forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимости в OpenBSD, позволяющие повысить привилегии и обой..."
Отправлено Дон Ягон, 06-Дек-19 02:52

> убрали бы со своего сайта такую надпись и опубликовали бы вместо этого краткий отчетец: как нашли, почему так вышло, что сделали, чтобы поправить?
А вот расскажи, почему по-твоему Тео должен так сделать? Вот смотри.
Слоган на сайте OpenBSD - "Only two remote holes in the default install, in a heck of a long time!".
Всего две удалённо-эксплуатируемые дыры (подразумевается remote root) в установке по-умолчанию.
Теперь посмотрим на текущие дыры.
CVE-2019-19521 - удалённо получить доступ с правами _smtpd, _ldapd или _radiusd. При условии, что все эти сервисы включены и используются (по умолчанию включен только smtpd, но слушает только локалхост). При условии, что в smtpd используется PLAIN авторизация.
CVE-2019-19520 - локальный атакующий может поднять свои права до auth через дыру в xlock.
CVE-2019-19522 - в случае, если используется S/Key или YubiKey локальный атакующий может поднять свои права с auth до root.
(https://www.openwall.com/lists/oss-security/2019/12/04/5)
Не пойми неправильно - я не хочу сказать, что проблемы фигня и ничего не значат. Нет. Ничего хорошего, абсолютно, неприятные и обидные дыры.
Но формулировке из слогана они не соответствуют, не так ли?
Его смысл, кстати, не в "в OpenBSD всего две дыры", а в том, что стандартная установка OpenBSD (т.е. сразу после установки ОС) была удалённо дырява всего 2 раза.
Отсутствие удалённых дыр в стандартной поставке - это минимальный признак безопасности, а не максимальный, как почему-то все думают.
Если сразу после установки ОС сразу можно портутать, то она шерето. OpenBSD доказанно была оным всего два раза за долгое время.
Смысл слогана в этом, а не в том, что "в опенбсд никаких дыр, вот только всего 2 было и больше не".
Но не суть. Так почему Тео должен менять слоган?
А то, что в OpenBSD, как и в любой другой ОС есть дыры никогда и не скрывалось. На той же странице, где написано про эту уязвимость написаное ещё и про другие. Короткое описание проблемы и ссылка на патч. Сойдёт за описание и "что сделали, чтобы поправить"? А что касается как нашли - это к тем, кто нашёл. Они довольно подробно описали.

Исходное сообщение
"Уязвимости в OpenBSD, позволяющие повысить привилегии и обой..." Отправлено Дон Ягон, 06-Дек-19 02:52
> убрали бы со своего сайта такую надпись и опубликовали бы вместо этого краткий отчетец: как нашли, почему так вышло, что сделали, чтобы поправить? А вот расскажи, почему по-твоему Тео должен так сделать? Вот смотри. Слоган на сайте OpenBSD - "Only two remote holes in the default install, in a heck of a long time!". Всего две удалённо-эксплуатируемые дыры (подразумевается remote root) в установке по-умолчанию. Теперь посмотрим на текущие дыры. CVE-2019-19521 - удалённо получить доступ с правами _smtpd, _ldapd или _radiusd. При условии, что все эти сервисы включены и используются (по умолчанию включен только smtpd, но слушает только локалхост). При условии, что в smtpd используется PLAIN авторизация. CVE-2019-19520 - локальный атакующий может поднять свои права до auth через дыру в xlock. CVE-2019-19522 - в случае, если используется S/Key или YubiKey локальный атакующий может поднять свои права с auth до root. (https://www.openwall.com/lists/oss-security/2019/12/04/5) Не пойми неправильно - я не хочу сказать, что проблемы фигня и ничего не значат. Нет. Ничего хорошего, абсолютно, неприятные и обидные дыры. Но формулировке из слогана они не соответствуют, не так ли? Его смысл, кстати, не в "в OpenBSD всего две дыры", а в том, что стандартная установка OpenBSD (т.е. сразу после установки ОС) была удалённо дырява всего 2 раза. Отсутствие удалённых дыр в стандартной поставке - это минимальный признак безопасности, а не максимальный, как почему-то все думают. Если сразу после установки ОС сразу можно портутать, то она шерето. OpenBSD доказанно была оным всего два раза за долгое время. Смысл слогана в этом, а не в том, что "в опенбсд никаких дыр, вот только всего 2 было и больше не". Но не суть. Так почему Тео должен менять слоган? А то, что в OpenBSD, как и в любой другой ОС есть дыры никогда и не скрывалось. На той же странице, где написано про эту уязвимость написаное ещё и про другие. Короткое описание проблемы и ссылка на патч. Сойдёт за описание и "что сделали, чтобы поправить"? А что касается как нашли - это к тем, кто нашёл. Они довольно подробно описали.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру