератору

12. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +6 +/
Сообщение от Аноним (7), 11-Дек-20, 19:36 
В соседней новости отмечено гуглом как критически важный проект. trollface.webp
Ответить | Правка | Наверх | Cообщить модератору

16. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (16), 11-Дек-20, 20:49 
>  Чет странно, что systemd в этом году не взяло хотя бы несколько номинаций.

Бернштейн ничем не хуже Поттеринга.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +8 +/
Сообщение от Аноним (11), 11-Дек-20, 19:34 
- встраиваемые устройства
- с прошивкой на базе Fedora 31
- в telnetd

Это скорее номинант на "самая ненужная уязвимость".

Ответить | Правка | Наверх | Cообщить модератору

14. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от пох. (?), 11-Дек-20, 20:21 
> Это скорее номинант на "самая ненужная уязвимость".

Да вот не скажи - поскольку про все остальные можно махнуть рукой и забыть (вендоры попатчили сто лет как, или никем нигде давно не используется, или "опять хромог") а тут как-то остается осадочек - какая ж это именно индусская макака и в каком ненужном(ли?) гаджете ухитрилась ЭТО сделать одновременно (и еще, небось, привычным жестом отключив selinux) ?

Вот что это вообще могло бы такое быть?! 8-O

Ответить | Правка | Наверх | Cообщить модератору

24. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (26), 11-Дек-20, 21:06 
> Вот что это вообще могло бы такое быть?! 8-O

Most WTF award! Xтобы это взломать, сперва придется это у себя установить, потому что врядли удастся это найти где-нибудь еще.

Ответить | Правка | Наверх | Cообщить модератору

28. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от пох. (?), 11-Дек-20, 21:50 
Где бы взять твоей уверенности в том, что китайско-индусский коллектив уже не понаустанавливал :-(

Вот откуда вообще взялась такая комбинация? Точно-точно не в дикой природе изловлено?

Ответить | Правка | Наверх | Cообщить модератору

35. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 12-Дек-20, 00:40 
> Где бы взять твоей уверенности в том, что китайско-индусский коллектив уже не понаустанавливал :-(

Ни разу не встречалось. Удачи в поиске.

> Вот откуда вообще взялась такая комбинация? Точно-точно не в дикой природе изловлено?

Вопрос в количестве этого добра, не похоже что сильно массовое.

Ответить | Правка | Наверх | Cообщить модератору

44. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от пох. (?), 12-Дек-20, 10:01 
железок, управляемых телнетом тебе ни разу не встречалось?
А про все остальное - к сожалению, можно только пытаться угадать.

Мож у китайцев звер-CD ходит по рукам с доходчивой инструкцией по установке в каждый холодильник и шибкоумную лампочку...

То ись я на измене не из-за телнета, а как раз из-за того, что, похоже, нашелся ненормальный, всунувший одноразовый дистрибутив в эмбедовку. И, возможно, тыщи их.

Ответить | Правка | Наверх | Cообщить модератору

55. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 12-Дек-20, 16:15 
> железок, управляемых телнетом тебе ни разу не встречалось?

Сейчас ssh уже как правило - даже в совсем китайских мыльнцах за 20 у.е..

> Мож у китайцев звер-CD ходит по рукам с доходчивой инструкцией по установке
> в каждый холодильник и шибкоумную лампочку...

Для такого комбо проца и памяти надо сильно больше чем китайская жаба позволяет.

> того, что, похоже, нашелся ненормальный, всунувший одноразовый дистрибутив в эмбедовку.
> И, возможно, тыщи их.

Дистров может быть. А железок должно быть не сильно много. Особенно на федоре, которая для этого подходит чуть лучше чем фекалии для пуль

Ответить | Правка | Наверх | Cообщить модератору

71. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от 1 (??), 14-Дек-20, 10:50 
А в американских - далеко не всегда, особенно поставляемых в эрефию.
Законы аднака.
Ответить | Правка | Наверх | Cообщить модератору

13. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +12 +/
Сообщение от Аноним (11), 11-Дек-20, 19:37 
- Самый большой провал (Most Epic FAIL)
- компании Microsoft
- CVE-2020-0601
- позволяющую сгенеровать закрытые ключи на основе открытых ключей

Это номинант на категорию "внезапно спалившаяся фича".

Ответить | Правка | Наверх | Cообщить модератору

19. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (16), 11-Дек-20, 20:53 
Стали бы гиганты IT-индустрии форсировать переход на HTTPS, если бы оно ограничивало им (и дружественному им майору) доступ к данным пользователей? Вряд ли.
Ответить | Правка | Наверх | Cообщить модератору

39. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +4 +/
Сообщение от Кирилл (??), 12-Дек-20, 06:19 
Ключевое слово здесь IT-ИНДУСтрия.
Ответить | Правка | Наверх | Cообщить модератору

77. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (77), 17-Дек-20, 16:42 
вообще все асиметричные алгоритмы позволяют это сделать. сюрприз ?.. вопрос только в сложности - достаточно чуть чуть ошибиться, как все становится очень легко.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

15. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от YetAnotherOnanym (ok), 11-Дек-20, 20:38 
> легендарный Дэниел Бернштейн

О, вот это в кассу. Будет чем троллить его фанатов из числа малолетних свидетелей tor, VPN, IM с e2e-шифрованием и прочих криптоништяков для рванья системы.

Ответить | Правка | Наверх | Cообщить модератору

18. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (18), 11-Дек-20, 20:52 
Вообще охренеть, 1 ошибку за чертову кучу времени влепил. Может быть, стоит сравнить сколько ошибок за то же время эти самые тролли понаделали? :)

А криптоништяки что, они свое дело делают. И пользуются ими именно поэтому. Кстати, большинство крипто там использует вовсе не DJBшные либы, а какой-нибудь libsodium или что там еще, от совершенно посторонних людей. Но чтобы троллить в такой ерунде можно и не разбираться :)

Ответить | Правка | Наверх | Cообщить модератору

20. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (16), 11-Дек-20, 20:56 
Одну? Навскидку, CVE-2012-1191, CVE-2009-0858, CVE-2008-4392 — и это только djbdns.
Ответить | Правка | Наверх | Cообщить модератору

22. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 11-Дек-20, 21:00 
Только. Хм. А что если сравнить с другими программами этого типа?
Там, кажется, есть два вида всего:
- В десятки раз хуже.
- Нахрен не впершиеся, а потому необследованные.

Так то поставить васянднс можно и его даже может и не хакнут конечно - но только потому что пыхтеть с исследованием васяноподелки у 10 человек на всю планету хакерам было совсем уж неинтересно, какой с этой возни профит?

Ответить | Правка | Наверх | Cообщить модератору

53. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (53), 12-Дек-20, 13:32 
Важно уточнить, что на защиту через незнание расчитывать не стоит. Всегда найдётся кто-то, кто будет атаковать не васянднс, а то, за чем он стоит
Ответить | Правка | Наверх | Cообщить модератору

56. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (-), 12-Дек-20, 16:16 
> Важно уточнить, что на защиту через незнание расчитывать не стоит. Всегда найдётся
> кто-то, кто будет атаковать не васянднс, а то, за чем он стоит

Ну так при этом не так уж и важно какой там днс тогда. Все-равно скорее всего вот оно - сильно дырявее.

Ответить | Правка | Наверх | Cообщить модератору

23. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 11-Дек-20, 21:03 
> Одну? Навскидку, CVE-2012-1191, CVE-2009-0858, CVE-2008-4392 — и это только djbdns.

1) Как это относится к DJBшному крипто
2) можешь MSовским крипто пользоваться, из номинации пониже, если так тебе безопаснее.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

37. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (37), 12-Дек-20, 01:16 
libsodium - это форк nacl, а nacl - как раз либа, созданная djb.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

59. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 12-Дек-20, 16:23 
> libsodium - это форк nacl, а nacl - как раз либа, созданная djb.

Это такой весьма условный форк - перепахавший все вдоль и поперек, оптимизированный и все такое. И кстати вот там уже вопрос сравнимо ли это с кодом DJB и сколько новых багов в этом процессе там влепили.

А так DJBшное добро влезает в tweetnacl, который можно по сути наизусть выучить. Покажите мне в ЭТО бэкдор? Там кода мизер и его можно самому прочитать от и до.

Ответить | Правка | Наверх | Cообщить модератору

49. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 12-Дек-20, 12:20 
> А криптоништяки что, они свое дело делают.

Ога. Сноуден подтверждаэ.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

57. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 12-Дек-20, 16:17 
> Ога. Сноуден подтверждаэ.

Ну так давай пруфлинк где там хоть звук про DJB и его крипто в его сливах. А то там почему-то только про NIST'овские "стандартные" кривые и прочие хайтечные игрушки NSA.

Ответить | Правка | Наверх | Cообщить модератору

61. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 12-Дек-20, 19:01 
А я разве упомянул Сноудена применительно к Бернштейну? Речь шла о криптоништяках, которые "свое дело делают". А то, что свидетели криптоништяков одновременно с этим являются фанатами Бернштейна и легко ведутся на троллинг, если затронут их кумир - это как раз ты и показал.

Ответить | Правка | Наверх | Cообщить модератору

70. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от freehckemail (ok), 14-Дек-20, 08:07 
>> легендарный Дэниел Бернштейн
> О, вот это в кассу. Будет чем троллить его фанатов из числа малолетних свидетелей tor, VPN, IM с e2e-шифрованием и прочих криптоништяков для рванья системы.

Ой да ладно. Сомнительно как-то pwned. Но ДАЖЕ если признать новую обнаруженное поведение qmail-local как pwned -- то всё равно, 23 года в зачёт Даниелю. Это уже нереально долгий срок. =)

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

17. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +5 +/
Сообщение от Аноним (18), 11-Дек-20, 20:49 
> встраиваемые устройства с прошивкой на базе Fedora 31
> через переполнение буфера в telnetd.

Это в порядке глума над хакерами? Типа, попробуйте вообще это где-нибудь найти, кроме своего тестового сетапа?! Trololo awards!

Ответить | Правка | Наверх | Cообщить модератору

30. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Атон (?), 11-Дек-20, 22:18 
уязвимость в федоре, но вот почему то патчи и фиксы распространяются в виде пакетов для дебианов...  :)
Ответить | Правка | Наверх | Cообщить модератору

36. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 12-Дек-20, 00:48 
> уязвимость в федоре, но вот почему то патчи и фиксы распространяются в
> виде пакетов для дебианов...  :)

Может быть, они все-таки не смогли найти такое именно с федорой? Или они заодно решили троллануть на тему alien :)

Ответить | Правка | Наверх | Cообщить модератору

21. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 11-Дек-20, 20:56 
> получить права администратора в
> контроллере домена Windows или Samba.

Astrologists proclaim week of Comodohackers. Comodohackers population DOUBLED!

Ответить | Правка | Наверх | Cообщить модератору

38. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от ИмяХ (?), 12-Дек-20, 05:30 
Насчёт qmail: а в самом деле, нахрена почте 64 бита? Что это за почта такая?
Ответить | Правка | Наверх | Cообщить модератору

41. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +2 +/
Сообщение от n00by (ok), 12-Дек-20, 08:30 
Это такой троллинг 2**64 уровня.
Ответить | Правка | Наверх | Cообщить модератору

43. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Tsemi (?), 12-Дек-20, 09:29 
Это чтобы ты дорогой мог прислать мне эмодзи и свой большой HTML
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

64. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  –2 +/
Сообщение от Notius (?), 13-Дек-20, 03:25 
Если мне не изменяет память, на тело письма как раз ограничений нет, ошибка возникает при обработке строки конверта длиннее четырех гигабайт. Да раньше система процесс прибьет, поскольку лимиты обычно стоят разумные, а не «побольше, побольше».
Ответить | Правка | Наверх | Cообщить модератору

42. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +2 +/
Сообщение от Аноним (42), 12-Дек-20, 08:34 
Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft....

"Не баг, а фича!" - дружно вскричали сотрудники СпецСлужб. ^_^

Ответить | Правка | Наверх | Cообщить модератору

47. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от Аноним (47), 12-Дек-20, 10:42 
>> "Не баг, а фича!" - дружно вскричали сотрудники СпецСлужб. ^_^

Они там небось ставки делают и соревнуются кто лучше "спрячет" на виду у всех очередную такую фичу.
Немного обидно, когда твою работу десятилитями никто не замечает, ну, кроме нескольких сотрудников.  

Ответить | Правка | Наверх | Cообщить модератору

73. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 14-Дек-20, 12:06 
безопасность для всех, неполная проверка ecdsa сертов на основе публичного ключа в одной криптолибе могла подставить другие летсдекрипт инициативы при проверках на бордерах, например.
Ответить | Правка | Наверх | Cообщить модератору

45. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +2 +/
Сообщение от Аноним (45), 12-Дек-20, 10:16 
> Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенеровать закрытые ключи на основе открытых ключей.

Неудачно замаскированная стандартная заказная фича. Все так делают, но попался в этом году Microsoft.

Ответить | Правка | Наверх | Cообщить модератору

52. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (-), 12-Дек-20, 13:17 
Первые версии Internet Explorer имели логотип с земным шаром, который крутился в обратную сторону.

Ты точно уверен, что Майкрософт тупо не лажанулся?

Ответить | Правка | Наверх | Cообщить модератору

62. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (47), 12-Дек-20, 19:18 
Звучит страшно.
Ответить | Правка | Наверх | Cообщить модератору

50. Скрыто модератором  +/
Сообщение от InuYasha (??), 12-Дек-20, 12:22 
Ответить | Правка | Наверх | Cообщить модератору

58. Скрыто модератором  +/
Сообщение от Аноним (-), 12-Дек-20, 16:19 
Ответить | Правка | Наверх | Cообщить модератору

65. Скрыто модератором  +/
Сообщение от InuYasha (??), 13-Дек-20, 11:34 
Ответить | Правка | Наверх | Cообщить модератору

51. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (51), 12-Дек-20, 13:02 
Microsoft Most Epic FAIL Backdoor
Ответить | Правка | Наверх | Cообщить модератору

67. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (-), 13-Дек-20, 16:49 
>> Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.

А как она эксплуатируется? Этим может воспользоваться какой-то "левый процесс" на атакуемой машине? Или - зловред на стороне ISP?
Как узнать уязвима ли моя система?

Ответить | Правка | Наверх | Cообщить модератору

68. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (54), 13-Дек-20, 21:03 
Уязвима.
Ответить | Правка | Наверх | Cообщить модератору

72. "Pwnie Awards 2020: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 14-Дек-20, 11:04 
в P=kG G-не уточнялся
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру