| |
| |
| |
| 4.37, _KUL (ok), 08:20, 14/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Забавно - "заслуживающее внимание". Почему оно заслуживает? Где док-во?
з.ы. Строка заслуживает внимание - "где то, в одном популярном ПО, есть наистрашнейшая уязвимость, но никто не знает где, а кто говорит о ней, не говорит о том, знает ли он сам о ней". Страааашно ...
| | |
| |
| 5.64, Ivan (??), 13:20, 15/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Уже и сюда пролезла дурацкая 4пда-шная мода отвечать в чужую ветку, ради того, чтобы засунуть свое ценное мнение повыше.
| | |
| 5.65, Аноним (-), 17:37, 15/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Где док-во?
Тео Де Раадт - не форумный балабол. Поэтому его слова имеют несколько больший вес. А его слова в списке рассылки подкреплены пруфлинками на этот список, если что.
| | |
| |
| 6.67, Аноним (-), 00:58, 16/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
да, но порой - он жжет таким адским напалмом, что прям не знаешь что и думать.
| | |
| 6.69, Led (ok), 02:05, 16/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> Где док-во?
> Тео Де Раадт - не форумный балабол.
А "автор и, к сожалению, исполнитель своих (как он их называет) "песен"" (с)
| | |
|
|
|
|
|
| 1.4, Аноним (-), 19:44, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
Неделя уязвимости в OpenSSL закончилась, началась неделя с OpenSSH :)
| | |
| |
| 2.14, XoRe (ok), 21:44, 13/04/2014 [^] [^^] [^^^] [ответить]
| +17 +/– |
 > Неделя уязвимости в OpenSSL закончилась, началась неделя с OpenSSH :)
Астрологи объявили неделю OpenSSH. Прирост взломанных серверов увеличился вдвое.
| | |
|
| 1.5, Аноним (5), 20:02, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 «Что если завтра Дамин или я анонсируем о важной дыре в OpenSSH, как будет жить Интернет дальше?
Как вы думаете...люди используют telnet или RDP, чтобы получить доступ к машинам, нуждающмся в администрировании?
Нет, люди пологаются на OpenSSH, за который не платят ничего.»
| | |
| 1.7, StainlessRat (??), 20:25, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Для OpenBSD - это реклама, для "опущения" FreeBSD. OpenSSH используют практически все UNIX системы. Вопрос: почему раньше этот вопрос не поднимался ?
| | |
| |
| 2.9, paulus (ok), 20:39, 13/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Потому что: "Тео де Раадт отказался предоставить какие либо сведения об уязвимости"
| | |
| |
| 3.20, Khariton (ok), 22:54, 13/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
 я предполагаю что есть уязвимость в ядре, но я вам не раскрою...
Или если перефразировать клссиков, то:
Мы Тео де Радтом расходимся в философских вопросах...
- Вы уязвимость в ОпенССШ видите? - Нет! - А она есть...
| | |
|
|
| 1.8, Аноним (-), 20:38, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Во FreeBSD 10-stable sshd запускается по дефолту в песочнице capsicum если не ошибаюcь, у меня sshd например не запущен, а так Тео молодец, эксплоиты для openssl все поюзали как новость о дыре появилась.
| | |
| |
| 2.66, Аноним (-), 17:46, 15/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> эксплоиты для openssl все поюзали как новость о дыре появилась.
OpenSSH совсем иной протокол нежели SSL. Поэтому эксплойты для SSL к SSH не относятся. Но видимо такой обсирак спровоцировал всплеск аудита. И судя по всему Тео и Ко нашли другой обирак, по его утверждениям затрагивающий судя по всему только фрибздюков.
| | |
|
| 1.10, Пушистик (ok), 21:03, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 АНБ продолжает злорадствовать?
Тео не дал никакой инфы, потому что это серьёзная и опасная уязвимость и ей тут же воспользуются многие тысячи хакеров, наверное.
Кошечки пушкуют^^
| | |
| |
| 2.28, rob pike (?), 00:08, 14/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Нет, не поэтому.
>Please ask Kirk McKusick, he knows the story about why this is not being disclosed to FreeBSD. Sometimes I feel a bit sorry for them (and for him), but then the next minute I
don't feel sorry because there's damn good reasons they won't be told about what I found.
| | |
| |
| 3.76, danfe (ok), 06:37, 16/04/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
 На самом деле Тео неплохо вбросил:
>... as long as you aren't using FreeBSD or a derivative (hint: Jupiper), you are fine. That's the only place I know of an OpenSSH hole.
>
>Oh now I sense some angst. Please ask Kirk McKusick, he knows the story about why this >is not being disclosed to FreeBSD.
Ну что, котятки, немного конспирологии? :)
Странно, что он ссылается на Кирка... Когда прошлой зимой забурлили говна по поводу использования RDRAND[1] и др., Тео не упустил возможность облить[2] FreeBSD помоями, заявив в интервью iTWire, в частности, что «it is 10 years of FreeBSD stupidity. They don't know a thing about security. They even ignore relevant research in all fields, not just from us, but from everyone.»
Спустя недели три в том же iTWire появляется спокойный и обстоятельный ответ[3] МакКузика, где он довольно подробно описывает, как во FreeBSD реализован /dev/random и вообще откуда весь сыр-бор.
В свете всего этого невольно возникают вопросы: 1) зачем Тео сейчас (10 апреля) указывать на МакКузика? 2) случайно ли упомянут «можжевельник» (Juniper)? 3) если и то и другое не случайно, что такое известно Кирку про OpenSSH во FreeBSD? 4) почему он это не раскроет? 5) откуда про пп. 2-4 известно Тео?
[1] http://arstechnica.com/security/2013/12/we-cannot-trust-intel-and-vias-chip-b
[2] http://www.itwire.com/business-it-news/open-source/62641-crypto-freebsd-playi
[3] http://www.itwire.com/business-it-news/open-source/62728-mckusick-denies-free
| | |
| |
| 4.78, arisu (ok), 06:30, 20/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
 при чём тут «кузику известно про уязвимость»? совсем навыки чтения поистёрлись? Тео написал вот это, буквально: «фрибсд — мудаки, и поэтому ничего я им говорить не собираюсь. если вам интересно, пример мудачизма попросите у кузика.» вот и всё.
| | |
| |
| 5.80, danfe (ok), 14:37, 22/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Тео написал вот это, буквально: «фрибсд — мудаки, и поэтому ничего я им говорить не собираюсь. если вам интересно, пример мудачизма попросите у кузика.» вот и всё.
Нет, не всё. Суть его выпада сводится к: 1) во FreeBSD (а также Juniper) дырявый OpenSSH; 2) МакКузик знает, почему им (фряхе) ничего не рассказывают (причем не ясно, Тео говорит лишь за себя или не только); и 3) эти причины довольно веские.
Сложность в том, что МакКузик нигде не говорит, что «таки-да, Тео считает нас (или меня) мудаками и не рассказывает про дырку в нашем ссх; у нас есть достаточные основания считать, что дырка действительно есть; мудаками нас считают потому-то и тому-то», хотя я не вижу причин, почему бы этого не сделать, например, во внутренней рассылке разработчиков FreeBSD (если придавать широкой огласке по каким-то причинам нежелательно).
Мудаком здесь себя выставляет скорее Тео, а вовсе не МакКузик. Насколько я в курсе обсуждений в рассылках FreeBSD конкретно этого письма Тео, кроме как с него брать пример мудачизма никто не предложил и даже не намекнул. Соответственно, либо мудак и балабол все же Тео, либо таки-МакКузик, но тогда чорные вертолеты и конспирология. :-)
| | |
|
|
|
|
| |
| |
| |
| |
| Часть нити удалена модератором |
| 5.32, rob pike (?), 01:21, 14/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Цитата вообще о другом.
Это взгляд на состояние дел в security и изменения за последнюю декаду.
| | |
| |
| |
| Часть нити удалена модератором |
| 7.34, rob pike (?), 01:31, 14/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Вы не могли указать на то место в вышеприведенной цитате, которую вы прочли как "Тео ничего конкретного не говорит, потому что хочет эту инфу продавать"?
| | |
|
|
|
|
|
|
| |
| 2.45, Xaionaro (ok), 12:54, 14/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Какая-то левая ссылка. Где ссылка на bureport? Ибо я не вижу пока никакой дыры. Просто некорректная конфигурация PHP для данной установки PCRE. Если такая настройка используется по умолчанию, то стоит просто об этом сообщить в maillist-ы FreeBSD.
| | |
|
| |
| 2.71, Аноним (-), 03:46, 16/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Тео такой Тео.
Да вообще, офигительно. И чего предполагается? Что это повысит доверие к openssh? Как по мне так это порождает вопрос "чем бы эту блоатварь с кучей багов заменить?".
| | |
| |
| 3.79, arisu (ok), 06:32, 20/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> И чего предполагается?
предполагается, что Тео ловит лулзы.
| | |
|
|
| 1.19, Аноним (-), 22:54, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытому, и можно закрывать Интернет.
| | |
| |
| 2.21, А_н_о_н_и_м (?), 22:58, 13/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытому
Нее, лучше о такой, что вообще ключи не нужны.
| | |
| 2.27, rob pike (?), 00:05, 14/04/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ту микроскопическую часть Интернета, где кому-то небезразлична безопасность?
Так она и так давно закрывается, и почти уже и закрылась.
| | |
| 2.49, Гость (?), 14:03, 14/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Осталось объявить о дыре, позволяющей найти закрытый RSA ключ по открытому, и
> можно закрывать Интернет.
Ну хоть фотки котиков можно оставить?
| | |
| 2.57, Аноним (-), 00:28, 15/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
скорее исторический подход к ассиметричному крипто.
а если программисты альтернативных апрочей - не представят наконец(шестой год пилят, блин)хотя бы условно-работающий пру-оф-концепт, пригодный для показа менеджменту и мб общественности - закрыть направление "пока что".
что непрактично, политиески самоубийственно и очень-очень затратно/ущербно. поэтому дальше - будут !"№%!сти мОгли, так долго, сколько смогут, обещаниями и успокаиваниями =)
| | |
|
| |
| 2.36, saNdro (?), 07:00, 14/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
??? Омские линуксоиды не читают оригинал??? Там есть ссылка на пост самого Тео. Чем он там не делится то???
| | |
|
| |
| |
| 3.42, Andrey Mitrofanov (?), 12:20, 14/04/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> Что за желтуха вообще? Английским по белому написано, что "если БЫ была дырка, я б не сказал", все. Ну и просят донейтить.
> Потом Тео пояснил, что дырка есть,
Эге, Тео пояснил, что спонсоры фбсд, пользующего openssh от создателей проекта obsd, нахаляву, могут... обратить пристальное внимание на тролящего для фана и профита Тео и его ежегодный фандрайзинг, так удачно декорированный залпом heartbleed-а.
"Дырка есть" волнует только фбсд и джунипер -- очень волнует! Примерно на $0.
| | |
| |
| 4.72, Аноним (-), 03:48, 16/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> "Дырка есть" волнует только фбсд и джунипер -- очень волнует! Примерно на $0.
На сайте openssh.com последний абзац прямо сочится батхертом - "я тут как лох BSDшную лицензию юзал и поэтому мне не обломилось ни денег, ни патчей!"
| | |
|
|
|
| 1.39, iZEN (ok), 10:45, 14/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А подробная информация об уязвимости, очевидно, стоит денег, да?
| | |
| |
| 2.68, Аноним (-), 01:02, 16/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> А подробная информация об уязвимости, очевидно, стоит денег, да?
ну, судя по обьему рынка - немалым.
недавно обнародованные сделки АНБ и ЦРУ по скупке уязывимостей у ИБ-компаний, в общем-то - невзрачны на фоне повседневного обьема сделок, несмотря на броские цифры. бо "мешками" скупают нечасто и не все.
| | |
| 2.73, Аноним (-), 03:49, 16/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> А подробная информация об уязвимости, очевидно, стоит денег, да?
Знаешь, чувак, если апстрим сажает баги а потом еще и начинает лечить что информация о них стоит денег - с таким апстримом лучше не связываться. Особенно там где вопросы касаются криптографии.
| | |
|
| 1.40, Доктор Звездулькин (?), 10:56, 14/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хм-м...
Я, конечно, понимаю его недовольство коммерциализацией безопасности и что он "не обязан никому ничего рассказывать, если не хочет", но все же, мне кажется, если серьезная дырка реально есть, то он поступает нехорошо. Это как у врачей клятва Гиппократа. Можно быть недовольным состоянием медицины, своей зарплатой, тем, что медсестры на работу не вышли и тем, что больной, нуждающийся в неотложной помощи, у тебя жену увел, но протестовать путем отказа в лечении, когда больше взяться за него некому, — паршивый способ.
| | |
| |
| 2.43, Аноним (-), 12:21, 14/04/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
Наоборот, хорошо, если дырку по-тихому заткнут, а не раструбят о ней на весь нет, чтобы каждый малолетний кульхаксор ее поюзал.
| | |
| |
| 3.75, Аноним (-), 04:01, 16/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Наоборот, хорошо, если дырку по-тихому заткнут, а не раструбят о ней на
> весь нет, чтобы каждый малолетний кульхаксор ее поюзал.
Поэтому кулсисопы и не почешутся апдейтиться. Зато червяков и ботов прибавится, это да.
| | |
|
| 2.44, Andrey Mitrofanov (?), 12:23, 14/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> если серьезная дырка реально есть, то он поступает нехорошо. Это как
> у врачей клятва Гиппократа. Можно быть недовольным состоянием медицины, своей зарплатой,
Не пойду к Тео лечиться. И к тебе тоже не пойду -- ни дай бг, лечишь так же по аналогии, да ещё и по такой хр-ой
| | |
| |
| 3.52, Доктор Звездулькин (?), 19:44, 14/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>Не пойду к Тео лечиться. И к тебе тоже не пойду -- ни дай бг, лечишь так же по аналогии, да ещё и по такой хр-ой
У нас 21-й век, век дешевых и заменяемых компонентов. Если человек болен - мы просто заменяем его на здорового.
| | |
|
| 2.62, rob pike (?), 02:27, 15/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>Чего в клятве нет: обещания лечить бесплатно кого угодно, от чего угодно, когда угодно, целовать пациента в ____, обеспечивать пациенту удобства, комфорт, душевный покой и даже обезболивание, совершать невозможное и быть готовым не есть, не спать и не отдыхать, если внезапно больному захочется поболтать о своих недугах в два часа ночи. Но именно этого от врачей и требуют, когда говорят: «Ведь вы же давали клятву Гиппократа!». Пациентам, прежде чем поминать Гиппократа всуе, следует ознакомиться хотя бы с его афоризмами | | |
|
| 1.41, ветеран WoW (?), 11:56, 14/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
openbsd не подвержена этой уязвимости, потому что зимой у openbsd отключили энторнет (помните эту бучу со сбором денег для их инсталляции, собирающей openbsd для себя самой). и единственной на данный момент инсталляцией openbsd, подключенной к интернету, остался ноутбук Тэо. а он выдернул из него кабель после написания письма в рассылку. и этим объясняется и его молчание, и все остальное.
| | |
| 1.46, Аноним (-), 12:59, 14/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Не подвержен взлому кмпьютер отключеный от сети, електричества и вообще всего засунутый в сейф и залитый бетоном и то есть сомнения...
| | |
| 1.47, хмм (?), 13:26, 14/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>Утверждается, что уязвимы как минимум варианты OpenSSH, используемые во FreeBSD
В чем особенность FreeBSD версии?
Они его шлангом собирают?
| | |
| |
| |
| 3.58, Аноним (-), 00:29, 15/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
ну помимо NX/DEP полноразмерного, там ни обфускации, ни прочих рандомизаций нету, систем-вайд. но и в опен и у линуса и ко - тоже, рудименты, если быть честным.
| | |
| |
| 4.74, Аноним (-), 03:51, 16/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> но и в опен и у линуса и ко - тоже, рудименты, если быть честным.
Нифига себе рудименты у линуса. Защит туева хуча. Особенно преуспели openwall, если я правильно помню.
| | |
|
|
|
| 1.59, Аноним (-), 00:30, 15/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
все фбсд-дерайвед продукты - должны быть в Ужосе =)
включая пару холодильников, пять автомобилейполтора вертолета и новый плейстейшн )
| | |
|
