The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Релиз OpenSSH 8.6 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз OpenSSH 8.6 с устранением уязвимости"  +/
Сообщение от opennews (?), 19-Апр-21, 08:23 
Опубликован релиз OpenSSH 8.6, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске и позволяющей поднять уровень сбрасываемой в лог отладочной информации, в том числе реализовать возможность фильтрации по шаблонам, функциям и файлам, связанным с кодом, выполняемым со сброшенными привилегиями в процессе sshd, изолированном в sandbox-окружении...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54986

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от КО (?), 19-Апр-21, 08:24   –8 +/
"настройка LogVerbose по умолчанию отключена и обычно используется только во время отладки"

N лет спустя..
Релиз OpenSSH X.X
LogVerbose по умолчанию включена

Nдцать лет спустя...
Релиз OpenSSH XX.X
Мы не ожидали, что данная атака произойдет из-за использования довольно старой уязвимости, поэтому решили её снова отключить.
Haha, classic.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 19-Апр-21, 09:35   –10 +/
Все же понимают что это жжжжж неспроста. Кто-то из определенной организации выдал команду включить, когда спалили выключи сказали: «Ой, а мы и не знали». Классика
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

5. Сообщение от анончик (?), 19-Апр-21, 09:37   –10 +/
писали б на Rust не было бы такой фигни
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #15, #18, #26

6. Сообщение от Аноним (4), 19-Апр-21, 09:46   +12 +/
Не было бы никакого OpenSSH.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от Аноним (7), 19-Апр-21, 09:52   +8 +/
нет программы - нет уязвимостей в ней.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от Qwerty (??), 19-Апр-21, 10:56   +4 +/
Из организации рептилоидов, видимо. Не забывайте пить таблеточки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17

15. Сообщение от acroobat (ok), 19-Апр-21, 11:06   –1 +/
Если б на плюсах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #19

17. Сообщение от Аноним (17), 19-Апр-21, 11:15   +1 +/
Из Ф...Б...Р. Эдвард Сноуден, кстати, передает вам привет из солнечного Подмосковья.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21

18. Сообщение от Аноним (18), 19-Апр-21, 11:15   +1 +/
Ваш rust уже избавился от самой главной уязвимости (самого программиста)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (17), 19-Апр-21, 11:15   –1 +/
Там же умные указатели. Дырки они только сишные бывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

20. Сообщение от acroobat (ok), 19-Апр-21, 11:23   –1 +/
> Там же умные указатели. Дырки они только сишные бывают.

А на D указателей вообще нет. Тройная защита.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

21. Сообщение от Michael Shigorinemail (ok), 19-Апр-21, 11:44   –1 +/
Федеральное Бюро Ресследований? :}
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #23

22. Сообщение от Zenitur (ok), 19-Апр-21, 11:49   +1 +/
> Интерфейс для запроса пароля для GNOME разделён на два варианта, один для GNOME2

Рад, что  GNOME2 не забывают. Можно установить на RHEL6 и openSUSE 11.4 Evergreen

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

23. Сообщение от Аноним (23), 19-Апр-21, 13:30   +2 +/
Фонд Борьбы с Расследованиями. Джулиана Асанжального.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #32

25. Сообщение от Аноним (25), 19-Апр-21, 14:03   +/
Уверен? Видно ты их ещё там не откопал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #28

26. Сообщение от Аноним (25), 19-Апр-21, 14:14   +/
>писали б на Rust не было бы такой фигни

Юмор оценил. "устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске и позволяющей поднять уровень сбрасываемой в лог отладочной информации, в том числе реализовать возможность фильтрации по шаблонам, функциям и файлам, связанным с кодом, выполняемым со сброшенными привилегиями в процессе sshd, изолированном в sandbox-окружении." Что, как бы, намекает, что прблема в алгоритмах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

27. Сообщение от Аноним (25), 19-Апр-21, 14:17   +/
Только вот зачем гомо- ... тьфу, Гномокод пихать в прямо в OpenSSH?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #36

28. Сообщение от acroobat (ok), 19-Апр-21, 14:17   +/
Не нужны, ибо автоматическое управление памятью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #30

29. Сообщение от еманйам (?), 19-Апр-21, 15:23   +/
>какой-то ещё не известной уязвимости

да переполнение какое-нибудь - как пить дать, с вашими дыренями

переписали б на D - небыло бы таких проблем.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

30. Сообщение от Аноним (32), 19-Апр-21, 23:32   +/
Ну, может быть, в коде на pure D и не нужны. А вот для использования сишный библиотек, наверное, не обойтись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #33

32. Сообщение от Аноним (32), 19-Апр-21, 23:40   –1 +/
Фонд Борьбы с Расследованиями - это прокуратура г. Москвы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #35

33. Сообщение от acroobat (ok), 19-Апр-21, 23:48   +/
> Ну, может быть, в коде на pure D и не нужны. А
> вот для использования сишный библиотек, наверное, не обойтись.

В extern (C) только.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (34), 20-Апр-21, 00:17   +2 +/
> добавлен мягкий запрет

А что это такое? Когда нельзя, но если очень хочется, то можно?

Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Qwerty (??), 20-Апр-21, 08:53   +/
О, приплетатель приплёлся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от Zenitur (ok), 20-Апр-21, 11:17   +/
Думаю, что для GNOME Keyring.

Кстати, у меня забавная история произошла с obs. Это который система сборки, а не записи видео с экрана. Если запустить osc с ключом --help, то в числе прочего пишут "если вы пользуетесь GNOME Keyring для хранения паролей, мы вышлем вам dialup-модем".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

37. Сообщение от Аноним (38), 21-Апр-21, 16:25   +/
> В новой версии устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске

А забить на эти обновления!

Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Аноним (38), 21-Апр-21, 16:27   +/
Не надо ничего переписывать. Надо нормально собирать ядро и проги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру