forum.opennet.ru

"Уязвимости в OpenBSD, позволяющие повысить привилегии и обой..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимости в OpenBSD, позволяющие повысить привилегии и обой..."	+/–
Сообщение от Дон Ягон (ok), 06-Дек-19, 02:52
> убрали бы со своего сайта такую надпись и опубликовали бы вместо этого краткий отчетец: как нашли, почему так вышло, что сделали, чтобы поправить? А вот расскажи, почему по-твоему Тео должен так сделать? Вот смотри. Слоган на сайте OpenBSD - "Only two remote holes in the default install, in a heck of a long time!". Всего две удалённо-эксплуатируемые дыры (подразумевается remote root) в установке по-умолчанию. Теперь посмотрим на текущие дыры. CVE-2019-19521 - удалённо получить доступ с правами _smtpd, _ldapd или _radiusd. При условии, что все эти сервисы включены и используются (по умолчанию включен только smtpd, но слушает только локалхост). При условии, что в smtpd используется PLAIN авторизация. CVE-2019-19520 - локальный атакующий может поднять свои права до auth через дыру в xlock. CVE-2019-19522 - в случае, если используется S/Key или YubiKey локальный атакующий может поднять свои права с auth до root. (https://www.openwall.com/lists/oss-security/2019/12/04/5) Не пойми неправильно - я не хочу сказать, что проблемы фигня и ничего не значат. Нет. Ничего хорошего, абсолютно, неприятные и обидные дыры. Но формулировке из слогана они не соответствуют, не так ли? Его смысл, кстати, не в "в OpenBSD всего две дыры", а в том, что стандартная установка OpenBSD (т.е. сразу после установки ОС) была удалённо дырява всего 2 раза. Отсутствие удалённых дыр в стандартной поставке - это минимальный признак безопасности, а не максимальный, как почему-то все думают. Если сразу после установки ОС сразу можно портутать, то она шерето. OpenBSD доказанно была оным всего два раза за долгое время. Смысл слогана в этом, а не в том, что "в опенбсд никаких дыр, вот только всего 2 было и больше не". Но не суть. Так почему Тео должен менять слоган? А то, что в OpenBSD, как и в любой другой ОС есть дыры никогда и не скрывалось. На той же странице, где написано про эту уязвимость написаное ещё и про другие. Короткое описание проблемы и ссылка на патч. Сойдёт за описание и "что сделали, чтобы поправить"? А что касается как нашли - это к тем, кто нашёл. Они довольно подробно описали.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимости в OpenBSD, позволяющие повысить привилегии и обой..., opennews, 05-Дек-19, 09:18 [смотреть все]

Only two remote holes in the default install, in a heck of a long time сказочка , лютый жжж...., 05-Дек-19, 09:18 (1) //
- Напиши Тео, задай вопрос , ssh, 05-Дек-19, 09:23 (2)
- Печально Среагировали конечно быстро и исправили, но такие ошибки стимулируют , xl, 05-Дек-19, 09:25 (3) //
  - Я тебе по секрету скажу Security Безопасность это не обьем выявленных или нет ош, bOOster, 05-Дек-19, 12:23 (54) //
    - 1 сектант К вечеру подбежит ещё с десяток Так и запишем - в OpenBSD своё рёшeт, Гендальф, 05-Дек-19, 12:59 (67)
      - Это динамическая безопасность -- новомодный подход, приводящий к необходимости, Michael Shigorin, 05-Дек-19, 13:34 (77)
        
        gt оверквотинг удален Каких ресурсов, че за бред ЧИТАЕМ ВНИМАТЕЛЬНО - разгов, bOOster, 05-Дек-19, 14:05 (83)
        
        Предлагаю Вам выключить эмоции, включить назад голову и думать На ПРОПАТЧИВАНИЕ , Michael Shigorin, 05-Дек-19, 14:21 (93)
        
        ЭЭЭЭммм А че, с момента написания первой программы на калькуляторе все это раб, bOOster, 05-Дек-19, 14:27 (97)
        
        Вообще-то да, если Вы и калькуляторы пропустили если нет -- вспомните да подум, Michael Shigorin, 05-Дек-19, 14:32 (99)
        
        Над каким характером расхода времени У тебя разговор идет о безопасности решен, bOOster, 05-Дек-19, 14:38 (101)
        Бизнесмены пля, с характером расхода времени , всю отрасль в вонючее болото пр, bOOster, 05-Дек-19, 14:42 (103)
        
        Ровно наоборот -- _без_ характера И без плана Сиюминутная эфемерная прибыль,, Michael Shigorin, 05-Дек-19, 14:48 (104)
        
        Именно об этом я и говорю и абсолютной необходимости это делать невзирая на хар, bOOster, 05-Дек-19, 15:05 (106)
        
        Справедливости ради, этим всегда больше всех хвалились Pax Team Они и лидеры по, Дон Ягон, 05-Дек-19, 15:59 (111)
        И какой же он новомодный Шнайер ещё в 1999 году писал The mantra of any good s, bircoph, 10-Дек-19, 12:04 (165)
        
        OpenBSD появилась в 1995, ищите цитату получше , Аноним, 10-Дек-19, 13:37 (166)
      - gt оверквотинг удален Никогда OpenBSD не касался и не планирую И вопрос не в , bOOster, 05-Дек-19, 14:14 (88)
        
        А кем доказано, как именно и почему тот же интел живёт де-факто по плану , Michael Shigorin, 05-Дек-19, 14:16 (90)
        
        Ты че, пьяный сегодня чтоле Причем тут интел и его экономика Еще раз мозговые и, bOOster, 05-Дек-19, 14:22 (94)
        
        NO U На такие заявления остаётся пожать плечами в духе если брак по расчёту ока, Michael Shigorin, 05-Дек-19, 14:33 (100)
        На рынке качественных товаров не найти, т к предложений может быть много, но по, www2, 12-Дек-19, 12:13 (169)
        
        По госплану Если по своему собственному, то это не плановая экономика , Какаянахренразница, 05-Дек-19, 18:35 (127)
        
        Бездарь этот ваш Карузо Я точно знаю, мне Рабинович напел , Anonymoustus, 05-Дек-19, 17:56 (118)
        Давай поговорим об этом Как-то только встречается где-то фраза вида Давно док, ssh, 06-Дек-19, 03:45 (150)
      - gt оверквотинг удален И да, насчет сектантства, тебе в голову то и не пришло ч, bOOster, 05-Дек-19, 14:19 (92)
      - Меня ещё запиши И это правда важно Правда, они-то как раз, обычно, не сильно бы, Дон Ягон, 05-Дек-19, 14:41 (102)
        
        Тупость - говорить вышеприведённую фразу, так как вполне может быть и так, что N, Аноним111, 05-Дек-19, 17:39 (117)
        
        Допустить можно абсолютно всё что угодно Но если мы хотим заниматься не пустым , Дон Ягон, 05-Дек-19, 18:17 (123)
        
        Абсолютно так же, как и ты Ты решил не обладая при этом никакими основаниями ,, Аноним, 05-Дек-19, 18:34 (126)
        
        Нет, я решил не так Я вообще ничего не решил Я утверждаю, что на основании тог, Дон Ягон, 05-Дек-19, 18:51 (130)
  - Хайп создают не особо внимательные и сообразительные, зато зело скорые на выводы, Аноним, 06-Дек-19, 01:29 (145)
- Чем сильнее сущность подвержена проблеме reputation overestimated by masses, тем, sstj3n, 05-Дек-19, 09:26 (4) //
  - Да, это проблема любого сияющего града на холме , Michael Shigorin, 05-Дек-19, 14:23 (95) //
    - На самом деле, такого рода сияние превращается в проблему, когда его нужно прода, sstj3n, 05-Дек-19, 21:59 (137)
      - Не совсем понял У team продуктов нет хотя есть сборки , обходить всех и каждо, Michael Shigorin, 06-Дек-19, 01:38 (146)
      - А вот расскажи, почему по-твоему Тео должен так сделать Вот смотри Слоган на са , Дон Ягон, 06-Дек-19, 02:52 (149)
- Это диверсия и антиреклама, учитывая, что они умудрились получить two remote ho, Аноним, 05-Дек-19, 09:27 (6) //
  - По факту ничего не поменялось, они ведь и сейчас наверное только лупбэк слушают,, ssh, 05-Дек-19, 09:32 (8)
  - Не все Включены sshd, slaacd и ntpd , Аноним, 10-Дек-19, 16:14 (167)
- А что не так Почему 171 сказочка 187 , Аноним, 05-Дек-19, 09:53 (13)
- Быстро исправленное уязвимостью не считается, йййй, 05-Дек-19, 10:45 (30) //
  - а вот такой стиль написания кода или стратегии в разработке - считается всё х, ананим.orig, 05-Дек-19, 11:00 (32) //
    - Какой Постепенное написание программы это норма , Аноним, 05-Дек-19, 12:35 (58)
  - Да, знаменитое правило 3 секунд 3 недель , Аноним, 05-Дек-19, 12:14 (52)
- Почему сказочка Просто у них немного альтернативно трактовали трактуют значен, Аноним84701, 05-Дек-19, 12:51 (65) //
  - А в чём проблема-то 2007-03-09 OpenBSD team changes notice on the project s we, Дон Ягон, 05-Дек-19, 14:55 (105) //
    - Проблема - в альтернативной трактовке remote DoS не считается уязвимостью, пок, Аноним84701, 05-Дек-19, 15:40 (108)
      - Ну, remote DoS действительно remote hole, в этом их вполне можно понять Да, т, Дон Ягон, 05-Дек-19, 15:47 (109)
        
        Плюсую , Anonymoustus, 05-Дек-19, 18:11 (120)
Вся мегасекурность опенбсд работает по принципу неуловимого Джо , Аноним, 05-Дек-19, 09:26 (5) //
- Большинству пользователей всё равно КАК что-то работает пока оно работает Принц, A.Stahl, 05-Дек-19, 09:32 (7) //
  - Такие пользователи используют Linux или FreeBSD, а не OpenBSD, mikhailnov, 05-Дек-19, 10:20 (23) //
    - это не-такие-как-все пользователи их используют те кому все равно - используют б, пох., 05-Дек-19, 10:28 (26)
      - Только самые не такие поставят бздю там где десяточке место, пусть даже трижды с, Фигноним, 05-Дек-19, 11:03 (33)
      - Все верно, тем кому все равно насколько он идиот - поставят свою десяточку, и бу, fske, 05-Дек-19, 11:55 (47)
      - С разморозкой Десяточка уже того - EOL , анонн, 05-Дек-19, 12:38 (59)
        
        Не та десяточка Вы бы ещё Солярку-десяточку обыграли каламбурами , Anonymoustus, 05-Дек-19, 18:13 (121)
      - Телезрителю отвечает Анастасия Мельникова I 171 Приходится в очередной раз ко, Andrey Mitrofanov_N0, 05-Дек-19, 12:45 (60)
      - А что плохого в той самой десяточке , если она используется в своей нише , sstj3n, 05-Дек-19, 22:22 (139)
- Зато юниксвейно 11 Смотри в википедии unix family tree, там бсд почти на самом в, Аноним, 05-Дек-19, 09:33 (9) //
  - Наверное потому, что от юникса в лине, кроме оболочки и юзеров бывших, и нет нич, Фигноним, 05-Дек-19, 11:18 (37) //
    - Мне плевать, что керосиновая лампа не из мира автоспорта У меня задача стоит ос, Аноним, 05-Дек-19, 11:37 (43)
      - у тебя шесть ошибок в слове спалить, пох., 05-Дек-19, 12:15 (53)
        
        шесть , Аноним, 05-Дек-19, 12:27 (55)
        Это зависит от рукожoпости конкретного пользователя Ориентируясь на свои не ум, Аноним, 05-Дек-19, 12:47 (63)
        Достаточно пяти http planetcalc ru 1721 , Michael Shigorin, 05-Дек-19, 14:29 (98)
      - Керосиновой лампой Ну-ну Ты хоть раз её использовал Она подходит для освещени, Ordu, 05-Дек-19, 22:15 (138)
        
        То есть все-таки нужно освещать сортир спорткаром Или ты просто потерял нить раз, Аноним, 06-Дек-19, 01:51 (148)
        
        Электрической лампой Толчок иногда нужен очень срочно, иногда времени нет на то, Ordu, 06-Дек-19, 09:31 (151)
        
        Разжую так, что поймет и четырехлетний Комментатор Фигноним в своей аналогии н, Аноним, 06-Дек-19, 17:19 (156)
        
        О, это я люблю Что значит не говорил В спорткаре электрические лампы, соверше, Ordu, 06-Дек-19, 21:30 (157)
        
        Это уже твои личные проблемы, что там у кого в спорткаре Никто по аналогии в это, Аноним, 07-Дек-19, 07:31 (158)
        
        Нет, в рамках аналогии электрическая лампа из спорткара гораздо лучше подходит , Ordu, 07-Дек-19, 10:15 (159)
  - Эк у тебя от этого подгорает, хотя причина непонятна Опять какие-то перепончаты, анонн, 05-Дек-19, 13:26 (76) //
    - Блин А ведь и правда линчуют негров , Аноним, 05-Дек-19, 14:08 (85)
качество кода говорили они CVE-2019-19520 - совсем какие-то детские баги , Аноним, 05-Дек-19, 09:34 (10) //
- обычная ошибка, и детская и взрослая, Аноним, 05-Дек-19, 09:56 (15) //
  - ошибка уровня неопытного программиста-студента, который пропустил на занятиях гл, Аноним, 05-Дек-19, 10:04 (18) //
    - Непременно займитесь, nobody, 05-Дек-19, 11:15 (36)
      - Сомневаетесь А зря Здесь почти любой анонимный комментатор -- минимум сеньор р, ssh, 05-Дек-19, 11:24 (40)
        
        А разве IQ может быть 255 Там же переполнение получается , ryoken, 05-Дек-19, 12:45 (61)
        
        То-то у анонимов интеллект так и хлещет, Аноним, 05-Дек-19, 13:08 (70)
        
        5 баллов за этот прекрасный комментарий и две чашечки чёрного горячего чая с мёд, nox., 05-Дек-19, 15:36 (107)
    - Ну так нешто перед тобой клавиатуры нет , Аноним, 05-Дек-19, 13:04 (68)
За передачу параметров через CLI надо выписывать волчий билет Нужно вообще в опе, Аноним, 05-Дек-19, 09:40 (11) //
- глупости, Аноним, 05-Дек-19, 09:57 (16) //
  - MSDN-технологии Микрософт АктивКС-то уже давно кончился, а раненных пуаршеллом, Andrey Mitrofanov_N0, 05-Дек-19, 10:07 (19)
- Powershell обкурились , mikhailnov, 05-Дек-19, 10:19 (22) //
  - PS, кстати, офигенен - не чета башпортянкам , Аноним, 05-Дек-19, 10:23 (24) //
    - Башпортянки, кстати, офигенны - не чета PS , Аноним, 05-Дек-19, 10:42 (29)
    - Не, офигенен VB Вирусы в doc-ах и почтах -- киллер-фичА и визитная МС , Andrey Mitrofanov_N0, 05-Дек-19, 10:53 (31)
      - вирусы во всяком случае - трояны в bbs-почте в виде интересных ascii-последо, пох., 05-Дек-19, 13:07 (69)
    - Принимаю цивилизационно винду как данность, ей безусловно есть место в жизни, вс, Фигноним, 05-Дек-19, 11:26 (41)
    - Это вот такое, где в bash-e например надо написать -f, а в этом вашем ps - пару , ryoken, 05-Дек-19, 12:47 (62)
      - ты и в баше - тоже tab completion не умеешь И да, время двухбуквенных команд не, пох., 05-Дек-19, 13:12 (71)
      - Как периодически ляпающий и на sh и на powershell скриптоту, честно признаюсь - , Аноним, 05-Дек-19, 13:57 (79)
      - Чуваки, в ПШ есть автодополнение Не благодарите Да, и ПШ в руках грамотного спец, Anonymoustus, 05-Дек-19, 18:19 (124)
        
        автодополнение чего по tab и в баше дополняет вы уж конкретнее одна из старей, аноним3, 05-Дек-19, 20:49 (134)
        
        google com search q powershell autocompleteНу и чтоб два раза не вставать google, Anonymoustus, 05-Дек-19, 20:58 (135)
- Зашёл чтобы написать ровно то же CLI, как и SQL, это юзер интерфейсы, а не API , Аноним, 05-Дек-19, 11:18 (38) //
  - от повторения глупости она меньшей глупостью не становится юзеры уже тридцать ле, пох., 05-Дек-19, 13:14 (72) //
    - К сожалению, может стать реальностью -- см Третья волна , Michael Shigorin, 05-Дек-19, 14:10 (86)
    - Так они же ж книжек про это Unix is an IDE не читали Пользуясь случаем, вброшу, Anonymoustus, 05-Дек-19, 18:27 (125)
NetBSD, кстати, ничем не хуже OpenBSD Хотя и не кукарекает на каждом углу о без, Аноним, 05-Дек-19, 09:40 (12) //
- Ну они хуже например тем что openssh не сделали - , Аноним, 05-Дек-19, 09:59 (17) //
  - Они лучше тем, что либре-как-её-там не сделали Даже не хочу участвовать в этом , Аноним, 05-Дек-19, 22:34 (141)
- По количеству платформ они давно уже уступают линуксу , Аноним, 05-Дек-19, 10:12 (20) //
  - Какому линуксу Linux - это ядро А NetBSD - монолитная универсальная операционн, Аноним, 05-Дек-19, 10:18 (21) //
    - Какая NetBSD BSD -- это дистрибутив софта из Беркли PS если подковырка не пон, Michael Shigorin, 05-Дек-19, 14:03 (81)
      - та понятно всё, только вот что ответить на это ума не приложу сарказмом на сар, Аноним, 05-Дек-19, 18:05 (119)
    - А железо не ядром поддерживается, случаем , Аноним, 05-Дек-19, 14:12 (87)
      - Разумеется, но ядро не само ведь по себе железо поддерживает - ему ещё и инструм, Аноним, 05-Дек-19, 22:27 (140)
- netbsd хуже тем, что практически не работает на реальном железе, а иногда не раб, б.б., 05-Дек-19, 10:34 (28) //
  - надо полагать, что она незаслуженно получила статус самой портабельной системыну, Аноним, 05-Дек-19, 22:56 (143)
- На моем лаптопчике netbsd заведет вайфай, камеру, сеть, динамики и прочую перифе, Аноним, 05-Дек-19, 13:59 (80) //
  - Точно заведёт процессор, память, стандартный компорт если повезёт, что он есть , Аноним, 05-Дек-19, 14:17 (91) //
    - И это при том, что винду 10-ку с некоторыми оговорками об старом железе и лину, Аноним, 05-Дек-19, 18:35 (128)
      - В NetBSD подобных оговорок гораздо меньше Эти времена никуда не делись Люди до , Аноним, 05-Дек-19, 22:35 (142)
Тео не думал перейти на Rust Очевидно 70 проблем решат , Аноним, 05-Дек-19, 10:23 (25) //
- Городские легенды Думаю, Тео и Ко достаточно опытны, чтобы не совершать ошибок,, йййй, 05-Дек-19, 10:33 (27) //
  - да, действительно а новость, под которой мы все пишем комментарии, видима илл, ranc, 05-Дек-19, 11:08 (34) //
    - Хоть и всеми руками за Rust, но такие комментарии меня очень огорчают Еще раз вн, another anonymous, 05-Дек-19, 11:52 (46)
      - Там еще про нулевой указатель чтот было Кстати, в расте принято исползовать , Аноним, 11-Дек-19, 04:58 (168)
    - Расскажи нам, непризнанный гений, чем бы в данном случае помог rust Или всё-так, Аноним, 06-Дек-19, 00:14 (144)
- Пусть сразу на питоне пилят, там главное чтоб пробелами не ошибались , deanon, 05-Дек-19, 11:10 (35) //
  - в bf это -- главнее , Andrey Mitrofanov_N0, 05-Дек-19, 11:36 (42)
  - даже kate за тебя все пробелы решит в питоне нечего так уныло поскуливать ибо , аноним3, 05-Дек-19, 14:15 (89)
- Ваш rust ни о чем М пилит верону, так что и вам тужа же , pin, 05-Дек-19, 12:10 (50)
Уязвимости в OpenBSD, позволяющие повысить привилегии и обой..., Аноним, 05-Дек-19, 11:19 (39) //
- Откуда вы это все берёте Try to be the 1 most secure operating system Значени, Дон Ягон, 05-Дек-19, 16:18 (113) //
  - за множество лет её так превозносили как самая безопасная, так что сами они и по, Анонимчжан, 05-Дек-19, 16:29 (114) //
    - Как сами разработчики пишут о себе, я процитировал Всё остальное - чьи-то неумны, Дон Ягон, 05-Дек-19, 16:38 (115)
      - тут ты прав нет ни одного человека в мире не делающего ошибок, а пишут программ, Анонимчжан, 05-Дек-19, 18:14 (122)
        
        Если ты про крикунов-фанатиков, которые кричат, что OpenBSD рулезфарева и ниа, Дон Ягон, 05-Дек-19, 19:29 (132)
        
        у дебиана был похожий , Анонимчжан, 08-Дек-19, 00:31 (163)
Кастую кого-нибудь из сектантов Дон Ягон, приди Дон Ягон, приди Дон Ягон, при, Гендальф, 05-Дек-19, 12:12 (51) //
- Не так Вот так Spawnmass Дон Ягон , ryoken, 05-Дек-19, 12:49 (64)
- Ну пришёл, и что Я, правда, и так бы пришёл А звать пора уже дедушку мороза, а , Дон Ягон, 05-Дек-19, 13:16 (74)
Не удивлен Пока OpenBSD не будет переписан на расте - не имеет смысла говорить , Аноним, 05-Дек-19, 12:28 (56) //
- Боюсь, растоманов к ней подпускать становится всё опаснее -- мантры ведь не рабо, Michael Shigorin, 05-Дек-19, 14:07 (84) //
  - Значит свой мусор в виде подковырок и шуток ты понимаешь хорошо, а когда други, Аноним..., 05-Дек-19, 17:29 (116)
- Управляющий банка знает про Rust Сильно пошутил , Аноним, 05-Дек-19, 14:23 (96)
- Почему на Расте-то На нём толком и доказать-то ничего нельзя Надо обязательно , Аноним, 06-Дек-19, 11:57 (152) //
  - Есть в английском слово cocksure Если доказывать безопасность софта формально, , Аноним, 06-Дек-19, 14:02 (155)
безопасность - это обязательное шифрование всех дисковых разделов мдэ таки пр, крокодил мимо.., 05-Дек-19, 12:52 (66)
Хотел написать про это мини-новость, откладывал три дня Дооткладывался , Дон Ягон, 05-Дек-19, 13:25 (75)
А никто из сдравомыслящих и не сомневается в секурности ОпенБСД , Аноним, 05-Дек-19, 13:35 (78) //
- Да-да, именно из них , anonymous, 05-Дек-19, 16:09 (112)
Как верно было замечено вся безопасность openbsd заключается в её ненужности Пок, Аноним, 05-Дек-19, 14:03 (82)
Как тео был шизиком, форкнувшим нетку из-за ФАТАЛЬНОГО НЕДОСТАТКА, так и остался, Аноним, 05-Дек-19, 20:07 (133)
Уж очень красивая дыра Подставляем нужный символ в логин и нас пускают Не спец, AnonPlus, 06-Дек-19, 01:47 (147) //
- Так рута таким образом всё равно не получишь Так что смысл , Дон Ягон, 06-Дек-19, 13:55 (153)
Почитал каменты Захотелось цитатами Тео некоторым поотвечать , Аноним, 06-Дек-19, 13:58 (154) //
- Так ответь Интересно же почитать , zurapa, 07-Дек-19, 22:30 (160)
Там недоразумение в libc вышло, но почему-то надо было это отнести к OpenBSD и O, zurapa, 07-Дек-19, 23:01 (161)
М-дя Пришлось адаптировать патч для libc к одной из старых версий OS и пересо, adsh, 08-Дек-19, 00:29 (162)
Хорошо, что нашли уязвимости и устранили , mezantrop, 09-Дек-19, 17:27 (164)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру