Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в telnetd, позволяющая подключиться с правами root без аутентификации"	+/–
Сообщение от opennews (?), 20-Янв-26, 22:25
В сервере telnetd из набора GNU InetUtils выявлена уязвимость, позволяющая подключиться под любым пользователем, включая пользователя root, без проверки пароля. CVE-идентификатор пока не присвоен. Уязвимость проявляется начиная с версии InetUtils 1.9.3 (2015 год) и остаётся неисправленной в актуальном выпуске 2.7.0. Исправление доступно в форме патчей (1, 2)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64649
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от Аноним (3), 20-Янв-26, 22:32	+5 +/–
> telnetd в марте 2015 серьезно? последний раз на сервер телнетом заходил еще в прошлом веке...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #12, #89, #97, #103

4. Сообщение от Аноним (4), 20-Янв-26, 22:36	+7 +/–
На роутерах есть в проприетарных прошивках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5, #6

5. Сообщение от Аноним (5), 20-Янв-26, 22:43	+2 +/–
На роутерах BusyBox и его аналоги/форки. Роутеров с GNU InetUtils скорее всего в природе не существует, а значит уязвимость неприменима.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #34

6. Сообщение от Аноним (6), 20-Янв-26, 22:49	+2 +/–
Даже интересно, кто-то выставляет роутеры телнетом наружу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8, #9, #24, #80

7. Сообщение от Аноним (7), 20-Янв-26, 22:51	+2 +/–
Всего-то на одиннадцатый год индеец тысячеглаз заметил…
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #40

8. Сообщение от Аноним (3), 20-Янв-26, 22:56	+1 +/–
ну может перепутали wan и lan, да так и оставили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (9), 20-Янв-26, 23:17	+2 +/–
кинетики через телнет работают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17, #60

11. Сообщение от Сообщник (?), 20-Янв-26, 23:28	–4 +/–
Отчего же сообщество не заметило такой явный косяк? Может не смотрит никто? Только орут что код надо держать открытым 🤔 а как до дела доходит, сливаются как я вижу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #15, #22, #45, #48, #104

12. Сообщение от Сообщник (?), 20-Янв-26, 23:30	+1 +/–
За тебя им заходили на твой сервер, не переживай. Через кинетик тоже заходили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #30

13. Сообщение от фф (?), 20-Янв-26, 23:33	+5 +/–
ну вот заметили же. В проге, которой почти никто не пользуется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20

15. Сообщение от Аноним (15), 20-Янв-26, 23:44	+1 +/–
Любитель проприетари?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #16

16. Сообщение от Аноним (-), 20-Янв-26, 23:52	–1 +/–
Это было что? Попытка оправдания бракоделов? Или ты так выгораживаешь бесполезные тыщи глаз?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от Аноним (17), 20-Янв-26, 23:58	+1 +/–
а еще они работают через ssh, http и https... к чему был коммент выше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #29

18. Сообщение от Аноним (18), 21-Янв-26, 00:21	+/–
rhel 6.9 пронесло ) $ cat /etc/redhat-release CentOS release 6.9 (Final) $ USER="-f root" telnet -a 127.0.0.1 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. I don't hear you! Connection closed by foreign host. $
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #78

19. Сообщение от Аноним (19), 21-Янв-26, 00:31	+1 +/–
> При вызове утилиты login значение данной переменной окружения подставлялось без дополнительной проверки и без экранирования спецсимволов. Это нужно на этапе компиляции проверять!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

20. Сообщение от Аноним (-), 21-Янв-26, 00:32	+/–
> ну вот заметили же. И десяти лет не прошло... а нет таки прошло. > В проге, которой почти никто не пользуется. Хотя это не показатель. Вон в ядре, на которое должны смотреть тысячи спецов, намеренный бекдор жил 10 лет. А "чистослучайные бекдоры" в виде ошибок жили еще дольше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

22. Сообщение от scriptkiddis (?), 21-Янв-26, 00:38	+5 +/–
Вот и я удивлен, и почему ты не заметил. Нужно тебя уволить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

23. Сообщение от wergus (?), 21-Янв-26, 00:42	+/–
"И года не прошло", а тут вот и пригодился ....
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (5), 21-Янв-26, 00:42	+1 +/–
Даже интересно кто уверен, что в его локальной сети нет китайских/фсбшных ботнетов в виде сявоми/хуавея/Яндекс подружки етц.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #36

25. Сообщение от Eifan (?), 21-Янв-26, 00:45	+2 +/–
6.9 ? А чего не 4.0 ну, чтобы уж наверняка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

27. Сообщение от Аноним (27), 21-Янв-26, 01:25	+/–
Было же исследование, которое показало, что использование telnetd небезопасно. Эффективнее использовать SSH
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

28. Сообщение от Аноним (28), 21-Янв-26, 01:41	+3 +/–
Тут про Неуловимого Джо актуальнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

29. Сообщение от Alladin (?), 21-Янв-26, 02:52	+/–
к тому что и через телнет они работают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #31

30. Сообщение от 12yoexpert (ok), 21-Янв-26, 03:27	–6 +/–
где ты видел запускаемый по умолчанию телнет, кроме винды? покупатели кинтетиков и прочих микротиков - ссзб. ещё бы цыски брали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #49, #53

31. Сообщение от Аноним (17), 21-Янв-26, 03:29	+/–
Этот тред начался с: > Даже интересно, кто-то выставляет роутеры телнетом наружу? Кинетик по дефолту выставляет телнет наружу? Нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #33, #35

33. Сообщение от Аноним (5), 21-Янв-26, 03:45	+/–
А внутри что сильно безопаснее чем наруже?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #39, #102

34. Сообщение от Аноним (34), 21-Янв-26, 04:12	+1 +/–
> Уязвимость проявляется начиная с версии InetUtils 1.9.3 (2015 год) А у меня вообще убунта 14 (2014 год) - этой дырки ещё не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

35. Сообщение от Аноним (34), 21-Янв-26, 04:23	+/–
> наружу? Нет. Изнутри любой сайт через браузер всю локалку протыкать может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #38

36. Сообщение от Аноним (34), 21-Янв-26, 04:25	+3 +/–
Нет, таких нету. Только цисковские ботнеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

37. Сообщение от Аноним (34), 21-Янв-26, 04:29	+2 +/–
А раст это умеет делать? Он же мастер по компилтайм проверкам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

38. Сообщение от Аноним (17), 21-Янв-26, 04:57	+/–
Уже не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #41

39. Сообщение от Аноним (17), 21-Янв-26, 05:02	+2 +/–
А что, нет что ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

40. Сообщение от Аноним (-), 21-Янв-26, 05:26	–3 +/–
Просто появился Opus 4.5, который может находить очень obscured и nuanced баги. Поэтому в последние месяцы так много issues вскрылось в старых проектах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #67

41. Сообщение от Аноним (34), 21-Янв-26, 05:27	+/–
С 2015 уже всех кого только можно было через браузер протыкали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

43. Сообщение от morphe (?), 21-Янв-26, 05:53	+1 +/–
> В качестве решения была добавлена поддержка передачи имени пользователя для режима autologin через переменную окружения, но проверку корректности имени пользователя из переменной окружения добавить забыли. При чём тут проверка значения переменной окружения, если проблема в том, что сервер это сожрал? С тем же успехом можно и своего клиента написать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

45. Сообщение от Sm0ke85 (ok), 21-Янв-26, 07:15	+3 +/–
>Отчего же сообщество не заметило такой явный косяк? Может не смотрит никто? Только орут что код надо держать открытым 🤔 а как до дела доходит, сливаются как я вижу. Во-первых: это почти не используемая история, а во-вторых: ты серьезно думаешь, что в проприетарщине хоть на чуть-чуть лучше...??? на винде около 10 лет можно было под гостем из консоли создать пользователя с админкой, а потом зайти в него и в рабочей системе удалить его, оказавшись на правах системы в ОС, все делалось буквально в одну команду...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #47, #65

46. Сообщение от Аноним (34), 21-Янв-26, 07:46	+/–
Наверно, стоит почитать про сервер telnetd... Клиент передаёт ENVIRON на сервер, а тот уже выцепляет переменную с именем. this sends the user name via the USER variable of the ENVIRON option if supported by the remote system
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #83

47. Сообщение от Аноним (47), 21-Янв-26, 09:03	–2 +/–
Именно об этом и речь: что проприетарщина, что открытый код — разницы никакой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #50, #54

48. Сообщение от Аноним (48), 21-Янв-26, 09:14	+/–
Я тебя удивлю, но через сколько лет такое замечают (и замечают ли вообще) в проприетари никто не знает (и никогда не узнает). В этом и разница.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #55

49. Сообщение от 1 (??), 21-Янв-26, 09:17	+/–
А в какой винде сервер telnet по умолчанию запускается ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

50. Сообщение от 1 (??), 21-Янв-26, 09:18	+/–
"сила ночи, сила дня - одинакова ..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

51. Сообщение от 1 (??), 21-Янв-26, 09:20	+2 +/–
как раз "эффективнее" - telnetd. А ssh - безопаснее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

53. Сообщение от Аноним (53), 21-Янв-26, 09:40	+/–
В Mikrotik обычно включен по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #59, #75

54. Сообщение от Аноним (53), 21-Янв-26, 09:44	+/–
Нет. В открытом исходном коде возможно проверить код, т.е. нет насилия по отношению к индивиду, в закрытом невозможно проверить код, т.е. есть насилие к индивиду, т.к. отсутствует добровольно-информированное согласие на действия с имуществом индивида. Разве не очевидно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #62

55. Сообщение от Аноним (53), 21-Янв-26, 09:45	+/–
Я бы еще добавил, что с высокой вероятностью об этом узнают те, кто будет это активно эксплуатировать, пока разработчик не закроет эту дверь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

58. Сообщение от Аноним (-), 21-Янв-26, 09:55	+2 +/–
> Уязвимость в telnetd, позволяющая подключиться > с правами root без аутентификации Эх, где ж вы раньше то были? Сейчас этот телнет уже х... найдешь :)
Ответить | Правка | Наверх | Cообщить модератору

59. Сообщение от Аноним (-), 21-Янв-26, 09:58	+/–
> В Mikrotik обычно включен по умолчанию. И они юзают - вот прям гнутый telnetd а не что помельче типа busybox?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #61

60. Сообщение от Аноним (-), 21-Янв-26, 09:59	+/–
> кинетики через телнет работают Врядли туда смогли затолкать - сабж. Там busybox какой скорее. И совсем не факт что он на такое ведется, это проверять надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #82

61. Сообщение от Аноним (53), 21-Янв-26, 10:10	+/–
В такие подробности не вникат. Думаю, что это информация не является открытой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #71

62. Сообщение от Аноним (47), 21-Янв-26, 10:13	+/–
Я не про философскую муйню, а про практический результат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #64

63. Сообщение от Соль земли2 (?), 21-Янв-26, 10:27	+/–
То есть login отвечает и за проверку пароля и за вход в систему? Это нарушает Single Responsibility Principle. Пусть тогда ещё заваривает кофи.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79, #90

64. Сообщение от Аноним (53), 21-Янв-26, 10:29	+/–
Если до тебя не доходит или злость на тему свободы затмила твой разум, то продублирую для тебя лаконично: - В проприетарном ПО невозможно 100% узнать о том, что делает программа; - В случае открытого ПО возможно узнать, т.к. исходный текст программы доступен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #68

65. Сообщение от Аноним (-), 21-Янв-26, 10:34	+2 +/–
> ты серьезно думаешь, что в проприетарщине хоть на чуть-чуть лучше... Да, тк зарабатываю на жизнь написанием проприетарного кода. В коде есть тесты, и фаззинг, и отдаем на аудит (который такую фигню точно бы нашел). У меня и коллег есть мотивация делать хорошо, т.к от этого зависит наше благополучие. А на что способны "бесплатные" работники мы читаем вот прямо в этой новости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #69, #72

66. Сообщение от Двачер (?), 21-Янв-26, 10:57	+/–
Правильно ли я  пони маю, что это всего лишь локальная эскалация привилегий?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #81, #85

67. Сообщение от Аноним (67), 21-Янв-26, 11:08	+/–
Аудиокодек?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

68. Сообщение от Аноним (68), 21-Янв-26, 12:16	+/–
>- В случае открытого ПО возможно узнать, т.к. исходный текст программы доступен. в таком случае тоже не 100% что то что у тебя работает собрано из того что ты видишь в открытых исходниках
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #70

69. Сообщение от Аноним (68), 21-Янв-26, 12:18	+/–
>У меня и коллег есть мотивация делать хорошо, т.к от этого зависит наше благополучие. пока не выгорите
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #86

70. Сообщение от Аноним (53), 21-Янв-26, 12:23	+/–
Я из исходников собираю, но если ты имеешь ввиду, что то, что выложено в бинарниках и то, что находится в исходниках, может отличаться, то очевидно, что может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #108

71. Сообщение от Аноним (-), 21-Янв-26, 12:28	+/–
> В такие подробности не вникат. Думаю, что это информация не является открытой. Думаю что расковырять прошивку этой пакости - а то и покопаться в сорце (с них можно получить исходники открытых частей) не такой уж рокетсайнс. Просто нужен кто-то относительно компетентный с этим всем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #77

72. Сообщение от Аноним (53), 21-Янв-26, 12:36    Скрыто ботом-модератором	+/–
>> ты серьезно думаешь, что в проприетарщине хоть на чуть-чуть лучше... > Да, тк зарабатываю на жизнь написанием проприетарного кода. То, что ты зарабатываешь себе на жизнь написанием проприетарщины, не является положительным качеством или поводом тебя пожалеть. > В коде есть тесты, и фаззинг, и отдаем на аудит (который такую фигню точно бы нашел). Неизвестно кто там и что бы нашел, кто кому на лапу дал и т.д. Только исходники могут что-то подтвердить, а все остальные заявления о том, что там делает ПО на ПК пользователя, это только рассказы для дураков, которые верят на слово. > У меня и коллег есть мотивация делать хорошо, т.к от этого зависит наше благополучие. Благополучие зависит в т.ч. от того, насколько каждый индивид свободен в обществе, а проприетарщиной ты вбиваешь гвозди в свободу. > А на что способны "бесплатные" работники мы читаем вот прямо в этой новости. У тебя когнитивные искажения. Это вообще неуместно сравнивать, т.к. проверить исходники проприетарщины объективно невозможно, чтобы вообще можно было дискутировать по этим темам. Несмотря на это все равно то там, то сям проприетарщина палится бэкдорами или ошибками в программах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #84

73. Сообщение от Аноним (73), 21-Янв-26, 12:39	+/–
Унипс-вей. Таки UHG до сих пор актуальна.
Ответить | Правка | Наверх | Cообщить модератору

74. Сообщение от Аноним (74), 21-Янв-26, 12:45	–1 +/–
Могу сказать только со стороны, так называемых, "usb-свистков". Некоторые модели хуавеев и zte имеют у себя открытый порт telnet. Но толк от данный уязвимости околонулевой, т.к. пароль там и так везде одинаковый. Но и защищать ничего не требуется в силу особенности применения. Получается, это единственный случай, где применение telnet оправдано.
Ответить | Правка | Наверх | Cообщить модератору

75. Сообщение от 1 (??), 21-Янв-26, 12:51	+/–
Да ладно ! Вроде с 6 версии только ssh.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

77. Сообщение от Аноним (53), 21-Янв-26, 12:59	+/–
Если ты про обратную разработку, то это не тоже самое, что исходники. Так что нет, не подходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

78. Сообщение от Аноним (78), 21-Янв-26, 13:07	+/–
> rhel 6.9 пронесло ) А уж если msdos 3 взять - там вы небось и telnetd то запустить не сможете. Ну и облом для хакеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

79. Сообщение от Аноним (78), 21-Янв-26, 13:08	+1 +/–
> То есть login отвечает и за проверку пароля и за вход в систему? Надо же как удивительно, программа с названием login и правда отвечает - за логин в систему :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

80. Сообщение от Страдивариус (?), 21-Янв-26, 13:20	+/–
Если внутри, то это может быть способом получить на провайдерском роутере root, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

81. Сообщение от Аноним (81), 21-Янв-26, 13:23	+3 +/–
Не правильно. Через ENVIRON переменная USER='-f root' передается на удаленный сервер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #101

82. Сообщение от Аноним (17), 21-Янв-26, 13:25	+1 +/–
> И совсем не факт что он на такое ведется, это проверять надо. Не ведется. $ USER='-f root' telnet -a 172.16.1.1 Trying 172.16.1.1... Connected to 172.16.1.1. Escape character is '^]'. KeeneticOS version 4.03.C.6.3-9, copyright (c) 2010-2025 Keenetic Ltd. Login:
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

83. Сообщение от morphe (?), 21-Янв-26, 13:34	+1 +/–
> this sends the user name via the USER variable of the ENVIRON > option if supported by the remote system Окей, примерно понял как оно работает, звучит тупо и небезопасно если там не фильтруются другие переменные окружения, потому что в таком случае можно и через проброс PAM_CONFDIR/PAM_SERVICE что-то придумать Вживую telnetd нигде не видел и сам не трогал telnet уже лет 15, не ожидал что там организовали какие-то протоколы, думал что юзер это просто текстовый запрос от сервера, а не что-то специально обрабатываемое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

84. Сообщение от Аноним (84), 21-Янв-26, 13:45    Скрыто ботом-модератором	+/–
> То, что ты зарабатываешь себе на жизнь написанием проприетарщины, не является положительным  качеством Хм... кажется завоняло коммунистической ЖПЛ. > или поводом тебя пожалеть. Зачем меня жалеть? Я делаю то что мне нравится, и мне за это деньги платят. И мне, слава богу-машине, не приходится ради грантиков танцевать в фyppu-сьюте или оправдывать π-филов. > Неизвестно кто там и что бы нашел, кто кому на лапу дал и т.д. Вот именно что тебе неизвестно, но с умным видом вещаешь. > Только исходники могут что-то подтвердить, Я их вижу и пишу. > а все остальные заявления о том, что там делает ПО на ПК пользователя, это только > рассказы для дураков, которые верят на слово. Полностью согласен. Вот тебе говорили что telnetd делает одно, а на самом деле он бекдор содержит. 10 лет) > Благополучие зависит в т.ч. от того, насколько каждый индивид свободен в обществе, а проприетарщиной ты вбиваешь гвозди в свободу. Вместо аргументов какие-то идеологические лозунги. Не хочешь пойти на должность маркетолуха? Думаю у тебя неплохо будет получаться. > Это вообще неуместно сравнивать, Почему? У тебя в опенсорс софте бекдор жил 10 лет. > т.к. проверить исходники проприетарщины объективно невозможно, чтобы вообще можно было дискутировать по этим темам Кому нужно проприетарные программы предоставляют исходники. > Несмотря на это все равно то там, то сям проприетарщина палится бэкдорами или ошибками в программах. Ошибки будут везде. Вопрос в кол-ве и качестве. Исходники винды утекали несколько раз, и много там нашли бекдоров? Вот то то и оно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #87

85. Сообщение от Аноним (85), 21-Янв-26, 13:47	+/–
Если telnetd выставить опой в интернет, то уже не локальная будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

86. Сообщение от Аноним (-), 21-Янв-26, 14:15    Скрыто ботом-модератором	+/–
> пока не выгорите Соблюдайте life-work balance. Не работайте на галерах. Не забивайте на семью/друзей/хобби/кошку/подставьте то, что важно именно вам. Сделайте фин. подушку и продумайте план Б. И проблемы с выгоранием не будет. Элементарно жы! ЗЫ: а писатели попенсорса не выгорают? Или сроки поддержки LTS-ядер Linux просто так сокращатся? А ведь этим немамонтам еще и не платят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

87. Сообщение от Аноним (53), 21-Янв-26, 14:58	+/–
> Хм... кажется завоняло коммунистической ЖПЛ. Это тебе только кажется. > И мне, слава богу-машине, не приходится ради грантиков танцевать в фyppu-сьюте или оправдывать π-филов. А у тебя либо так, либо никак? Черное и белое? >> Неизвестно кто там и что бы нашел, кто кому на лапу дал и т.д. > Вот именно что тебе неизвестно, но с умным видом вещаешь. И тебе это неизвестно. Так что не умничай. Я тебе к этому и пишу, что исходники нужны, чтобы знать что там по факту. > Я их вижу и пишу. Они должны быть предоставлены тому, на чьем имуществе программа будет действие выполнять. > Полностью согласен. > Вот тебе говорили что telnetd делает одно, а на самом деле он > бекдор содержит. > 10 лет) Ой, как смешно! Одно с другим путаешь, не понимаешь этого и смеешься. Объясняю. Заявления проприетарщиков о том, что делает их ПО, вера на слово, т.к. это физически невозможно проверить пользователю, т.к. программа в бинарном виде. А верят только дураки. В случае предоставления исходников возможно проверить. Неважно кто будет проверять: сам пользователь, знакомый или аудитор за деньги... Факт, что это можно сделать. Дополнительно кто-то случайно может копаться в исходниках для своих дел и обнаружить проблему (бэкдор, ошибка и т.п.). > Вместо аргументов какие-то идеологические лозунги. > Не хочешь пойти на должность маркетолуха? Думаю у тебя неплохо будет получаться. Это социально-политический контекст. С темы не съезжай. > Кому нужно проприетарные программы предоставляют исходники. Мне нужно. Мне в свое время после покупки Windows M$ не предоставили исходники. У тебя там все нормально? Что ты городишь? > Ошибки будут везде. Вопрос в кол-ве и качестве. И снова я тебя возвращаю, чтобы тыкнуть носом. В проприетарщине невозможно проверить исходники, т.к. они закрыты. Что тебе здесь не понятно? А заявлять производитель может что угодно. Это голословие. > Исходники винды утекали несколько раз, и много там нашли бекдоров? > Вот то то и оно. Ну ты и демагог. Задал вопрос, сам ответил, как тебе выгодно, а если я не согласен, то иди найди исходники, найди там бэкдоры... Еще и не факт, что текст исходников не был вычищен M$ заранее и специально слит, если вообще реально эти исходники есть. Корочего говоря, аудиенция закончена, демагог.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #92

88. Сообщение от IZh. (?), 21-Янв-26, 15:00	+/–
Уязвимость в уязвимости.
Ответить | Правка | Наверх | Cообщить модератору

89. Сообщение от Grigoriy Wiser (ok), 21-Янв-26, 15:51	+1 +/–
А потом начнёте стонать, что весь мир виноват в том, что где-то очередную багу не поправили. Лучше бы лопату в руки взяли да снег помогали расчищать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

90. Сообщение от Аноним (34), 21-Янв-26, 15:53    Скрыто ботом-модератором	+/–
> Это нарушает Single Responsibility Principle зато systemd отвечает за всё, что только можно придумать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #96

91. Сообщение от Аноним (91), 21-Янв-26, 16:20	–1 +/–
Какое же позорище не могу. Когда уже это на Rust перепишут??
Ответить | Правка | Наверх | Cообщить модератору

92. Сообщение от Аноним (-), 21-Янв-26, 16:30	+/–
> А у тебя либо так, либо никак? Черное и белое? Есть вариант писать опенсорс за денежку корпораций. Не вижу в этом чего-то постыдного, хотя Сообщество™ сравнивает это с написанинм проприетари. > И тебе это неизвестно. Так что не умничай. Я тебе к этому и пишу, что исходники нужны, чтобы знать что там по факту. Так у меня исходники есть. Я их сам. пишу. И у серьезных заказчиков тоже. Это плебсу они не положены, так как можно сразу объявлять фирму банкротом. > Они должны быть предоставлены тому, на чьем имуществе программа будет действие выполнять. Пф, моя программа, я ее распространяю на моих условиях. Не нравится? Можете пройти вон туда. У тебя есть право не запускать ее на своем имуществе) > Ой, как смешно! Одно с другим путаешь, не понимаешь этого и смеешься. Конечно смешно. Сообщество™ рассказывало басни про тыщи глаз, а тут они 10 лет не видели простейший бекдор. > Заявления проприетарщиков о том, что делает их ПО, вера на слово, т.к. это физически невозможно проверить пользователю, т.к. программа в бинарном виде. Если ПО не делает то что заявлено, то это замечается очень просто. Ты скачал текстовый редактор, например ОпенОфис, а он не открывает нормальный формат. Хотя поддержка заявлена. Я могу подать на них в суд за звиздеж? > В случае предоставления исходников возможно проверить. И без исходников тоже можно. Дизассемблирование, исследование бинарников. Специалисты есть, просто они дорого стоят. > Неважно кто будет проверять: сам пользователь, знакомый или аудитор за деньги... Факт, что это можно сделать. Ну вот прям тут видим насколько хорошо проверяли)) > Это социально-политический контекст. С темы не съезжай. Да, именно социально-политический. > Мне нужно. Твое мнение никого не волнует. > Мне в свое время после покупки Windows M$ не предоставили исходники. А зачем ты ее покупал? Купил бы линукс. Покажи закон который нарушило "не предостваление"? Нет? Ну значит иди в пень. >  У тебя там все нормально? Что ты городишь? Да, у меня все нормально. > В проприетарщине невозможно проверить исходники, т.к. они закрыты. "В проприетарщине невозможно проверить исходники, если ты нищуk" Я подправил, не благодари > А заявлять производитель может что угодно. Это голословие. Так ты тоже можешь заявлять что угодно. Что тебе должны предоставить исходники, что тебе все должны и тд. >> Исходники винды утекали несколько раз, и много там нашли бекдоров? >> Вот то то и оно. > Ну ты и демагог. Пф, до тебя мне далеко. Ты с какого-то перепугу решил, что тебе обязаны открывать исходники. Просто потому что тебе так захотелось. Которые, на минуточку, это средство производства. Так что да, таки пованивает коммунизмом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #95

93. Сообщение от Ананоним (?), 21-Янв-26, 16:33	+/–
Друшлаг!
Ответить | Правка | Наверх | Cообщить модератору

94. Сообщение от Аноним (94), 21-Янв-26, 17:21	+/–
У меня дежавю или похожая уязвимость уже была где-то, только в самом 'login' (не помню только чьей реализации)? Можно было передать в качестве имени пользователя "-froot" и тулза отсекала флаг, после чего парсила имя пользователя и логинила без пароля. От этого, очевидно, даже правильное использование fork+execve вместо system не помогало.
Ответить | Правка | Наверх | Cообщить модератору

95. Сообщение от Аноним (53), 21-Янв-26, 17:24    Скрыто ботом-модератором	+1 +/–
> Есть вариант писать опенсорс за денежку корпораций. > Не вижу в этом чего-то постыдного, хотя Сообщество™ сравнивает это с написанинм > проприетари. Есть разные способы заработка без проприетарщины. И без тебя знаю. Корпорации - зло, но в данном контексте это значение не имеет. Если работодатель оплачивает написание кода, который будет открытым, то это хорошо. И не обязательно это должно быть под свободной лицензией, кстати говоря. Имею ввиду GPL, MIT, Apache и т.п. Можно какую-нибудь свою ограниченную сделать. Это вполне себе в рамках свободы. > И у серьезных заказчиков тоже. > Это плебсу они не положены, так как можно сразу объявлять фирму банкротом. Так не*ер выстраивать насильственную политику по отношению к пользователям (=проприетарщина). > Пф, моя программа, я ее распространяю на моих условиях. > Не нравится? Можете пройти вон туда. > У тебя есть право не запускать ее на своем имуществе) > Ты с какого-то перепугу решил, что тебе обязаны открывать исходники. > Просто потому что тебе так захотелось. Нет. Есть такая штука, которая называется добровольно-информированное согласие. Слышал про такое? Например, в медицине применяется. Так вот в случае программы это исходный текст. Без добровольно-информированного согласия невозможно пользоваться программой без нарушения насилия к индивиду, т.к. программа - это действия с имуществом индивида. Так что это ты не понимаешь суть. > Сообщество™ рассказывало басни про тыщи глаз, а тут они 10 лет не > видели простейший бекдор. Да не важно какой он. Везде бывают ошибки. В т.ч. и в проприетарщине. >> Заявления проприетарщиков о том, что делает их ПО, вера на слово, т.к. это физически невозможно проверить пользователю, т.к. программа в бинарном виде. > Если ПО не делает то что заявлено, то это замечается очень просто. > Ты скачал текстовый редактор, например ОпенОфис, а он не открывает нормальный формат. > Хотя поддержка заявлена. > Я могу подать на них в суд за звиздеж? Ты ведь не настолько же т*пой, да? Можешь ведь думать? А как насчет того, что может быть заявлен один функционал, а по факту программа может иметь дополнительный (=шпионский) функционал, кот. по сути для пользователя является вредоносным? Как ты это собрался проверять? Ты такие элементарные вещи не понимаешь или просто уперся рогом? >> В случае предоставления исходников возможно проверить. > И без исходников тоже можно. > Дизассемблирование, исследование бинарников. > Специалисты есть, просто они дорого стоят. Ты иди лучше тему изучи, а не болтай чушь. Обратная разработка не дает тебе исходники текста. Т.е. на 100% нельзя знать что программа будет делать. >> Неважно кто будет проверять: сам пользователь, знакомый или аудитор за деньги... Факт, что это можно сделать. > Ну вот прям тут видим насколько хорошо проверяли)) Ты текст читаешь не умеешь? Я писал, что можно проверить, а не что в открытом ПО нет проблем в коде. > Твое мнение никого не волнует. Ты за себя отвечай, а не за других. > Покажи закон который нарушило "не предостваление"? > Нет? Ну значит иди в пень. А, ну если ты про закон, а не про построение свободного общества, то сам иди на хутор бабочек ловить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #98

96. Сообщение от Соль земли2 (?), 21-Янв-26, 18:09	+/–
Это можно исправить, если переделать архитуктуру systemd в фасад или прокси, который делает только одно - перенаправляет обращения на другие более специализированные сервисы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

97. Сообщение от BorichL (ok), 21-Янв-26, 18:32	+/–
А на двери в сортир у тебя есть замок с картой доступа?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

98. Сообщение от Аноним (-), 21-Янв-26, 18:34	+/–
> Есть разные способы заработка без проприетарщины. И без тебя знаю. А можно примеры? Ходить с протянутой рукой это слегка унизительно и денег не особо много приносит. > Корпорации - зло, С фига ли? > Если работодатель оплачивает написание кода, который будет открытым, то это хорошо. То-то на форуме любят кидаться кахахами в гугл, шапку, мелкомягких.... > Это вполне себе в рамках свободы. Тебе подойдет СС-ND "код смотреть можно, изменять нет"? > Так не*ер выстраивать насильственную политику по отношению к пользователям (=проприетарщина). А где тут насилие??? Тебя заставляют устанавливать софт? > Нет. Есть такая штука, которая называется добровольно-информированное согласие. Где есть? Она обязательна только для какой-то медицины. И то, там будет "я соглашаюсь на медицинские процедуры на усмотрение врача", а не перечисление всех возможных процедур, публикацию кода оборудования и тд. > Так вот в случае программы это исходный текст. Бред который ты выдумал. > Без добровольно-информированного согласия невозможно пользоваться программой без нарушения насилия к индивиду, т.к. программа - это действия с имуществом индивида. Так что это ты не понимаешь суть. Индивид сам в здравом уме устанавливает программу - насилия нету. Или в здравом уме покупает аппаратно программный комплекс с уже установленным софтом. > Ты ведь не настолько же т*пой, да? Можешь ведь думать? Фи как грубо. > А как насчет того, что может быть заявлен один функционал, а по факту программа может иметь дополнительный (=шпионский) функционал, кот. по сути для пользователя является вредоносным? Типа телнета который мы обсуждаем))? > Ты иди лучше тему изучи, а не болтай чушь. Обратная разработка не дает тебе исходники текста. Т.е. на 100% нельзя знать что программа будет делать. Конечно не дает. Но проверить лезет ли она на какие-то сервера вполне можно. >> Твое мнение никого не волнует. > Ты за себя отвечай, а не за других. Так я пишу проприетарный код. И за себя отвечаю. Я десятилетия разработки я не добавил в код ни одного намеренного бекдора. > А, ну если ты про закон, а не про построение свободного общества Определение "свободного общества" в студию. А то у тебя получается какой-то тоталитаризм. В моем свободном обществе у меня не могут просто так отобрать имущество, заставить бесплатно работать (рабство) и тд И меня мало волнуют хотелки какие-то у№№№ков, которые хотят заставить открыть код, читай "отобрать мое имущественное право на средство производства". Подчиняться им я совершенно не собираюсь. Еще раз по буквам. Люди которые имеют отношение к софту делятся на продьусеров и консюмеров. Если по русски на тех то делают, и тех кто потребляет. Так вот когда потребялди начинают хаметь и указывать что делать производителям, то они обычно остаются ни с чем. На еде пишется состав, но не рецепт и технологическая карта (ТК). На лекарствах - состав, но не документация по производству. На запчастях для машины пишется только для чего оно, а не состав металла/пластика и рецепт их выплавки. На стройматериалах указан состав, но не ТК как производить. Программа ничем не отличается от перечисленных выше сущностей, которые или "применяются" к самому человеку или к его имуществу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #99

99. Сообщение от Аноним (53), 21-Янв-26, 19:34	+/–
> А можно примеры? Н-р, написать программу на заказ, передать код заказчику. Также можно оказывать дополнительные услуги по дописыванию кода под новые задачи, оказывать техническую или пользовательскую поддержку. > Тебе подойдет СС-ND "код смотреть можно, изменять нет"? Вполне себе. Это право разработчика. Свободу пользователя это не нарушает, т.к. пользователь информирован (есть исходники). Я бы, конечно, не стал такое ипользовать, но насилия здесь нет. > То-то на форуме любят кидаться кахахами в гугл, шапку, мелкомягких.... Потому что это корпорации, а точнее юр. лица. Пояснять не буду, т.к. это требует усилий, а интереса распинаться у меня нет. Лучше тогда вообще не буду об этом писать. Есть есть интерес, то изучи сам. Можно у Столярова А.В. посмотреть или почитать Шошана Зубофф - Эпоха надзорного капитализма. Интернет большой, книг много. > Но проверить лезет ли она на какие-то сервера вполне можно. Да это вообще здесь не причем. Ты приводил это как контраргумент на тему исходных текстов. Получается, что твой аргумент пустой, т.к. 100% все равно невозможно быть информированным, т.к. нет исходников. > Определение "свободного общества" Свобода - отсутствие инициированного насилия. Насилие - любое физически обнаружимое воздействие на тело индивида и/или его имущество, на каковое не было получено добровольно-информированного согласия. > На еде пишется состав, но не рецепт и технологическая карта (ТК). > На лекарствах - состав, но не документация по производству. > На запчастях для машины пишется только для чего оно, а не состав > металла/пластика и рецепт их выплавки. > На стройматериалах указан состав, но не ТК как производить. > Программа ничем не отличается от перечисленных выше сущностей, которые или "применяются" > к самому человеку или к его имуществу. Да мне наплевать, что государство влезло со своей цензурой, создав авторское право (началось со статута королевы Анны). Я тебе уже все ответил насчет ПО, исходных текстов, проприетарщины и насилия (в данном случае действия с имуществом пользователя). А с чего ты взял, что я согласен с той х*рней, что мы имеем по теме еды, лекарств, запчастей, стройматериалов? К тому же это все другие разделы, которые также требуют обсуждения и действий, если есть желание построить свободное общество. А вообще, ты меня раздражаешь своей глупостью, приводя примеры того, как устроено по закону и сравниваешь с абсолютно разными предметными областями. Общаться с тобой дальше по данной теме мне неитересно и лень заниматься консультациями по теме свободы. Изучай сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #100

100. Сообщение от Аноним (-), 21-Янв-26, 20:01	+/–
> Н-р, написать программу на заказ, передать код заказчику. Заказчик его продает не открывая. В договоре у вас нет права открывать код. Какова ваша "оценка себя" по вашей же шкале. > Также можно оказывать дополнительные услуги по дописыванию кода под новые задачи, оказывать техническую или пользовательскую поддержку. А... т.е как Столлман завещал. Стоять с протянутой рукой тк. дописывать ринутся васяны, а поддерживать еще больше. Посмотри сколько паразитов пользуются достижениям RedHat. > Можно у Столярова А.В. посмотреть Не, спасибо, мне этого шиза хватало на ЛОРчике. > или почитать Шошана Зубофф - Эпоха надзорного капитализма Хм, пожалуй гляну, спасибо. Хотя борец против капитализма закончившая университет Чикаго и Гарвард, которая была замужем за бизнесменом, маркетологом, директором по марктенгу Volvo UK... > Ты приводил это как контраргумент на тему исходных текстов. Получается, что твой аргумент пустой, т.к. 100% все равно невозможно быть информированным, т.к. нет исходников. Так в опенсорсе ты тоже на 100% не можешь быть. > Свобода - отсутствие инициированного насилия. Фантазия классная, но определение почти никем не принято. С таким успехом я могу апеллировать у моего соседа свобода это бухать и орать караоке в 2 ночи. Кстати физического воздействия на окружающих нету. > Да мне наплевать, что государство влезло со своей цензурой, создав авторское право (началось со статута королевы Анны). Тебе плевать? Ну так мне тоже. Ты приносишь сюда бредовые фантазии фриков типа столярова (она там еще не помер?). Когда тебе приводишь контрпримеры, ты куракекаешь что тебе плевать. > Я тебе уже все ответил насчет ПО, исходных текстов, проприетарщины и насилия (в данном случае действия с имуществом пользователя). Так оно ничем не отличается от моих примеров. > А с чего ты взял, что я согласен с той х*рней, что мы имеем по теме еды, лекарств, запчастей, стройматериалов? Ну несогласен и чо? Если ты завтра придешь заставлять меня открывать код, то тебе как минимум придется применить против меня насилие, тк добровольно я делать это не собираюсь. А может и отгребешь в ответ. Т.к как минимум ты будешь лишать меня части свобод. > если  есть желание построить свободное общество. Я считаю современное общество весьма свободным, получше чем было хотя бы 60-100 лет назад. Есть много примеров "улучшателей" которые устраивали очередную революцию с кучей трупов. А потом их эксперимент разваливался. > А вообще, ты меня раздражаешь своей глупостью, приводя примеры того, как устроено по закону и сравниваешь с абсолютно разными предметными областями. Пф, все мои приведенные примеры или взаимодействуют с человеком, или с его имуществом. Но ты начинаешь или съезжать с темы, или впаривать "абосолютно разные предметные области".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

101. Сообщение от Аноним (101), 21-Янв-26, 21:41	+/–
Вне зависимости от (понятно, что этим telnetd не пользуется вообще никто), передача переменных окружения с клиента на сервер - это такое минное поле, что сразу до свидания. Одна LD_PRELOAD чего стоит. В sshd PermitUserEnvironment, конечно, по умолчанию off, но лучше такое вообще выпилить куда подальше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #107

102. Сообщение от Аноним (102), 21-Янв-26, 21:51	+/–
Внутри приятнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

103. Сообщение от pda (ok), 21-Янв-26, 22:16	+/–
Ну, в каком-нибудь tor/i2p/gnunet в принципе ssh избыточен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

104. Сообщение от мимо (?), 21-Янв-26, 22:30	+/–
Telnet так-то не только в онтопике используется. Получается, многомиллардная корпорация тоже проглядела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

105. Сообщение от Аноним (105), 21-Янв-26, 23:33	+/–
Кстати, переполнения буфера и иного битья памяти тут нет — Rust бы не спас.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #106

106. Сообщение от Аноним (106), 21-Янв-26, 23:39	+/–
Ага, нарушено правило, из числа основных: ввод нужно проверять. Но полно мальчиков и девочек, которые в это не верят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

107. Сообщение от Аноним (81), 21-Янв-26, 23:54	+/–
>лучше такое вообще выпилить куда подальше Откуда в ssh сессии брать значение переменной TERM?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

108. Сообщение от Аноним (17), 22-Янв-26, 00:19	+/–
> Я из исходников собираю Ты можешь хоть бутылки на улице собирать. Ты читаешь код, который собираешь? Хотя бы код бравзера прочел? Уже были случае, когда передавали флаг новому меинтейнеру, а он туда зловред накидывал. И шо? Все вы коипеляли дальше по привычке, ничего не читая. Ток не надо про 1000 глаз, обнаружилось спустя время и то, только потому что паренек криво встроил и оно сразу вылезло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема