forum.opennet.ru - "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc" (173)

"Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc"	+/–
Сообщение от opennews (??), 01-Июл-24, 14:13
Компания Qualys выявила критическую уязвимость (CVE-2024-6387) в OpenSSH, позволяющую добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость, которая получила кодовое имя regreSSHion, проявляется начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc... Подробнее: https://www.opennet.me/opennews/art.shtml?num=61470
Ответить \| Правка \| Cообщить модератору

Оглавление

Конечно на фряхе же нет Глибс,а линуксоидам страдать , Аноним (1), 14:13 , 01-Июл-24, (1) –15

FreeBSD-SA-24 04 openssh Security Advisory , Аноним (7), 14:21 , 01-Июл-24, (7) +13

Сейчас он промямлит ну не очень то и хотелось , только запатчит свои системы , Аноним (-), 16:42 , 01-Июл-24, (59) +2

На линуксе тоже работает musl Alpine, Gentoo например , Аноним (11), 14:23 , 01-Июл-24, (11)

То, что musl не подвержен, пока не доказано , Аноним (7), 14:25 , 01-Июл-24, (15)
в недавней новости про встроенную защиту в sshd кто-то прогнозировал отмену fail, ананим.orig (?), 15:42 , 01-Июл-24, (47) +3
нормальный линукс для серверов это OL8, ичсх not affectedдебиан, очередной шах и, ин номине патре (?), 20:39 , 02-Июл-24, (151)

А вам новость внимательно читать , Аноним (22), 14:38 , 01-Июл-24, (22) +1

Угу,написано же фря значит не только лишь у полтора фрика оно установленно Я по, Аноним (1), 14:48 , 01-Июл-24, (27) –1

Вы уверены в том, что умеете читать , Аноним (7), 14:59 , 01-Июл-24, (32) +2

Может носом ткнете , Аноним (1), 15:38 , 01-Июл-24, (44)

Это те самые которые Netflix обслуживают Вот что значит спецы , OpenEcho (?), 15:03 , 01-Июл-24, (34) –1

Вот сильно сомневаюсь,что они на Фре Глибс натыкали , Аноним (1), 15:40 , 01-Июл-24, (45)

Я только о землекопах, OpenEcho (?), 16:43 , 01-Июл-24, (60)

Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у полтора фрика, Аноним (1), 17:05 , 01-Июл-24, (65)

Казалось бы, при чём тут glibc Оно потенциально работает на всех libc, кроме op, Аноним (70), 17:34 , 01-Июл-24, (70) +1

Что же,такого я действительно в статье не видел - каюсь Только слово потенциаль, Аноним (1), 17:46 , 01-Июл-24, (72)

Так оно конечно понятнее о каких землекопах, с чего и следовало начинать, но ес, OpenEcho (?), 19:07 , 01-Июл-24, (89)

- else if timespeccmp now, next_interval, - Otherwise if we were due, Аноним (2), 14:15 , 01-Июл-24, (2) +7

https www opennet ru opennews art shtml num 28998, Аноним (7), 14:22 , 01-Июл-24, (9)

Опять этот глибс Говорила мама собирать на масле Хотя логика атаки допускает и, Аноним (-), 14:17 , 01-Июл-24, (3) –5

Так как дыра в сигнало-небезопасной реализации вызовы syslog , то винить мы буд, Аноним (7), 14:27 , 01-Июл-24, (17) +3

Слава Богу dropbear неуязвим , Аноним (4), 14:18 , 01-Июл-24, (4) +1
Эксплоита для 64бит пока нет, взлом в теории занимает до недели Бубунту в своём , birdie (ok), 14:18 , 01-Июл-24, (5) –4

Ну спите, спите FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc , Аноним (7), 14:24 , 01-Июл-24, (13) +1

Как ты понимаешь, с его ником его мозга немного не хватило чтобы прочитать описа, Аноним (110), 00:03 , 02-Июл-24, (110) +1

и вообще, чего раскричались-то Наши бубубунты 14 и 16 совершенно неуязвимы , нах. (?), 16:14 , 01-Июл-24, (55)

если не включать, пох. (?), 18:01 , 01-Июл-24, (74)

А вот и наши двое из ларца - одинаковы с лица , Аноним (132), 12:06 , 02-Июл-24, (132)

На openwrd обычно используется Dropbear, а эксперты опеннета как обычно про это , Аноним (-), 16:46 , 01-Июл-24, (61) +1
Поясните для тупых У бубунтовых используется модифицированный SSH со сломанным , Нейм (?), 17:48 , 01-Июл-24, (73) –1
Почему страшная Удалённый рут без аутентификации это наоборот классно , Аноним (81), 18:44 , 01-Июл-24, (81) +2

Удалённый рекурсивный-усиленный , Аноним (115), 01:11 , 02-Июл-24, (115)

А разговоров то было , fuggy (ok), 11:02 , 02-Июл-24, (131)

haha, classicкоторое было сделано в Oct 16, 2020Неплохо так бекдор закинули 3 , Аноним (6), 14:19 , 01-Июл-24, (6) +1

Эти глаза существуют только в фантазиях фанатов open source, которые считают, чт, birdie (ok), 14:22 , 01-Июл-24, (10) –6

а что, в проприетарном софте нет этих тысяч глаз в корпорациях работают миллион, Аноним (28), 14:48 , 01-Июл-24, (28) +1

microsoft windows, прошивки d-link, cisco ios - серьезные проприетарные продукты, Аноним (7), 15:02 , 01-Июл-24, (33) +3

Так это не баги, всё нормально В теории идея не пропускать сомнительный код, ес, Аноним (38), 15:08 , 01-Июл-24, (38) –1
Это не баги, это бизнес-модель такая, учитывающая широкий круг интересов, включа, Аноним (69), 17:13 , 01-Июл-24, (69) +1

Там этих глаз сильно меньше Ибо нанимают все же на минималках С запасом никто , Аноним (98), 20:13 , 01-Июл-24, (98) +1
В корпорациях код-ревью проводят специалисты, которые получают за это зарплату , ИмяХ (ok), 04:01 , 02-Июл-24, (119)

Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз Если это сарка, Sem (??), 00:01 , 02-Июл-24, (109) +3

Так пара глаз из тысяч как раз и высмотрела , Аноним (4), 14:24 , 01-Июл-24, (12) +7

Нет Проблему нашли специально обученные люди из фирмы, которые этим профессиона, Аноним (-), 15:15 , 01-Июл-24, (39)

Напоминаю работа этой фирмы стала возможной потому, что код сделали открытым д, Аноним (40), 15:22 , 01-Июл-24, (40) +5

Такие фирмы прекрасно живут и на аудите проприетарного кода Плюс ты не знаешь кт, Аноним (-), 15:41 , 01-Июл-24, (46)

Закрытый - пришлось бы реверсить Напоминаю исходник доступен только когда лица, Аноним (40), 16:03 , 01-Июл-24, (51) +2

WAT Речь идет не про реверс чужой программы С закрытым кодом владельцы сами п, Аноним (-), 16:34 , 01-Июл-24, (58) –2

А владелец - дурак, что ль Платить, кормить и проживать господ аудиторов, когда, Аноним (69), 16:58 , 01-Июл-24, (63) +1

Владелец отнюдь не дурак Не во всех случаях можно совершенно бесплатно, авторит, Аноним (66), 17:06 , 01-Июл-24, (66)

Хоть один штраф покажи То что продаётся на рынке, продаётся AS IS Это покупа, Аноним (99), 22:02 , 01-Июл-24, (99)

Конечно нет Был бы глупым - побежал открывать код и дарить все права жуликам из, Аноним (-), 17:11 , 01-Июл-24, (68)

Нужно только лицо по-серьезнее делать И голословные заявления не устно, а на бу, Аноним (99), 22:08 , 01-Июл-24, (101)

Заявить можно Продать тяжело, особенно секьюрити продукт 171 Я тебе, конечно, Аноним (76), 18:26 , 01-Июл-24, (76)

Ты просто завидуешь что в швинде так нельзя , Аноним (23), 14:38 , 01-Июл-24, (23) +2

Данная проблема существует на Линукс-лайк системах На винде данной проблемы нет, noc101 (ok), 16:02 , 01-Июл-24, (50) –1

Проблема закрытости В швиндоуз десятки точно таких же бекдоров и никто даже не , Аноним (23), 16:07 , 01-Июл-24, (53)

А пруфы будут Пока ты тут только подгазовываешь в лужу , Аноним (62), 16:46 , 01-Июл-24, (62) –1

Статистику по вредоносам посмотри, а потом задайся вопросом, как они проникают и, Аноним (69), 17:03 , 01-Июл-24, (64) +2

Тебе статистику показать - ты всё равно заверещишь что это а андроиде убунте фед, Аноним (81), 18:52 , 01-Июл-24, (86)

А где оно собссно под убунты, андроиды и федоры Впрочем в андроиде софт такой ч, Аноним (-), 12:14 , 02-Июл-24, (135)

Как показали последние новости, на Линуксах также есть бэкдоры Но именно данной , noc101 (ok), 12:53 , 02-Июл-24, (140) +1

Не вижу чему там завидовать Тормозная ОС, с гнилыми системными кишками, которые, Аноним (-), 12:12 , 02-Июл-24, (134) –1

Повзрослей Разговор шел не про зависть Это у тебя фантазия, в реальности всё ро, noc101 (ok), 12:46 , 02-Июл-24, (139)

Это как Стань старым хpычoм Переехай на кладбище Да ну нафиг Я заметил, вороч, Аноним (-), 20:58 , 02-Июл-24, (153)

Нет Это когда читаешь комментарий и отвечать по существу А не как ребенок, есл, noc101 (ok), 22:48 , 02-Июл-24, (155)

Это говорит человек, который занимается самоутверждением за счет других, и не ск, Аноним (-), 05:43 , 03-Июл-24, (161)

Если ты не заметил, это новость Тут обсуждают новость А не помогают В очередн, noc101 (ok), 09:46 , 03-Июл-24, (172)

ну, кстати, к0к0к0кие ваши докозательства можно предположить что виндовый порт s, нах. (?), 09:11 , 03-Июл-24, (167)

нюх нюх хватит нюхать наркоту и почитай новость, noc101 (ok), 09:27 , 03-Июл-24, (171)

И где в твоей новости что-то про винду кстати, ее ssh оказывается не показывает, нах. (?), 11:30 , 03-Июл-24, (173)

Там где чел написал про винду, а я сделал замечание, что данной проблемы в винде, noc101 (ok), 16:44 , 03-Июл-24, (184)

так и и спрашиваю - почему ты так уверен что в вендепоганой проблемы нет Может т, нах. (?), 20:15 , 03-Июл-24, (186)

gt оверквотинг удален OpenSSH 8 5 на системах со стандартной библиотекой Glibc, noc101 (ok), 22:06 , 03-Июл-24, (187)

так проблема не в библиотеке Просто именно под нее подобрали уже готовую и пров, нах. (?), 22:39 , 03-Июл-24, (188)

Проблема в OpenSSH 8 5 на системах со стандартной библиотекой GlibcИзвестно, что, noc101 (ok), 00:42 , 04-Июл-24, (189) –1

Винду нада переустановить, Аноним (130), 10:55 , 02-Июл-24, (130)

Ненужное на десктопе тоже, причём чаще надо же все тысячи сортов попробовать, а, Аноним (142), 13:10 , 02-Июл-24, (142) +1

диски ж сегодня большие, тоже мне проблема И растреклятый уефи позволяет при н, нах. (?), 11:31 , 03-Июл-24, (174)

Значит надо засунуть в реализацию всех таких функций по мьютексу , Аноним (4), 14:22 , 01-Июл-24, (8) –2

Сигналобезопасный вариант syslog_r есть только стандартной библиотеке openbsd , Аноним (7), 14:32 , 01-Июл-24, (21)

Чего на Ubuntu ссылка не рабочая , slavanap (?), 14:24 , 01-Июл-24, (14)

Команда безопасности Ubuntu на данный момент не проинформирована об этой уязвимо, Аноним (7), 14:31 , 01-Июл-24, (19) –3

Свистеть не мешки ворочать https lists ubuntu com archives ubuntu-security-ann, Аноним (29), 14:49 , 01-Июл-24, (29) +2

Как там с поддержкой landlock в OpenSSH Как там с поддержкой pledge в Linux , Аноним (4), 14:25 , 01-Июл-24, (16)

pledge 8212 это по факту подмножество функций seccomp , Аноним (7), 14:29 , 01-Июл-24, (18)

Случайность Не думаю , Аноним (23), 14:39 , 01-Июл-24, (24)
Шах и мат , Аноним (25), 14:40 , 01-Июл-24, (25)

Типичные данайцев и дары , Аноним (23), 14:58 , 01-Июл-24, (31) +1

Видимо, ФБР очень просило, но удалось договориться на том, что установят только , Аноним (7), 15:05 , 01-Июл-24, (36) –2
Я б сказал что софт из опенка на всем что не опенок юзать кажется начинает смотр, Аноним (-), 22:52 , 01-Июл-24, (103)

рут в smtpd у них был свой, собственный, никаких артефактов портирования потому, нах. (?), 00:20 , 03-Июл-24, (157)

https www freebsd org security advisories FreeBSD-SA-24 04 openssh asc, penetrator (?), 20:06 , 01-Июл-24, (97) +1

по моему они опять завысили уровень опасности этого CVEесли поковырять код, то н, Аноним (28), 14:40 , 01-Июл-24, (26) +1

Экспертиза от немамонта, который даже код не смотрел Не может поверить что суще, Аноним (23), 14:57 , 01-Июл-24, (30) –1

Больше выглядит как ирония над соседней новостью, где JS-разработчик жалуется, ч, Аноним (7), 15:04 , 01-Июл-24, (35) –1

Тебе показали красный молоток и теперь ты думаешь про красный молоток Я бы тебе, Аноним (23), 15:26 , 01-Июл-24, (41) +1

Для порядка заметим, что ниже пришёл автор исходного комментария и подтвердил эт, Аноним (70), 17:35 , 01-Июл-24, (71)

анон, это был сарказм и аллюзии на прошлую новость красиво же совпало эксперти, Аноним (28), 15:36 , 01-Июл-24, (43)

Чем выше уровень - тем больше бабла, 1 (??), 15:05 , 01-Июл-24, (37)

Если делится с тем кто определяет уровень можно поднять свой уровень , Аноним (23), 15:27 , 01-Июл-24, (42)

По некоторым данным, писатели эксплойтов уже взяли низкий старт и вступили в гон, Аноним (-), 22:54 , 01-Июл-24, (104)

Не исключается возможность совершения атаки и на 64-разрядные системы - расходим, Аноним (49), 15:58 , 01-Июл-24, (49)

да, через неделю приходи, Аноним (52), 16:04 , 01-Июл-24, (52) +1

Нет такую уязвимость оставят себе и открывать не будут , Аноним (23), 16:09 , 01-Июл-24, (54)
Очень сложно не заметить атаку, когда openssh тебе почти неделю без перерыва буд, Sem (??), 00:09 , 02-Июл-24, (111)

Для успешного проникновения в шахту баллистической ракеты РС-18 понадобится неск, YetAnotherOnanym (ok), 16:19 , 01-Июл-24, (56) +2

каждый час логи проверяешь на всех своих серверах что за бред , penetrator (?), 18:27 , 01-Июл-24, (77) +1

каждые шесть же ж , нах. (?), 18:30 , 01-Июл-24, (79) +1

А на практике - придет белый человек, продемонстрирует как работает bunker buste, Аноним (-), 00:18 , 02-Июл-24, (112) –1

Проникнуть в бункер и разрушить его - не одно и то же На любой сервер можно сбр, www2 (??), 07:18 , 02-Июл-24, (123) +1

Ну, понимаешь, чтобы это сделать - надо подлететь на потребное расстояние И есл, Аноним (-), 12:18 , 02-Июл-24, (136)

На практике bunker buster осядет на землю мелкодисперсной пылью вместе с носит, YetAnotherOnanym (ok), 17:33 , 03-Июл-24, (185)

Только что с две сотни инстансов под нож отправил, везде где в логах встречалось, Аноним (76), 18:20 , 01-Июл-24, (75)

херассе А авральный план при котором просто расстреливают каждого второго разра, нах. (?), 18:28 , 01-Июл-24, (78)

Что, завидно Будь это всё в каком-нибудь он-прем дц я бы до сих пор по стойкам , Аноним (76), 18:45 , 01-Июл-24, (82) –2

Особенно мило будет, если через это отверстие уже поимели гипервизоры вашего про, Аноним (7), 18:54 , 01-Июл-24, (87)

Это крайне маловероятно как минимум потому, что у AWS нет доступа к их инфрастру, Аноним (76), 19:26 , 01-Июл-24, (91)

Ну ты меня пригласи, как до on-prem дорастешь Я тебе покажу как не прыгать по с, нах. (?), 19:33 , 01-Июл-24, (92) –1

Как только он-прем дорастёт до клауда по деньгам 8212 тогда и поговорим, и ка, Аноним (76), 19:41 , 01-Июл-24, (94)
Да, нанимай поха У тебя все будет хреново, дорого, неэффективно, несекурно - за, Аноним (-), 00:21 , 02-Июл-24, (113)

Ну так-то копеечный он Меньше 5 от стоимости проекта с учётом обвязки - обычно, User (??), 08:06 , 02-Июл-24, (126)

Ну да, ну да, только даже на абажуре чего-то более 70 - линух И виндус апдейт , Аноним (-), 12:25 , 02-Июл-24, (137) –1

Ну да - вот только ой, вы к тем облакам отношение не имеете ровным счетом никак, User (??), 21:48 , 02-Июл-24, (154) +1

А при чем тут я Это осбуждение технологий в ходу Да, я не програмил тот же KVM, Аноним (-), 05:56 , 03-Июл-24, (162)

Перевожу существуют целые классы систем - и соответственно, проектов внедрения , User (??), 07:17 , 03-Июл-24, (164)

там достаточно взглянуть на цену сервера, на котором крутится та винда Можно да, нах. (?), 00:08 , 03-Июл-24, (156)

Чел крутит 100500 Ъ-тырдырпрайс-форчун500-вритуалок на своем десктопе и радуется, User (??), 06:58 , 03-Июл-24, (163)

чо ета сто Целых даже пиццоть У человека ж подкроватный СЕРВЕР Серверная 2022, нах. (?), 09:19 , 03-Июл-24, (168)

Ты пжди, пжди Если вместо железки-от-китайцев купить технику, проверенную врем, User (??), 11:32 , 03-Июл-24, (175)

а на проде осталось, и уже в логах болтается месяц , penetrator (?), 18:40 , 01-Июл-24, (80)

На проде SSH нет нигде , Аноним (76), 18:45 , 01-Июл-24, (83)

telnet , Аноним (96), 19:57 , 01-Июл-24, (96) +1

Скрыто модератором, нах. (?), 22:26 , 01-Июл-24, (102) –1

Значит, уже началось Вероятно кто-то уже накорябал эксплойты Это тот случай ко, Аноним (-), 22:58 , 01-Июл-24, (105)
а был бы нормальным админом, а не убунтуем, то вообще ничего не надо было б дела, ин номине патре (?), 08:39 , 03-Июл-24, (166)

в смысле Мы, нормальные админы-убунтуи, как раз ничего и не делаем Я сеть прос, нах. (?), 09:24 , 03-Июл-24, (169) +1

JS в браузере и вперёд, на роутер Это ж какой ботнет можно слепить , Аноним (85), 18:49 , 01-Июл-24, (85)

из 32битных систем Ну так себе, прямо скажем, ботнет , нах. (?), 19:34 , 01-Июл-24, (93) –1

Да оно и из 64 можно Просто канительнее Но возможность на заказ убрать стеночк, Аноним (-), 22:59 , 01-Июл-24, (106) –1

какие последствия прониконовение в систему как обнаружить не только попытку ат, penetrator (?), 22:04 , 01-Июл-24, (100) –1

rce , Аноним (108), 23:26 , 01-Июл-24, (108)
ну типа если пришел на работу, а там пустое место, диск почищен, а на экране при, нах. (?), 09:25 , 03-Июл-24, (170) –1

А вы то думали каким образом спецслужбы США взламывают сервера государственной т, cheburnator9000 (ok), 05:36 , 02-Июл-24, (120) +1

В программное обеспечение Иранских электростанций они внедрили троян, который бы, Аноним (-), 06:08 , 02-Июл-24, (121) +1

По информации, заслуживающей доверия Вот бы еще верить всему тому что они говор, Аноним (127), 08:59 , 02-Июл-24, (127) +1

Скрыто модератором, Аноним (-), 13:08 , 02-Июл-24, (141)

LoginGraceTime 0MaxStartups 1 50 1норм , Аноним (128), 10:16 , 02-Июл-24, (128)

Скрыто модератором, Аноним (-), 12:35 , 02-Июл-24, (138) +1
если у тебя будет хотя бы одно соединение от кулхацкера оно будет бесконечным и , penetrators (?), 17:45 , 02-Июл-24, (148)

что я могу не знать из того, что тут https www opennet ru base sec ssh_tips tx, Аноним (128), 20:13 , 02-Июл-24, (150) –1

Лет 5 как отказался от SSH на серверах Надоело пачками банить , Anm (?), 10:26 , 02-Июл-24, (129)

О как И как же ты на серверы ходишь Физически, ножками , _oleg_ (ok), 13:23 , 02-Июл-24, (143)

https perl Вообще не парюсь Даже редкие попытки прощупать порты со стороны без, Anm (?), 13:49 , 02-Июл-24, (144) +1

А https с сертификатом клиентским или нет На perl е что - web-морда , _oleg_ (ok), 13:55 , 02-Июл-24, (146) +1

Ну разумеется Сертификат только у меня Остальным даже не предлагается Да они , Anm (?), 20:54 , 02-Июл-24, (152) +1

Так это security through obscurity Работает только пока ты неуловимый Джо По с, _oleg_ (ok), 11:38 , 03-Июл-24, (176) +1

не в данном случае Тут глупый ssh подождет-подождет сертификата, а потом запише, нах. (?), 12:14 , 03-Июл-24, (177)

В данном конкретном безусловно Но речь как про vэто , _oleg_ (ok), 12:26 , 03-Июл-24, (179)

а не надо ssh-ом светить на весь интернет достаточно дать доступ с того айпи, с, Аноним (128), 16:34 , 02-Июл-24, (147)

и вдруг ты поехал в командировку а доступа к твоему RDP там нет, а серв лежит, penetrators (?), 17:46 , 02-Июл-24, (149) +2

есть решение и этого кейса у меня так динамический айпи, каждый раз разный, но д, Аноним (128), 01:22 , 03-Июл-24, (159)

port knocking, Гений (??), 16:31 , 03-Июл-24, (183)
у тебя же серв лежит, возможно вместе с твоим кнокингом Security through obs, penetrator (?), 18:31 , 04-Июл-24, (192)

А на виртуальные виртуальными ножками, Аноним (145), 13:51 , 02-Июл-24, (145) +1
Скрыто модератором, Аноним (191), 13:49 , 04-Июл-24, (191)

Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..., morphe (?), 01:30 , 03-Июл-24, (160) +3
уверен, что в дистрибутивах с сертификатом фстек такого нет, Аноним (165), 08:04 , 03-Июл-24, (165)
Похоже Qualys оказался сапожником без сапог Сегодня по RSS от них через https , Аноним (178), 12:24 , 03-Июл-24, (178)

чего ж без сапог, с сапогами Тоже небось пользовали ssh , нах. (?), 14:29 , 03-Июл-24, (180)

Они, кстати, признали инцидент https blog qualys com misc 2024 07 03 qualys-bl, Аноним (178), 07:50 , 04-Июл-24, (190)

ssh -VOpenSSH_7 9p1 Debian-10 deb10u4, OpenSSL 1 1 1n 15 Mar 2022А нас рать , pavlinux (ok), 12:22 , 25-Июл-24, (193)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –15 +/–

Сообщение от Аноним (1), 01-Июл-24, 14:13

Конечно на фряхе же нет Глибс,а линуксоидам страдать.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +13 +/–

Сообщение от Аноним (7), 01-Июл-24, 14:21

FreeBSD-SA-24:04.openssh Security Advisory
                                                          The FreeBSD Project
Topic: OpenSSH pre-authentication remote code execution
Ну да, точно.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от Аноним (-), 01-Июл-24, 16:42

> FreeBSD-SA-24:04.openssh Security Advisory
> The FreeBSD Project
> Topic: OpenSSH pre-authentication remote code execution
Сейчас он промямлит "ну не очень то и хотелось", только запатчит свои системы :)

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (11), 01-Июл-24, 14:23

На линуксе тоже работает musl. Alpine, Gentoo например.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (7), 01-Июл-24, 14:25

То, что musl не подвержен, пока не доказано.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +3 +/–

Сообщение от ананим.orig (?), 01-Июл-24, 15:42

> "Timeout before authentication"
в недавней новости про встроенную защиту в sshd кто-то прогнозировал отмену fail2ban https://www.opennet.me/openforum/vsluhforumID3/133952.html#1

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

151. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от ин номине патре (?), 02-Июл-24, 20:39

>На линуксе тоже работает musl. Alpine, Gentoo например.
нормальный линукс для серверов это OL8, ичсх not affected
дебиан, очередной шах и мат.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

22. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (22), 01-Июл-24, 14:38

А вам новость внимательно читать.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

27. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (1), 01-Июл-24, 14:48

Угу,написано же фря значит не только лишь у полтора фрика оно установленно. Я понял.D

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от Аноним (7), 01-Июл-24, 14:59

Вы уверены в том, что умеете читать?

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (1), 01-Июл-24, 15:38

Может носом ткнете?

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от OpenEcho (?), 01-Июл-24, 15:03

> лишь у полтора фрика оно установленно.
Это те самые которые Netflix обслуживают? Вот что значит спецы !

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

45. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (1), 01-Июл-24, 15:40

Вот сильно сомневаюсь,что они на Фре Глибс натыкали.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от OpenEcho (?), 01-Июл-24, 16:43

Я только о землекопах

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (1), 01-Июл-24, 17:05

Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у полтора фрика.Надеюсь так понятнее. Какой-то аноним при этом вылез и показывает,что вообще оно есть и даже пропатчено.На голубом глазу тычет при этом в статью,хотя Фрю только в видосиках видел.

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (70), 01-Июл-24, 17:34

Казалось бы, при чём тут glibc? Оно потенциально работает на всех libc, кроме openbsd-шной.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (1), 01-Июл-24, 17:46

Что же,такого я действительно в статье не видел - каюсь. Только слово потенциально, меня все же смущает.D

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от OpenEcho (?), 01-Июл-24, 19:07

> Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у
> полтора фрика.Надеюсь так понятнее.
Так оно конечно понятнее о  каких землекопах, с чего и следовало начинать, но еслу вы посмотрите новость, то там не только глибц, а потенциально все либц, окромя опенка

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

2. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +7 +/–

Сообщение от Аноним (2), 01-Июл-24, 14:15

- else if (timespeccmp(&now, &next_interval, >=)) {
- /* Otherwise if we were due to send, then send chaff */
+ else if (timespeccmp(&now, &next_interval, >=) &&
+        !ssh_packet_have_data_to_write(ssh)) {
+ /* If due to send but have no data, then send chaff */
Патч впечатляет.
Даже слов нет.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (7), 01-Июл-24, 14:22

https://www.opennet.me/opennews/art.shtml?num=28998

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –5 +/–

Сообщение от Аноним (-), 01-Июл-24, 14:17

Опять этот глибс! Говорила мама собирать на масле. Хотя логика атаки допускает использование других библ, винить мы будем именно раздутый глибс.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +3 +/–

Сообщение от Аноним (7), 01-Июл-24, 14:27

Так как дыра в сигнало-небезопасной реализации вызовы syslog(), то винить мы будем все libc, где нет сигнало-безопасного syslog_r.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (4), 01-Июл-24, 14:18

Слава Богу dropbear неуязвим.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –4 +/–

Сообщение от birdie (ok), 01-Июл-24, 14:18

> With a heap corruption as a primitive, two FILE structures malloc()ated in the heap, and 21 fixed bits in the glibc's addresses, we believe that this signal handler race condition is exploitable on amd64 (probably not in ~6-8 hours, but hopefully in less than a week). Only time will tell.
Эксплоита для 64бит пока нет, взлом в теории занимает до недели.
> Side note: we discovered that Ubuntu 24.04 does not re-randomize the ASLR of its sshd children (it is randomized only once, at boot time); we tracked this down to the patch below, which turns off sshd's rexec_flag. This is generally a bad idea, but in the particular case of this signal handler race condition, it prevents sshd from being exploitable: the syslog() inside the SIGALRM handler does not call any of the malloc functions, because it is never the very first call to syslog().
Бубунту в своём стиле.
---
На OpenWRT используется MUSL, можно спать спокойно.
Дыра по факту страшная, наверное, самая страшная за последние несколько лет.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (7), 01-Июл-24, 14:24

> На OpenWRT используется MUSL, можно спать спокойно.
> в других системах на основе стандартных библиотек, отличных от Glibc, теоретически возможна адаптация метода для совершения атаки
Ну спите, спите.
FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc.

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (110), 02-Июл-24, 00:03

> Ну спите, спите.
> FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc.
Как ты понимаешь, с его ником его мозга немного не хватило чтобы прочитать описание эксплойта и подумать головой что такие гонки и на кучи других конфиг можно попробовать создать.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 01-Июл-24, 16:14

и вообще, чего раскричались-то? Наши бубубунты 14 и 16 совершенно неуязвимы!

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

74. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от пох. (?), 01-Июл-24, 18:01

если не включать

Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (132), 02-Июл-24, 12:06

> если не включать
А вот и наши двое из ларца - одинаковы с лица! :)

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (-), 01-Июл-24, 16:46

> На OpenWRT используется MUSL, можно спать спокойно.
На openwrd обычно используется Dropbear, а эксперты опеннета как обычно про это не в курсе.
Впрочем, они и про безопасность musl задним числом расскажут. Ведь проверить можно ли гонку создать там - их экспертизы все равно не хватит. Зато языком почесать с умным видом...

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

73. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Нейм (?), 01-Июл-24, 17:48

> Side note: we discovered that Ubuntu 24.04 does not re-randomize the ASLR of its sshd children (it is randomized only once, at boot time); we tracked this down to the patch below, which turns off sshd's rexec_flag. This is generally a bad idea, but in the particular case of this signal handler race condition, it prevents sshd from being exploitable: the syslog() inside the SIGALRM handler does not call any of the malloc functions, because it is never the very first call to syslog().
>Бубунту в своём стиле.
Поясните для тупых. У бубунтовых используется модифицированный SSH со сломанным ASLR?
А что я увижу в /proc/sys/kernel/randomize_va_space в таком случае? Все еще "2", но при этом рандомизация будет происходить только один раз?
Не оч понятно просто про какой патч они говорят. Наоборот же, для усложнения атаки, ASLR должен быть включен и быть полноценным, а они пишут про we tracked this down to the patch below. Это про какой такой патч?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

81. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от Аноним (81), 01-Июл-24, 18:44

Почему страшная? Удалённый рут без аутентификации это наоборот классно.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

115. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (115), 02-Июл-24, 01:11

Удалённый рекурсивный-усиленный?

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от fuggy (ok), 02-Июл-24, 11:02

>Эксплоита для 64бит пока нет, взлом в теории занимает до недели.
А разговоров то было.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (6), 01-Июл-24, 14:19

> что обработчик сигнала вызывает функции, не безопасные при асинхронной обработке сигналов
haha, classic
> Уязвимость появилась в результате регрессивного изменения
которое было сделано в Oct 16, 2020
Неплохо так бекдор закинули. 3+ года отработал, теперь можно и "закрыть"
Куда же смотрели тыщщи глаз?..

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –6 +/–

Сообщение от birdie (ok), 01-Июл-24, 14:22

> Куда же смотрели тыщщи глаз?..
Эти глаза существуют только в фантазиях фанатов open source, которые считают, что "раз есть сорцы, то софт более безопасен априори". По факту имеем что имеем, что open source имеют.
Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (28), 01-Июл-24, 14:48

а что, в проприетарном софте нет этих тысяч глаз? в корпорациях работают миллионы программистов и существует практика кодревью, когда трое обязаны смотреть и проверять что четверти наговнокодил, и что, там нет багов? полно!
вот другое когда ты берешь опенсоурс и у тебя есть возможность открыть исходный код и всё проверить самому, будешь ты это делать или не будешь, другой вопрос

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +3 +/–

Сообщение от Аноним (7), 01-Июл-24, 15:02

microsoft windows, прошивки d-link, cisco ios - серьезные проприетарные продукты, но бэкдоры в них находят регулярно.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (38), 01-Июл-24, 15:08

Так это не баги, всё нормально. В теории идея не пропускать сомнительный код, если конечно цель не напихать бэкдорчиков, как в случае с типичными проприетарными продуктами.

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (69), 01-Июл-24, 17:13

Это не баги, это бизнес-модель такая, учитывающая широкий круг интересов, включая покрываемые госфинансированием.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

98. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (98), 01-Июл-24, 20:13

> а что, в проприетарном софте нет этих тысяч глаз?
Там этих глаз сильно меньше. Ибо нанимают все же на минималках. С запасом никто человеческие ресурсы не берет. Жаба же. Продукт 1 и тот же - а на зарплаты больше уходит.
> в корпорациях работают миллионы программистов и существует практика кодревью,
> когда трое обязаны смотреть и проверять что четверти наговнокодил, и что, там нет багов? полно!
А реально полтора замордованых землекопа, с дефицитом времени и более 9000 тасков в буфере, так что ревью там совсем на минималочках может быть. И не идет ни в какое сравнение с независимым тыканием палочкой как вооооон те.
Сколько ревьюверов от проприетари вообще понимает топик гонки в обработке сигналов? Целые 10 на весь глобус? Оок! Может гуглу, и если повезет, фэйсбуку, их даже достанется. А если вы не они - suxx to be you.
> вот другое когда ты берешь опенсоурс и у тебя есть возможность открыть
> исходный код и всё проверить самому, будешь ты это делать или
> не будешь, другой вопрос
Ну вон те господа взяли исходники и провели прицельный тематический аудит. А пропретарные ревьеры точно такой уровень вообще - умеют?! И если да, то сколько из?! Вон то - качественный профессиональный анализ тематической фирмочкой. А могут они его как раз потому что сорцы были.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

119. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от ИмяХ (ok), 02-Июл-24, 04:01

В корпорациях код-ревью проводят специалисты, которые получают за это зарплату. В опенсорсе никого не обязывают проводить код-ревью и тут срабатывает "эффект дженовезе" никто не проверяет код, ибо каждый надеется на то, что его проверит кто-то другой.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

109. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +3 +/–

Сообщение от Sem (??), 02-Июл-24, 00:01

"Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз."
Если это сарказм, то не понятный. Ведь действительно показал. Не успел ещё распространиться, а его уже обнаружили. И иметь даже теоретическую возможность обнаружения из за открытого кода - дорогого стоит.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

12. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +7 +/–

Сообщение от Аноним (4), 01-Июл-24, 14:24

Так пара глаз из тысяч как раз и высмотрела.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

39. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 01-Июл-24, 15:15

> Так пара глаз из тысяч как раз и высмотрела.
Нет. Проблему нашли специально обученные люди из фирмы, которые этим профессионально занимаются.
Наверное потому что им дали заказ. Или они решили себя прорекламировать.
Аналогично их нанимают для аудита коммерческих продуктов. Просто об этом не трезвонят.
А тыщщи глаз как всегда тупили.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +5 +/–

Сообщение от Аноним (40), 01-Июл-24, 15:22

Напоминаю: работа этой фирмы стала возможной потому, что  код сделали открытым для тысяч глаз. Если бы у sshd код был закрытым, то на его анализ был бы совершенно другой ценник, и его бы никто не заказал по такой цене.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 01-Июл-24, 15:41

Такие фирмы прекрасно живут и на аудите проприетарного кода.
Плюс ты не знаешь кто, почему и за чьи деньги заказал аудит.
Не фирма должна быть благодарна, за то, что код оказался открытым, а пингвиноиды за то, что им дыру прикрыли.
> Если бы у sshd код был закрытым, то на его анализ был бы совершенно другой ценник, и его бы никто не заказал по такой цене.
С чего это вдруг? Им без разницы открытый код или нет. Работа же делается одна и та же.
Но даже если, то разумеется Linux Foundation же настолько нищая, что у них нет на это денег.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от Аноним (40), 01-Июл-24, 16:03

>С чего это вдруг? Им без разницы открытый код или нет. Работа же делается одна и та же.
Закрытый - пришлось бы реверсить. Напоминаю: исходник доступен только когда лица с доступом к нему заказали. Представим, что исходник sshd закрыт. Предположим, что доступ к нему есть только у разрабов OpenSSH. В данном случае аудит заказали не разрабы OpenSSH, иначе уведомление об уязвимости было бы в другой форме, а не full disclosure. Тогда получается, что иной формы получить информацию о деталях реализаци продукта, кроме как реверсинг, у компани нет. И добавляются юридические риски. И реверсенный исходник - не сахар. А это уже выливается в на порядки больший ценник.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –2 +/–

Сообщение от Аноним (-), 01-Июл-24, 16:34

> Закрытый - пришлось бы реверсить.
WAT??? Речь идет не про реверс чужой программы.
С закрытым кодом владельцы сами приходят к аудитору, предоставляют ему сорцы и всё что нужно для работы. Иногда даже выделяют сотрудников и/или рабочие места. А если код нельзя передавать, то аудиторы работают на месте с оплатой всего - проживание, питание и тд.
В таком случае открытость кода - это недостаток, его может на порядки легче ковырять кто угодно. И использовать результаты как захочет. А на ковыряние бинарников какой-то винды придется потратить намного больше усилий.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (69), 01-Июл-24, 16:58

А владелец - дурак, что ль? Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявить: "Код безопасный, закрытый, небитый, мамой неуловимого Джо клянусь". Сам он этим кодом не пользуется, он им торгует. Какой интерес тратиться на аудит, когда можно потратиться на рекламу, и сразу убить двух зайцев за те же деньги?
> А на ковыряние бинарников какой-то винды придется потратить намного больше усилий.
Вот именно. Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет, а побежит сдавать в даркнет. А самому проверять закрытое - весьма накладно, да и лицензия явно запрещает. Шах и мат твоей "безопасности".

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (66), 01-Июл-24, 17:06

> А владелец - дурак, что ль?
Владелец отнюдь не дурак. Не во всех случаях можно совершенно бесплатно, авторитетно заявить.
Потому что потом тебе могут выкатить штраф на пару лярдов баксов.
Поэтому умный владелец проводит аудит. Собственно существование таких фирм само по себе подтверждение что их услугами кто-то пользуется.
> Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет,
> а побежит сдавать в даркнет.
А легко найденое в открытом точно также продается в даркнете. Или используется "ими".
У них целые отделы сидят и ищут дыры в открытом коде. И они сообщают об этом авторам только тогда, когда нужно, а не когда нашли.

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (99), 01-Июл-24, 22:02

Хоть один штраф покажи. То что продаётся на рынке, продаётся "AS IS". Это покупатель рискует проштрафится, если ключ активирует в неправильной позе или без уважения.
В открытых проектах дырки, как раз, ищут часто бесплатно, для репутации, презентации, рекламы.

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 01-Июл-24, 17:11

> А владелец - дурак, что ль?
Конечно нет. Был бы глупым - побежал открывать код и дарить все права жуликам из ФСФ.
> Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявить: "Код безопасный, закрытый, небитый, мамой неуловимого Джо клянусь".
Не дружище, ты наверное никогда не участвовал в коммерческой разработке.
Особенно B2B.
Для серьезных заказчиком тебе придется показать и аудит, и всякие ISO по менеджменту.
> Сам он этим кодом не пользуется, он им торгует.
В смысле? Продал и забыл?
Ну так это уже прошлый век.
Сейчас основная модель подписка - разработчик знает что он не останется без работы, а заказчик, что есть кто-то, кто будет пилить фичи и исправлять баги.
> Какой интерес тратиться на аудит, когда можно потратиться на рекламу, и сразу убить двух зайцев за те же деньги?
Чушь. Подойдет только для фирм однодневок.
> Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет, а побежит сдавать в даркнет.
Именно поэтому мелкомягкие тратятся на Bug Bounty. Как и гугл и куча других фимр.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

101. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (99), 01-Июл-24, 22:08

> Для серьезных заказчиком
Нужно только лицо по-серьезнее делать. И голословные заявления не устно, а на бумажке с печатью подавать, в трех экземплярах, на природе, за накрытым столом, между первой и второй.
> Подойдет только для фирм однодневок.
Одна из ста таких одновневок становится относительно успешной, продаётся конторе по-крупнее и начинает постепенно увеличивать аудиторию, а безопасность как была на уровне стратапа-на-коленке, так и остаётся.
> мелкомягкие тратятся на Bug Bounty
Только для тех проектов, которые используют в собственной инфраструктуре.

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (76), 01-Июл-24, 18:26

> А владелец - дурак, что ль? Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявить
Заявить можно. Продать тяжело, особенно секьюрити продукт. «Я тебе, конечно, верю…» но ты мне покажи результаты независимого аудита до покупки. А не покажешь, так тебе в затылок дышут ещё пятеро, и у них аудит уже готов. Я знаю, приходилось и покупать, и продавать.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

23. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от Аноним (23), 01-Июл-24, 14:38

Ты просто завидуешь что в швинде так нельзя.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

50. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от noc101 (ok), 01-Июл-24, 16:02

Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так что завидовать должны линуксятники

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (23), 01-Июл-24, 16:07

Проблема закрытости? В швиндоуз десятки точно таких же бекдоров и никто даже не пытается делать вид что чешется.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (62), 01-Июл-24, 16:46

> десятки точно таких же бекдоров
А пруфы будут?
Пока ты тут только подгазовываешь в лужу.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от Аноним (69), 01-Июл-24, 17:03

Статистику по вредоносам посмотри, а потом задайся вопросом, как они проникают и закрепляются в системе.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (81), 01-Июл-24, 18:52

Тебе статистику показать - ты всё равно заверещишь что это а андроиде/убунте/федоре/etc, а в твоём раче, диване или другом васяниксе такого нет и потому не считается.

Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 02-Июл-24, 12:14

> Тебе статистику показать - ты всё равно заверещишь что это а андроиде/убунте/федоре/etc,
> а в твоём раче, диване или другом васяниксе такого нет и
> потому не считается.
А где оно собссно под убунты, андроиды и федоры? Впрочем в андроиде софт такой что там никакой малвари и не надо - сама система и софт такие что устанавливать что-то дополнительно явный перебор. Но опять же - есть сборки без всего этого.

Ответить | Правка | Наверх | Cообщить модератору

140. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от noc101 (ok), 02-Июл-24, 12:53

> Проблема закрытости? В швиндоуз десятки точно таких же бекдоров и никто даже
> не пытается делать вид что чешется.
Как показали последние новости, на Линуксах также есть бэкдоры!
Но именно данной проблемы, из новости, в Винде нет.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

134. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (-), 02-Июл-24, 12:12

> Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так
> что завидовать должны линуксятники
Не вижу чему там завидовать. Тормозная ОС, с гнилыми системными кишками, которые почти не развивается. Не кастомизируемая, в каждой новой версии все больше и больше подлян. Все современные направления типа ARM, RISCV, mobile и проч безнадежно отстают. Да что там - от очень хорошей жизни WSL аж сделали. Потому что вот именно свой шелл в винде УГ, что cmd, что powershell. И терминалки - за все десятилетия потуг даже простенткому XFCE конкуренццию не смогли. Ну девелоепрс-девелоперс, и сделали с такой платформы драп-драп.
А вы там можете смотреть рекламу, отсылая текст в нотпаде майкрософту, в перерыве между отчетами по активациям. Я же такое юзать не буду даже если мне приплатят. Мерзкая ОС.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

139. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от noc101 (ok), 02-Июл-24, 12:46

>> Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так
>> что завидовать должны линуксятники
> Не вижу чему там завидовать.
Повзрослей. Разговор шел не про зависть.
> Тормозная ОС, с гнилыми системными кишками, которые
> почти не развивается.
Это у тебя фантазия, в реальности всё ровно наоборот.
> Не кастомизируемая,
Вранье конечно. На винде также можно менять иконки как и на Линуксе. Хехе
> в каждой новой версии все больше
> и больше подлян.
Так ты выше писал, что не развивается. Фантазер ты хоть в одном комменте не пиши взаимоисключающие тезисы.
> Все современные направления типа ARM, RISCV, mobile и
> проч безнадежно отстают.
И много десктопов на этих процах? Примерно нисколько! Почему винда должна под эти процы развиваться? Винда коммерческий продукт, она не делает то что не нужно.
> Да что там - от очень хорошей жизни
> WSL аж сделали. Потому что вот именно свой шелл в винде
> УГ, что cmd, что powershell. И терминалки - за все десятилетия
> потуг даже простенткому XFCE конкуренццию не смогли. Ну девелоепрс-девелоперс, и сделали
> с такой платформы драп-драп.
Фантазер в своем маня мирке даже не представляет зачем был сделан WSL. Это просто ржач) Чтобы заменить шел. Это просто дикий ржач)))
> А вы там можете смотреть рекламу,
Это конечно мощная у тебя фантазия.
> отсылая текст в нотпаде майкрософту, в
> перерыве между отчетами по активациям.
Сильно тебя штырит.
>Я же такое юзать не буду
> даже если мне приплатят. Мерзкая ОС.
А тебя кто то заставляет фантазер? Порвался от слова Винда, наплел чуши несусветной и как итоге сказал что не будет пользоваться. Ты как не уловимый Джо.

Ответить | Правка | Наверх | Cообщить модератору

153. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 02-Июл-24, 20:58

>> Не вижу чему там завидовать.
> Повзрослей. Разговор шел не про зависть.
Это как? Стань старым хpычoм? Переехай на кладбище? Да ну нафиг.
> Это у тебя фантазия, в реальности всё ровно наоборот.
Я заметил, ворочая разлапистыми иерархиями с 100K+ файлов, билдуя проекты размером с линукскернел и проч. А так то одна из причина перехода на линь - проект раза в 3 быстрее билдился. Все что надо знать о маздайке. А ничего сравнимого с btrfs там вообще нет. Сами свои технологии из 90 в нтфс юзайте.
> Вранье конечно. На винде также можно менять иконки как и на Линуксе.
Я эмбедовку фигачу, там другой уровень кастомизации уместен. Ну а винда соответственно не модульная, да и по сути x86-only. На ARM пытается, но "драйверов нет, б...!"
> комменте не пиши взаимоисключающие тезисы.
Не говорите мне что делать - и я не скажу куда вам идти.
> И много десктопов на этих процах? Примерно нисколько!
Ну во первых - уже есть и борды из которых можно десктоп сделать.
Во вторых вотпрямща активно развиваются ноуты на армах.
В третьих, на десктопах мир не заканчивается, внезапно.
А таки лично мой следующий воркстейшн будет уже имхо не x86. Достали меня эти господа с ME и PSP. Все мои воркфлоу 1 фиг на опенсорсном софте - так что мне похрен на архитектуру.
> Почему винда должна под эти процы развиваться? Винда коммерческий продукт,
На минутку виндофоны вон трепыхались. Но не смогли. Сейчас с ноутами трепыхаются, внезапно. Опять будет поддержка целого квалкома поди, как обычно.
> Это просто ржач) Чтобы заменить шел. Это просто дикий ржач)))
Хорошо смеется тот кто смеется последний.
> Это конечно мощная у тебя фантазия.
Спасибо, видал я эту фантазию у хомячков в маздайках 10/11. Себе такого что-то не хочется, так что...
> несусветной и как итоге сказал что не будет пользоваться. Ты как
> не уловимый Джо.
Сначала выучи как фраза пишется, чудик, потом пафос разводить будешь. А, да, кстати спасибо за демо на предмет экосистемы и кто винду юзает. В линухе пользователи поинтереснее, производят впечатление разумного существа а не биоробота. В отличие от вас.
Так, по жизни я от вас на этом форуме никогда не видел никаких полезных сведений или пруфа знаний и скилов. Только потуги самоутверждаться за чужой счет. Так что гнилая у вас не только ОС - но и экосистема. Между нами, до того как "повзрослеть" переехав на кладбище, я предпочту поотвисать с вон теми. А не такими как вы. С умными и конструктивными людьми свою жизнь провести - намного приятнее.

Ответить | Правка | Наверх | Cообщить модератору

155. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от noc101 (ok), 02-Июл-24, 22:48

> Это как? Стань старым хpычoм? Переехай на кладбище? Да ну нафиг.
Нет. Это когда читаешь комментарий и отвечать по существу. А не как ребенок, если зад горит, то надо навалить левых тезисов, о которых никто не спрашивал и не утверждал, и сидеть с довольным лицом, мол смотрите как я его. А на тебя смотрят как малолетку, который не умеет в разговор.
>> Это у тебя фантазия, в реальности всё ровно наоборот.
> Я заметил, ворочая разлапистыми иерархиями с 100K+ файлов, билдуя проекты размером с
> линукскернел и проч. А так то одна из причина перехода на
> линь - проект раза в 3 быстрее билдился. Все что надо
> знать о маздайке.
То есть наплести кучу идиотизма и это твои знания. Молодец.
А ничего сравнимого с btrfs там вообще нет.
> Сами свои технологии из 90 в нтфс юзайте.
Еще раз, ты не знаешь предмет разговора. Уже НТФС не угодил ему.
НТФС хоть и вышла в 93 году, но вполне удачно развивается и последние обновление было с выходом 10 винды.
Все что нужно для современной работы с ФС, там есть.
То есть ты опять соврал.
>> Вранье конечно. На винде также можно менять иконки как и на Линуксе.
> Я эмбедовку фигачу, там другой уровень кастомизации уместен. Ну а винда соответственно
> не модульная, да и по сути x86-only. На ARM пытается, но
> "драйверов нет, б...!"
О боже. Ты максимум трусы фигачишь в стиралку неуч.
Windows 10 IoT иди гугли и не позорься.
Ребенок, перед тем как умничать, подумай, стоит ли оно того.
> Не говорите мне что делать - и я не скажу куда вам
> идти.
так что ты тут делаешь? За собой не пробовал следить?
Разговор шел об SSH , но приперся ребенок и давай рассказывать какая винда ужасная.
Повзрослей.
> Ну во первых - уже есть и борды из которых можно десктоп
> сделать.
> Во вторых вотпрямща активно развиваются ноуты на армах.
> В третьих, на десктопах мир не заканчивается, внезапно.
> А таки лично мой следующий воркстейшн будет уже имхо не x86. Достали
> меня эти господа с ME и PSP. Все мои воркфлоу 1
> фиг на опенсорсном софте - так что мне похрен на архитектуру.
Как этот выдуманый бред касается SSH и Windows? Что ты тут вы*ираешь офтоп?

>> Это конечно мощная у тебя фантазия.
> Спасибо, видал я эту фантазию у хомячков в маздайках 10/11. Себе такого
> что-то не хочется, так что...
Да не пользуйся, кто тебя заставляет ребенок? Тебе кто то сказал ставить винду? Ты там случайно не наркоманишь? Как это касается SSH и Windows?
> кто винду юзает.
Жаль, что линуксом пользуются такие дети. Это просто позорище.
> В линухе пользователи поинтереснее, производят впечатление разумного существа а не биоробота.
> В отличие от вас.
Сказал ребенок, который влез офтопом в тему про SSH и "дыру в безопасности" и начал рассказывать как его заставляют винду юзать и как он сопротивляется.
Ты как веган. Который верещит на углу, что он мясо не ест. Когда всем пофигу на тебя и что ты ешь.
> Так, по жизни я от вас на этом форуме никогда не видел
> никаких полезных сведений или пруфа знаний и скилов. Только потуги самоутверждаться
> за чужой счет. Так что гнилая у вас не только ОС
Я с этого прям поржал.
Чел пришел в тему про... я устал повторять, но все таки... SSH и начал рассказывать какой он крутой, умный, а виндой его не заставят пользоваться. А потом рассказал, что виндузятники не такие и бла бла. Короче, ребенок. Ты как давно линукс поставил? неделю? Или две? ))))
Я таких линуксятников сотни уже видел. Поставили не давно и начинают всем рассказывать какая крутая система, да что там винда, да вот линукс, да я, да она, да ты что ахахахаха
Правда потом такие дети уходят на винду, ведь одно дело играться, а другое дело работать.
Играться то надоест))
> - но и экосистема. Между нами, до того как "повзрослеть" переехав
> на кладбище, я предпочту поотвисать с вон теми. А не такими
> как вы. С умными и конструктивными людьми свою жизнь провести -
> намного приятнее.
Чел с тобой ни один нормальный линуксятник не будет отвисать. Ты тупо не интересен.
Я в жизни не согласился бы с таким ребенком обсжудать Линукс.
Мы с тобой банально на разных уровнях.
У меня Линукс это рабочий инструмент. А у тебя игрушка для самоутверждения.
Я в Линуксе работаю больше чем ты живешь на свете. И пользовался такими дистрибутивами, о которых знают единицы людей.
З.Ы. Ребенок не офтопь.

Ответить | Правка | Наверх | Cообщить модератору

161. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 03-Июл-24, 05:43

> который не умеет в разговор.
Это говорит человек, который занимается самоутверждением за счет других, и не сказал за все время на форуме нихрена полезного. Так, штрих в картину.
> Еще раз, ты не знаешь предмет разговора. Уже НТФС не угодил ему.
Я прекрасно видел как это работает. Мне такое в 2024 не надо.

> НТФС хоть и вышла в 93 году, но вполне удачно развивается
Лично мне нравится как это у пингвина в btrfs и bcachefs развивается, хочу видеть будущее каким-то таким. С удобным, простым и логичным управлением, с минимумом ограничений.
> О боже. Ты максимум трусы фигачишь в стиралку неуч.
Очередной культурный всплеск в стиле маздайцев.
> Windows 10 IoT иди гугли и не позорься.
Полудохлая потуга мелкомякоти. И таки - драйверов под маздайку с гулькин нос. Да, пингвин в ЭТОМ обставил маздайку как с куста. Поддерживая чертову кучу SoC в майнлайне, куча дров для всяких датчиков и чего там еще на i2c/spi/uart и прочее IIO. Так что толку с потуг мелкомякоти вам будет - нифига. Кто вам эти дрова напишет? ;)
> Ребенок, перед тем как умничать, подумай, стоит ли оно того.
Клoyн, подумай что до того как вещать по теме - стоит прикинуть что оппонент может в ней что-то смыслить.
> так что ты тут делаешь? За собой не пробовал следить?
Сразу после тебя, мистер.
> Разговор шел об SSH , но приперся ребенок и давай рассказывать какая
> винда ужасная. Повзрослей.
А хренли, я с нее свалил потому что отсутствие развития системы и трэш с автоматизацией достали :)
> Как этот выдуманый бред касается SSH и Windows? Что ты тут вы*ираешь офтоп?
А, то-есть когда крыть стало нечем - вспомним что это офтоп. А до тех пор нормалек. Оок!
> винду? Ты там случайно не наркоманишь? Как это касается SSH и Windows?
Хехе, чот-то ты уже заткнулся на тему чего там на десктопах нет и проч. А ssh в винде - я не понимаю нахрен он там. Когда-то я даже юзал там - putty, но таки это криво по сравнению с обычной линухвой консолью. И таки в именно винде нормальных терминалок вообще хрен найдешь. В WSL еще может быть, но эта резиновая зина - для совсем извращенцев.
> Сказал ребенок, который влез офтопом в тему про SSH и "дыру в
> безопасности" и начал рассказывать как его заставляют винду юзать
Где я рассказал что меня заставляют? Дедуля в мapaзм никак впал?
> Чел пришел в тему про... я устал повторять, но все таки... SSH
> и начал рассказывать какой он крутой, умный, а виндой его не заставят пользоваться.
Ты тоже с своими экспертными заявочками каких там десктопов на чем нет - отличился. Но это нещитово видимо. Зато - вот - уровень экспертизы измерен на конкретном топике. И по реакции я все прекрасно вижу.
> бла. Короче, ребенок. Ты как давно линукс поставил? неделю? Или две?
В эпоху убунты 5 или 6. Это, кажется, немного дольше. В телепатии эксперт такой же нерюх как и в остальном.
> Правда потом такие дети уходят на винду, ведь одно дело играться,
Да вот что-то за ...цать лет никуда не собрался, напротив - направление понравилось и я доразвился в сторону системной интеграции и эмбедовки. За 5 минут это не получится.
> Играться то надоест))
Линух для работ намного круче - автоматизируется лучше, разгоняет мою эффективность. Я в нем печатки в KiCad наворачиваю, фирмвари МК пописываю и - вот - всякую околоэмбедовочную системную интеграцию. Такая фигня. Это намного кайфовее чем всякий маздай.
> Чел с тобой ни один нормальный линуксятник не будет отвисать.
Ох, лол, ты даже не знаешь где они обитают. А мнение - имеешь.
> Я в жизни не согласился бы с таким ребенком обсжудать Линукс.
Да кого это колышет? Я прекрасно вижу что моя экспертиза в лине куда мощнее. А ты эникей обычный. Пафосный не в меру.
> Мы с тобой банально на разных уровнях.
Да.
> У меня Линукс это рабочий инструмент. А у тебя игрушка для самоутверждения.
А у меня это любимый инструмент. В таком виде опенсорс - намного круче работает и можно достичь гораздо большего. Ты обычный унылый корпоративный мясник. Без особых интересов и скилов. Я таких вижу за версту. Мне не о чем с такими разговаривать - мы таких презираем. Вы никогда не будете на одном уровне с нами по скиллам и возможностям.

> Я в Линуксе работаю больше чем ты живешь на свете.
Самоуверенность некоторых чудиков бывает весьма забавной. Впрочем я заканчиваю тратить мое время на таких овощей, вы того не стоите.

Ответить | Правка | Наверх | Cообщить модератору

172. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от noc101 (ok), 03-Июл-24, 09:46

> Это говорит человек, который занимается самоутверждением за счет других, и не сказал
> за все время на форуме нихрена полезного. Так, штрих в картину.
Если ты не заметил, это новость. Тут обсуждают новость. А не помогают. В очередной раз доказательство твоей глупости.
> Я прекрасно видел как это работает. Мне такое в 2024 не надо.
Ты прекрасно показал, что ничерта не знаешь.
>> НТФС хоть и вышла в 93 году, но вполне удачно развивается
> Лично мне нравится как это у пингвина в btrfs и bcachefs развивается,
> хочу видеть будущее каким-то таким. С удобным, простым и логичным управлением,
> с минимумом ограничений.
Ну и хорошо. Какие претензии к НТФС? Что она не btrfs и bcachefs? А должна?
Самая глупая претензия от доморощеного линуксятника.
> Очередной культурный всплеск в стиле маздайцев.
Сказал слепой фанатик, который всех кто с ним не согласен записывает в маздайцы.
Учитывая, что пользоваться виндой, в этом нет ничего плохого, то встает вопрос об адекватности персонажа. Хотя какой тут вопрос и так ясно, глупый фанатик с раздражением глаз.
> Полудохлая потуга мелкомякоти.
Сначала "да нет у них ничего", а теперь полудохлая. Ха лол. Так нету ничего или полудохлая?
И почему ты решил что полудохлая? Вопрос риторический, так как и так ясно ты о об этой винде узнал от меня и теперь несешь бред, лижбы не признать обсер.
> И таки - драйверов под маздайку с гулькин нос.
Ты чо куришь? Сильно штырит тебя.
> Клoyн, подумай что до того как вещать по теме - стоит прикинуть
> что оппонент может в ней что-то смыслить.
Когда человек разбирается, это видно. По тебе видно, что ты понтуешься. Типичный новенький юзверь Линукса.
> А хренли, я с нее свалил потому что отсутствие развития системы и
> трэш с автоматизацией достали :)
Ладно, ты теперь для меня дно человеческого развития.
Оно не способно даже читать, что пишут.
> А, то-есть когда крыть стало нечем - вспомним что это офтоп. А
> до тех пор нормалек. Оок!
Сказало существо, которое не способно понять написаного.
Еще раз существо, по существу что будет сказано? Ничего? так слейся.
> Хехе, чот-то ты уже заткнулся на тему чего там на десктопах нет
> и проч.
Потому что существо тема разговора уязвимость SSH и что в винде этой уязвимости нет.
А не то что ты тут наплел кучу бреда выдуманого.
> А ssh в винде - я не понимаю нахрен
> он там. Когда-то я даже юзал там - putty,
Это просто днище... нет, это хуже дна. Оно путает клиент и сервер. Бедняжка.
> Где я рассказал что меня заставляют? Дедуля в мapaзм никак впал?
Оно даже за своей речью не следит. О боже, оно глупей чем кажется.
> Ты тоже с своими экспертными заявочками каких там десктопов на чем нет
> - отличился.
Читай новость глазами, а не жопой. Икспирт блин.
> В эпоху убунты 5 или 6. Это, кажется, немного дольше. В телепатии
> эксперт такой же нерюх как и в остальном.
Дяде врать нехорошо.
Или зачем ты в 24 году ставил Убунту 5? Оно думает, что может обмануть.
> Да вот что-то за ...цать лет никуда не собрался, напротив - направление
> понравилось и я доразвился в сторону системной интеграции и эмбедовки. За
> 5 минут это не получится.
Существо ты ... хотя нет, ты не понимаешь, что твое вранье шито белыми нитками.
Если ты на убунте с 5 версии, то откуда глубокие знания винды? То есть соврал? Или ты слышал об убунте но сидел на Винде? Ну в это поверить можно. Но тогда ты соврал, что на убунте с 5 версии.
Как ни крути, существо врет.
> Линух для работ намного круче - автоматизируется лучше, разгоняет мою эффективность. Я
> в нем печатки в KiCad наворачиваю, фирмвари МК пописываю и -
> вот - всякую околоэмбедовочную системную интеграцию. Такая фигня. Это намного кайфовее
> чем всякий маздай.
Какие фантазии у ребенка. Оно думает, что если умных слов накинет, то всё так и будет))
> Ох, лол, ты даже не знаешь где они обитают. А мнение -
> имеешь.
Это легко. Там где ты, там их нет.
> Да кого это колышет? Я прекрасно вижу что моя экспертиза в лине
> куда мощнее. А ты эникей обычный. Пафосный не в меру.
тебя колышет, ты же тут понтуешься, ахахаха
> Да.
Ну хоть согласен что ты дно. Ахахаха.
> А у меня это любимый инструмент. В таком виде опенсорс - намного
> круче работает и можно достичь гораздо большего. Ты обычный унылый корпоративный
> мясник. Без особых интересов и скилов. Я таких вижу за версту.
> Мне не о чем с такими разговаривать - мы таких презираем.
> Вы никогда не будете на одном уровне с нами по скиллам
> и возможностям.
О боже оно думает, что мне есть дело до мнение ребенка. Лол.
Теперь ты не человек, ты существо. Когда научишься читать, пиши. А сейчас слейся, ты слишком глуп.

Ответить | Правка | Наверх | Cообщить модератору

167. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 09:11

ну, кстати, к0к0к0кие ваши докозательства?
можно предположить что виндовый порт sshа конечно не дергает никакой syslog(), но могли ведь и полениться... или того хуже - вместо этого обратиться к эвентлогу, который тоже не signal-safe

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

171. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от noc101 (ok), 03-Июл-24, 09:27

> ну, кстати, к0к0к0кие ваши докозательства?
> можно предположить что виндовый порт sshа конечно не дергает никакой syslog(), но
> могли ведь и полениться... или того хуже - вместо этого обратиться
> к эвентлогу, который тоже не signal-safe
нюх нюх хватит нюхать наркоту и почитай новость

Ответить | Правка | Наверх | Cообщить модератору

173. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 11:30

И где в твоей новости что-то про винду?
(кстати, ее ssh оказывается не показывает свою версию в строке коннекта)

Ответить | Правка | Наверх | Cообщить модератору

184. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от noc101 (ok), 03-Июл-24, 16:44

> И где в твоей новости что-то про винду?
> (кстати, ее ssh оказывается не показывает свою версию в строке коннекта)
Там где чел написал про винду, а я сделал замечание, что данной проблемы в винде нет.
А потом пошло у фанатиков горение, как так нет.А по существу сказать то и нечего.

Ответить | Правка | Наверх | Cообщить модератору

186. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 20:15

так и и спрашиваю - почему ты так уверен что в вендепоганой проблемы нет?
Может ты не знал, но ssh там ровно из того же ведра разливали. Что в нем специфично виндового - загадка, потому что код открыт но не совсем. Ну в смысле ms вроде никуда его не выкладывала. В -V врет конечно что это прям openssh как он есть, но они ж корпорация - зла, небось попатчили в ста местах, и не признаются.
Тот что у меня говорит что он 8.1 (т.е. проблемы нет не потому что он ввенде, а потому что 8.1) но те винды что мне доступны для сканирования - не показывают версию, а по консолькам ходить не набегаешься.

Ответить | Правка | Наверх | Cообщить модератору

187. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от noc101 (ok), 03-Июл-24, 22:06

>[оверквотинг удален]
> Может ты не знал, но ssh там ровно из того же ведра
> разливали. Что в нем специфично виндового - загадка, потому что код
> открыт но не совсем. Ну в смысле ms вроде никуда его
> не выкладывала. В -V врет конечно что это прям openssh как
> он есть, но они ж корпорация - зла, небось попатчили в
> ста местах, и не признаются.
> Тот что у меня говорит что он 8.1 (т.е. проблемы нет не
> потому что он ввенде, а потому что 8.1) но те винды
> что мне доступны для сканирования - не показывают версию, а по
> консолькам ходить не набегаешься.
OpenSSH 8.5 на системах со стандартной библиотекой Glibc
Давно на Винде есть Glibc и чтобы на нем еще OpenSSH собирался.
А еще можешь почитать про уязвимость и увидеть про какие целевые ОС идет речь.

Ответить | Правка | Наверх | Cообщить модератору

188. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 22:39

> OpenSSH 8.5 на системах со стандартной библиотекой Glibc
так проблема не в библиотеке.
Просто именно под нее подобрали уже готовую и проверено работающую процедуру.
Ну и вон про мюсли теперь точно известно что для нее такой существовать не может, потому что она signal-safe в этом месте (случайно получилось)
А про винду неизвестно ничего - ни как там sshd вообще таймаут обрабатывает (точно ли использует аларм вместо таймера, вызывает ли syslog - то и другое конечно имитируется прокладками, но вообще-то ни разу не виндовые апи), ни есть ли там место для проявления race - потому что хз как и с какими самодельными патчами проклятая корпорация зла его там собирает.
> А еще можешь почитать про уязвимость и увидеть про какие целевые ОС идет речь.
эх, я-то думал ты у нас понимаешь чуть больше чем список торговых марок :-(
До чего же деградировал опеннет.

Ответить | Правка | Наверх | Cообщить модератору

189. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от noc101 (ok), 04-Июл-24, 00:42

>так проблема не в библиотеке.
Проблема в OpenSSH 8.5 на системах со стандартной библиотекой Glibc

>А про винду неизвестно ничего
Известно, что ее нет в списке уязвимых систем.
Когда будет, тогда поговорим. А пока у фанатиков жопка горит.
>До чего же деградировал опеннет.
Покинь опеннет, спаси от деградации.

Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (130), 02-Июл-24, 10:55

Винду нада переустановить

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

142. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (142), 02-Июл-24, 13:10

Ненужное на десктопе тоже, причём чаще: надо же все тысячи сортов попробовать, а не все с флешки запускаются в live режиме.

Ответить | Правка | Наверх | Cообщить модератору

174. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 11:31

> Ненужное на десктопе тоже, причём чаще: надо же все тысячи сортов попробовать,
> а не все с флешки запускаются в live режиме.
диски ж сегодня большие, тоже мне проблема. И растреклятый уефи позволяет (при некоторых если) не аж четыре, а хоть стосороквосемь сортов рядом понаустанавливать.
Загружается при этом у них конечно все равно винда, но таков путь.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –2 +/–

Сообщение от Аноним (4), 01-Июл-24, 14:22

>Атака основана на том, что обработчик сигнала вызывает функции, не безопасные при асинхронной обработке сигналов, такие как syslog()
Значит надо засунуть в реализацию всех таких функций по мьютексу.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (7), 01-Июл-24, 14:32

Сигналобезопасный вариант syslog_r есть только стандартной библиотеке openbsd.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от slavanap (?), 01-Июл-24, 14:24

Чего на Ubuntu ссылка не рабочая?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –3 +/–

Сообщение от Аноним (7), 01-Июл-24, 14:31

Команда безопасности Ubuntu на данный момент не проинформирована об этой уязвимости.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от Аноним (29), 01-Июл-24, 14:49

Свистеть не мешки ворочать?
https://lists.ubuntu.com/archives/ubuntu-security-announce/2...

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (4), 01-Июл-24, 14:25

Как там с поддержкой landlock в OpenSSH?
Как там с поддержкой pledge в Linux?

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (7), 01-Июл-24, 14:29

pledge — это по факту подмножество функций seccomp.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (23), 01-Июл-24, 14:39

Случайность? Не думаю!

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (25), 01-Июл-24, 14:40

> OpenSSH в OpenBSD проблеме не подвержен, так как в данной системе с 2001 года применяется механизм защиты, блокирующий подобные классы атак.
Шах и мат.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (23), 01-Июл-24, 14:58

Типичные данайцев и дары.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –2 +/–

Сообщение от Аноним (7), 01-Июл-24, 15:05

Видимо, ФБР очень просило, но удалось договориться на том, что установят только в portable openssh, а свою систему подставлять не будут.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 01-Июл-24, 22:52

> Типичные данайцев и дары.
Я б сказал что софт из опенка на всем что не опенок юзать кажется начинает смотреться хреновой идеей. Потому что такие "артефакты портирования" можно огрести.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

157. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 00:20

рут в smtpd у них был свой, собственный, никаких артефактов портирования (потому что нахрен никому такое не уперлось)
Так что увы, софт из опенка смотрится херовой идеей даже в самом опенке.
Очень жаль что ssh попал в эти руки и поляна загажена наглухо.

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от penetrator (?), 01-Июл-24, 20:06

https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04...

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

26. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (28), 01-Июл-24, 14:40

по моему они опять завысили уровень опасности этого CVE
если поковырять код, то наверняка выяснится что это вовсе не уязвимости
ох уж эти паникеры!

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (23), 01-Июл-24, 14:57

Экспертиза от немамонта, который даже код не смотрел. Не может поверить что существуют люди которые хотят его обмануть.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (7), 01-Июл-24, 15:04

Больше выглядит как ирония над соседней новостью, где JS-разработчик жалуется, что ему выносят мозги просьбами закрыть дыру, которая ему кажется неважной.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (23), 01-Июл-24, 15:26

Тебе показали красный молоток и теперь ты думаешь про красный молоток? Я бы тебе книжку посоветовал, но она сложная и ты ее не осилишь.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (70), 01-Июл-24, 17:35

Для порядка заметим, что ниже пришёл автор исходного комментария и подтвердил эту теорию.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (28), 01-Июл-24, 15:36

анон, это был сарказм и аллюзии на прошлую новость.. красиво же совпало!
экспертиза от немамонта говоришь ;-)

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

37. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от 1 (??), 01-Июл-24, 15:05

Чем выше уровень - тем больше бабла

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

42. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (23), 01-Июл-24, 15:27

Если делится с тем кто определяет уровень можно поднять свой уровень.

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 01-Июл-24, 22:54

> по моему они опять завысили уровень опасности этого CVE
По некоторым данным, писатели эксплойтов уже взяли низкий старт и вступили в гонку за первое место на тему кто быстрей напишет эксплойт и больше хостов разломает.
А гиморность экспуатации окупается тем что ремотный рут без аутентификации - на дороге не валяется. Так что господа сейчас почти наверняка придумают как гончки заоптимизировать, чтобы за весьма обозримые времена - в дамки.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

49. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (49), 01-Июл-24, 15:58

Не исключается возможность совершения атаки и на 64-разрядные системы - расходимся, пока что это всё теория.
А те у кого 32битный Pentium 4 - ломать никто не будет.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (52), 01-Июл-24, 16:04

> ... проведение атаки на 64-разрядные системы будет занимать гораздо больше времени, но не более недели
да, через неделю приходи

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (23), 01-Июл-24, 16:09

Нет такую уязвимость оставят себе и открывать не будут.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Sem (??), 02-Июл-24, 00:09

Очень сложно не заметить атаку, когда openssh тебе почти неделю без перерыва будет спамить в логи сообщением "Timeout before authentication".

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

56. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от YetAnotherOnanym (ok), 01-Июл-24, 16:19

> Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью
Для успешного проникновения в шахту баллистической ракеты РС-18 понадобится несколько недель, при условии, что охрана будет стоять и смотреть, как вы режете бронекрышку автогеном.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от penetrator (?), 01-Июл-24, 18:27

каждый час логи проверяешь на всех своих серверах?
что за бред?

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от нах. (?), 01-Июл-24, 18:30

каждые шесть же ж!

Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (-), 02-Июл-24, 00:18

> Для успешного проникновения в шахту баллистической ракеты РС-18 понадобится несколько
> недель, при условии, что охрана будет стоять и смотреть, как вы
> режете бронекрышку автогеном.
А на практике - придет белый человек, продемонстрирует как работает bunker buster. И окажется что времена проникровения могут быть совсем другие.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

123. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от www2 (??), 02-Июл-24, 07:18

Проникнуть в бункер и разрушить его - не одно и то же. На любой сервер можно сбросить ФАБ-3000. Технически осколки, прошившие его насквозь, в него проникнут. Но взломом это считаться всё равно не будет, потому что цель взлома - получить полный доступ к исправному объёкту.

Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 02-Июл-24, 12:18

> Проникнуть в бункер и разрушить его - не одно и то же.
> На любой сервер можно сбросить ФАБ-3000. Технически осколки, прошившие его насквозь,
> в него проникнут. Но взломом это считаться всё равно не будет,
Ну, понимаешь, чтобы это сделать - надо подлететь на потребное расстояние. И если ПВО настолько смотрит на это дело сквозь пальцы, это чьи сервера были?! Хотя автогол, конечно, тоже вариант. А админ может rm -rf /usr какойнить сделать по приколу.

> потому что цель взлома - получить полный доступ к исправному объёкту.
Вот это зависит от. Скажем любители направлений DoS и DDoS не разделяют данные точки зрения.

Ответить | Правка | Наверх | Cообщить модератору

185. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от YetAnotherOnanym (ok), 03-Июл-24, 17:33

> А на практике - придет белый человек
На практике "bunker buster" осядет на землю мелкодисперсной пылью вместе с носителем и его экипажем, а обитательница шахты полетит делать "белому человеку" кровопускание, чтобы стал ещё белее.

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

75. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (76), 01-Июл-24, 18:20

> Одним из признаков попыток совершения атаки является появление в логе большого числа записей "Timeout before authentication".
Только что с две сотни инстансов под нож отправил, везде где в логах встречалось. Разарабы три часа сидели без пайплайнов и тестовых деплоев. Ну и ладно, заодно в очередной раз убедились, что авральные планы актуальны и работают.

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 01-Июл-24, 18:28

херассе. А авральный план при котором просто расстреливают каждого второго разраба (или там - каждого в очках, или лысых) у вас тоже есть? Я только поинтересоваться...

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –2 +/–

Сообщение от Аноним (76), 01-Июл-24, 18:45

Что, завидно? Будь это всё в каком-нибудь он-прем дц я бы до сих пор по стойкам прыгал как обезьяна. А тут в два пайплайна всё чётко отработало. Вот она сила облачных технологий. Обожаю эту херню!

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (7), 01-Июл-24, 18:54

Особенно мило будет, если через это отверстие уже поимели гипервизоры вашего провайдера.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (76), 01-Июл-24, 19:26

Это крайне маловероятно как минимум потому, что у AWS нет доступа к их инфраструктуре через публичные сети. Но таки да, в таком случае будет мило.

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от нах. (?), 01-Июл-24, 19:33

Ну ты меня пригласи, как до on-prem дорастешь. Я тебе покажу как не прыгать по стойкам, а просто из уютного кресла повыключать к чертям все "неправильные" серверы.
Только чур команду будешь ты набирать, а я в этот день пожалуй в отпуск куда-нибудь, где не работает телефон.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

94. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (76), 01-Июл-24, 19:41

Как только он-прем дорастёт до клауда по деньгам — тогда и поговорим, и как выключить, и как включить обратно всё так, чтобы как было, только без потенциально взломанного SSH. А до тех пор мне и в пайплайн мышкой клацнуть норм.

Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 02-Июл-24, 00:21

> Ну ты меня пригласи, как до on-prem дорастешь. Я тебе покажу как
> не прыгать по стойкам, а просто из уютного кресла повыключать к
> чертям все "неправильные" серверы.
> Только чур команду будешь ты набирать, а я в этот день пожалуй
> в отпуск куда-нибудь, где не работает телефон.
Да, нанимай поха. У тебя все будет хреново, дорого, неэффективно, несекурно - зато нв все будет пафосная отмазка почему г-но это так и задумано и вообще этот ваш линукс сакс, давайте сейнс садомазо устроим, хотя BSD тоже сакс, давайте винду вкатим, во! Где вы бабки на столько серверной винды найдете... ну... вот из зарплаты поха и заплатите по приколу?! Заодно и посмотрим как ему ценник серверной винды :)

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

126. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от User (??), 02-Июл-24, 08:06

Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки - обычно вообще 1,5-2.

Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (-), 02-Июл-24, 12:25

> Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки
> - обычно вообще 1,5-2.
Ну да, ну да, только даже на абажуре чего-то более 70% - линух. И виндус апдейт что-то грузит все линуксным CDNом.
В общем у господ от маздая довольно тухлые идеи на тему что и сколько стоит. За что они и повыпали повсеместно из фавора. За примерно то же в фавор попали облака, делаемые теми кто объекты умеет фигачить дешево и массово, в отличие от вас. Ничего личного, это бизнес, а оплачивать все ваши откаты - нафиг кому надо?!

Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от User (??), 02-Июл-24, 21:48

>> Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки
>> - обычно вообще 1,5-2.
> Ну да, ну да, только даже на абажуре чего-то более 70% -
> линух. И виндус апдейт что-то грузит все линуксным CDNом.
> В общем у господ от маздая довольно тухлые идеи на тему что
> и сколько стоит. За что они и повыпали повсеместно из фавора.
> За примерно то же в фавор попали облака, делаемые теми кто
> объекты умеет фигачить дешево и массово, в отличие от вас. Ничего
> личного, это бизнес, а оплачивать все ваши откаты - нафиг кому
> надо?!
Ну да - вот только ой, вы к тем облакам отношение не имеете ровным счетом "никакого". Да и к проектам в общем-то тоже - подвальный хэндмейд он все-ж про другое, да?
А вот в общей стоимости внедрения чего-нибудь бизнесового - MES, ERP, MDM какой-нибудь - стоимость серверных лицензий MS - ну вот околотакая. И да, на аналоговнете - оно сплошь и рядом - дороже.

Ответить | Правка | Наверх | Cообщить модератору

162. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 03-Июл-24, 05:56

> Ну да - вот только ой, вы к тем облакам отношение не
> имеете ровным счетом "никакого".
А при чем тут я? Это осбуждение технологий в ходу. Да, я не програмил тот же KVM и QEMU - но это не мешает мне им и вещами на его основе пользоваться, оптом и в розницу. И конечно это все на линухе. И у меня, и у хостеров, и проч.
> А вот в общей стоимости внедрения чего-нибудь бизнесового - MES, ERP, MDM
> какой-нибудь - стоимость серверных лицензий MS - ну вот околотакая. И
> да, на аналоговнете - оно сплошь и рядом - дороже.
Я конечно понимаю что некоторых покусаных энтерпрайзом иногда не попускает, и они уверены что весь мир состоит только из этого. Но вообще-то это довольно незначительный процент от общей массы. Ну так, мелочи какие.
Вон майкрософт уже кажется даже забил годядика проплачивать для накрутки доли винды с IIS'ом, все и так догадались что накрутка на паркинге, завели отдельную категорию, а так уже неспортивно, да.

Ответить | Правка | Наверх | Cообщить модератору

164. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от User (??), 03-Июл-24, 07:17

Перевожу: существуют целые классы систем - и соответственно, проектов внедрения этих систем - где использование решений на стеке MS не то, что "востребовано"  - а "безальтернативно". И да, - в облаках тоже, exchange не даст соврать.
И вот как-то так получается, что стоимость именно серверных лицензий MS в этих проектах реально - копеечная. Да, включая гипервизор, виртуалки и отказоустойчивый MsSQL.

Ответить | Правка | Наверх | Cообщить модератору

156. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 00:08

там достаточно взглянуть на цену сервера, на котором крутится та винда. Можно даже еще ничего на нее не ставить - уже цена лицензии (которая пока еще разовая и вечная, в отличие от платы за обслуживание ящика куда установлена) покажется полной фигней.
И да, шва... бесплатные решения почему-то при рассмотрении под таким углом становятся совсем-совсем небесплатными.

Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

163. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от User (??), 03-Июл-24, 06:58

> там достаточно взглянуть на цену сервера, на котором крутится та винда. Можно
> даже еще ничего на нее не ставить - уже цена лицензии
> (которая пока еще разовая и вечная, в отличие от платы за
> обслуживание ящика куда установлена) покажется полной фигней.
> И да, шва... бесплатные решения почему-то при рассмотрении под таким углом становятся
> совсем-совсем небесплатными.
Чел крутит 100500 Ъ-тырдырпрайс-форчун500-вритуалок на своем десктопе и радуется, что сэкономил АЖ ЦЕЛЫХ 100 БАКСОВ!!! купив асус без винды - ну о чем ты, а? Он экономит БОЛЬШИЕ ДЕНЬГИ для СЕРЬЁЗНЫХ ЗАКАЗЧИКОВ, БОРЕТСЯ С КОРПОРАЦИЕЙ и ПРИБЛИЖАЕТ БУДУЮЩЕЕ (будующего) - а ты тут со своей арифметикой.
Фу таким быть.

Ответить | Правка | Наверх | Cообщить модератору

168. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 09:19

чо ета сто? Целых даже пиццоть! У человека ж подкроватный СЕРВЕР! Серверная 2022 (та версия что специально для подкроватных) где-то так стоитъ. Заказчик сможет заказать себе кофе на вынос, и еще останется на булочку после оплаты услуг нашего мастера-самоучки без мотора.
(тьфуй, мля, а подкроватный сервер-то - в смысле железка от какого-нибудь китайца - все равно, собака, дороже лицензии примерно вдвое получается, да что ж ты будешь делать, проклятая майкрософт, и тут нам в штаны нагадила)

Ответить | Правка | Наверх | Cообщить модератору

175. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от User (??), 03-Июл-24, 11:32

> чо ета сто? Целых даже пиццоть! У человека ж подкроватный СЕРВЕР! Серверная
> 2022 (та версия что специально для подкроватных) где-то так стоитъ. Заказчик
> сможет заказать себе кофе на вынос, и еще останется на булочку
> после оплаты услуг нашего мастера-самоучки без мотора.
> (тьфуй, мля, а подкроватный сервер-то - в смысле железка от какого-нибудь китайца
> - все равно, собака, дороже лицензии примерно вдвое получается, да что
> ж ты будешь делать, проклятая майкрософт, и тут нам в штаны
> нагадила)
Ты пжди, пжди! Если вместо железки-от-китайцев купить "технику, проверенную временем"(ТМ), то у тебя будет не "консьюмерский десктоп", а Ъ-тырдырпрайс-форчун500-R&D-4PRO-СЕРВЕР, и еще на пиво, сигареты и интернет останется - ну, если её, поганую, не покупать...
"Честный компьютерный мастер Илья"(ТМ) гарантирует это.

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от penetrator (?), 01-Июл-24, 18:40

а на проде осталось, и уже в логах болтается месяц? )))

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

83. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (76), 01-Июл-24, 18:45

На проде SSH нет нигде.

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (96), 01-Июл-24, 19:57

telnet ?

Ответить | Правка | Наверх | Cообщить модератору

102. Скрыто модератором –1 +/–

Сообщение от нах. (?), 01-Июл-24, 22:26

Фу таким смузибоем быть! rlogin и rsh наше всьо!

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (-), 01-Июл-24, 22:58

> Только что с две сотни инстансов под нож отправил, везде где в
> логах встречалось.
Значит, уже началось. Вероятно кто-то уже накорябал эксплойты. Это тот случай когда вопрос - на миллион. Кто первый из блекхетов напишет рабочий сплойт и сделает рабочую атаку - озолотится же. Так что сейчас господа покажут чудеса эффективности и результативновти, на кону джекпот. Может его уже даже кто-то срубил, но, конечно, не признается. Впрочем второе и i++ места тоже будут неплохи для тех кто подсуетится.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

166. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от ин номине патре (?), 03-Июл-24, 08:39

>Только что с две сотни инстансов под нож отправил, везде где в логах встречалось
а был бы нормальным админом, а не убунтуем, то вообще ничего не надо было б делать.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

169. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от нах. (?), 03-Июл-24, 09:24

>>Только что с две сотни инстансов под нож отправил, везде где в логах встречалось
> а был бы нормальным админом, а не убунтуем, то вообще ничего не
> надо было б делать.
в смысле? Мы, нормальные админы-убунтуи, как раз ничего и не делаем. Я сеть просканил, где было можно (в смысле мне нигде нельзя, но я там где не вызову вопросов у ИБ посмотрел) - нашел штук двадцать теоретически-уязвимых. Там - ентер-прайсный мониторинг, тут какой-то чудо-балансировщик, здесь - кусок управления цитриксовой фермой... короче, ничего трогать нельзя.
А мои убунты абсолютно ниувизьгвимы, со своим openssh7, а местами даже и 6.
Пойду попрошу себе премию за этот успешный успех.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (85), 01-Июл-24, 18:49

JS в браузере и вперёд, на роутер! Это ж какой ботнет можно слепить!

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от нах. (?), 01-Июл-24, 19:34

из 32битных систем? Ну так себе, прямо скажем, ботнет.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (-), 01-Июл-24, 22:59

> из 32битных систем? Ну так себе, прямо скажем, ботнет.
Да оно и из 64 можно. Просто канительнее. Но возможность на заказ убрать стеночку у вот этого хоста, пусть и повозившись - много кому понравится.

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от penetrator (?), 01-Июл-24, 22:04

какие последствия? прониконовение в систему? как обнаружить не только попытку аттаки но и успешную аттаку?

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (108), 01-Июл-24, 23:26

rce.

Ответить | Правка | Наверх | Cообщить модератору

170. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от нах. (?), 03-Июл-24, 09:25

> какие последствия? прониконовение в систему? как обнаружить не только попытку аттаки но
> и успешную аттаку?
ну типа если пришел на работу, а там пустое место, диск почищен, а на экране при логине ехидная надпись - точно была успешная.

Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

120. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от cheburnator9000 (ok), 02-Июл-24, 05:36

А вы то думали каким образом спецслужбы США взламывают сервера государственной тайной Ирана? Вот таким.

Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (-), 02-Июл-24, 06:08

В программное обеспечение Иранских электростанций они внедрили троян, который был принесён с флешкой. Американцы через Сеть не взламывали.

Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (127), 02-Июл-24, 08:59

По информации, заслуживающей доверия. Вот бы еще верить всему тому что они говорят...

Ответить | Правка | Наверх | Cообщить модератору

141. Скрыто модератором +/–

Сообщение от Аноним (-), 02-Июл-24, 13:08

Да, лучше верить cheburnator9000, вот он точно говорит о том, что знает, и не соврёт ни при каких условиях.

Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (128), 02-Июл-24, 10:16

LoginGraceTime 0
MaxStartups 1:50:1
норм?

Ответить | Правка | Наверх | Cообщить модератору

138. Скрыто модератором +1 +/–

Сообщение от Аноним (-), 02-Июл-24, 12:35

> LoginGraceTime 0
> MaxStartups 1:50:1
> норм?
Норм - запатчить дырявую версию, чудик.

Ответить | Правка | Наверх | Cообщить модератору

148. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от penetrators (?), 02-Июл-24, 17:45

если у тебя будет хотя бы одно соединение от кулхацкера оно будет бесконечным и у тебя лимит стоит 1 штука максимально, шанс что ты после даже после хард ребута успеешь подконектиться не очень большой
ты бы лучше MaxStartups не трогал если не знаешь про что это

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

150. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." –1 +/–

Сообщение от Аноним (128), 02-Июл-24, 20:13

что я могу не знать из того, что тут https://www.opennet.me/base/sec/ssh_tips.txt.html написано?
точно также может быть 10, 20, ... соединений

Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Anm (?), 02-Июл-24, 10:26

Лет 5 как отказался от SSH на серверах.
Надоело пачками банить.

Ответить | Правка | Наверх | Cообщить модератору

143. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от _oleg_ (ok), 02-Июл-24, 13:23

О как. И как же ты на серверы ходишь? Физически, ножками?

Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Anm (?), 02-Июл-24, 13:49

https+perl.
Вообще не парюсь. Даже редкие попытки прощупать порты со стороны безуспешны.

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от _oleg_ (ok), 02-Июл-24, 13:55

> https+perl.
> Вообще не парюсь. Даже редкие попытки прощупать порты со стороны безуспешны.
А https с сертификатом клиентским или нет? На perl'е что - web-морда?

Ответить | Правка | Наверх | Cообщить модератору

152. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Anm (?), 02-Июл-24, 20:54

Ну разумеется. Сертификат только у меня. Остальным даже не предлагается. Да они и порт то нащупать не могут.
Надо бы развернуть тестовый сервак на месяц и потролить местных мамкиных хакеров с предложением взломать. Пусть попыжатся. ))

Ответить | Правка | Наверх | Cообщить модератору

176. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от _oleg_ (ok), 03-Июл-24, 11:38

> Ну разумеется. Сертификат только у меня. Остальным даже не предлагается. Да они
> и порт то нащупать не могут.
> Надо бы развернуть тестовый сервак на месяц и потролить местных мамкиных хакеров
> с предложением взломать. Пусть попыжатся. ))
Так это security through obscurity. Работает только пока ты неуловимый Джо. По смыслу тоже самое, что хождение через ssh по сертификату. А всякие критические ошибки и в web-серверах находят ;-).

Ответить | Правка | Наверх | Cообщить модератору

177. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 12:14

> Так это security through obscurity. Работает только пока ты неуловимый Джо. По
> смыслу тоже самое, что хождение через ssh по сертификату. А всякие
не в данном случае. Тут глупый ssh подождет-подождет сертификата, а потом запишет в лог что недождался и на этом - хряпнется. Заодно и открыв рутовый шелл.
> критические ошибки и в web-серверах находят ;-).
обычно такие не уходят дальше пользователя nobody, но тут уникальный случай - вепсервер с рутовым доступом.
Еще и перл, славный умением своих модулей иногда внезапно выполнить без спросу аргументы строки запроса

Ответить | Правка | Наверх | Cообщить модератору

179. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от _oleg_ (ok), 03-Июл-24, 12:26

> не в данном случае. Тут глупый ssh подождет-подождет сертификата, а потом запишет
> в лог что недождался и на этом - хряпнется. Заодно и
> открыв рутовый шелл.
В данном конкретном безусловно. Но речь как про v
>> критические ошибки и в web-серверах находят ;-).
> обычно такие не уходят дальше пользователя nobody, но тут уникальный случай -
> вепсервер с рутовым доступом.
это ^.

Ответить | Правка | Наверх | Cообщить модератору

147. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (128), 02-Июл-24, 16:34

а не надо ssh-ом светить на весь интернет. достаточно дать доступ с того айпи, с которого заходишь

Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

149. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +2 +/–

Сообщение от penetrators (?), 02-Июл-24, 17:46

и вдруг ты поехал в командировку )))
а доступа к твоему RDP там нет, а серв лежит )))

Ответить | Правка | Наверх | Cообщить модератору

159. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (128), 03-Июл-24, 01:22

есть решение и этого кейса.
у меня так динамический айпи, каждый раз разный, но доступ к ssh всё равно у меня только с одного айпи. угадай как.

Ответить | Правка | Наверх | Cообщить модератору

183. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Гений (??), 03-Июл-24, 16:31

port knocking

Ответить | Правка | Наверх | Cообщить модератору

192. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от penetrator (?), 04-Июл-24, 18:31

у тебя же серв лежит, возможно вместе с твоим кнокингом ))) Security through obscurity в чистом виде, и какой ценой?
С тем же успехом я могу поднять VPN до сервера и ходить по SSH только через тунель.
И это будет намного секурней и точно также будет зависеть от надежности решения, до первой технической ошибки.

Ответить | Правка | К родителю #159 | Наверх | Cообщить модератору

145. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +1 +/–

Сообщение от Аноним (145), 02-Июл-24, 13:51

А на виртуальные виртуальными ножками

Ответить | Правка | К родителю #143 | Наверх | Cообщить модератору

191. Скрыто модератором +/–

Сообщение от Аноним (191), 04-Июл-24, 13:49

> О как. И как же ты на серверы ходишь? Физически, ножками?
Через RDP, очевидно же.

Ответить | Правка | К родителю #143 | Наверх | Cообщить модератору

160. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +3 +/–

Сообщение от morphe (?), 03-Июл-24, 01:30

> «Это невозможно предотвратить», — говорят пользователи только того языка, где это происходит регулярно.

Ответить | Правка | Наверх | Cообщить модератору

165. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (165), 03-Июл-24, 08:04

уверен, что в дистрибутивах с сертификатом фстек такого нет

Ответить | Правка | Наверх | Cообщить модератору

178. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (178), 03-Июл-24, 12:24

Похоже Qualys оказался сапожником без сапог. Сегодня по RSS от них через https://blog.qualys.com/feed прилетело blog.qualys.com/misc/2024/07/02/general-bas-zakliucheniia-banknot-vo-onlain-kazino
Судя по полям generator и com-wordpress:feed-additions  взломали через CMS WordPress или администраторы случайно спамерскую новость подтвердили.

Ответить | Правка | Наверх | Cообщить модератору

180. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от нах. (?), 03-Июл-24, 14:29

> Похоже Qualys оказался сапожником без сапог.
чего ж без сапог, с сапогами. Тоже небось пользовали ssh!

Ответить | Правка | Наверх | Cообщить модератору

190. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от Аноним (178), 04-Июл-24, 07:50

Они, кстати, признали инцидент https://blog.qualys.com/misc/2024/07/03/qualys-blog
У них взломали одну из учётных записей в WordPress с правом постинга.

Ответить | Правка | Наверх | Cообщить модератору

193. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..." +/–

Сообщение от pavlinux (ok), 25-Июл-24, 12:22

> проявляется начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc.
# ssh -V
OpenSSH_7.9p1 Debian-10+deb10u4, OpenSSL 1.1.1n  15 Mar 2022

А нас рать! :)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	–15 +/–
Сообщение от Аноним (1), 01-Июл-24, 14:13
Конечно на фряхе же нет Глибс,а линуксоидам страдать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+13 +/–
	Сообщение от Аноним (7), 01-Июл-24, 14:21
	FreeBSD-SA-24:04.openssh Security Advisory The FreeBSD Project Topic: OpenSSH pre-authentication remote code execution Ну да, точно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+2 +/–
	Сообщение от Аноним (-), 01-Июл-24, 16:42
	> FreeBSD-SA-24:04.openssh Security Advisory > The FreeBSD Project > Topic: OpenSSH pre-authentication remote code execution Сейчас он промямлит "ну не очень то и хотелось", только запатчит свои системы :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от Аноним (11), 01-Июл-24, 14:23
	На линуксе тоже работает musl. Alpine, Gentoo например.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	15. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от Аноним (7), 01-Июл-24, 14:25
	То, что musl не подвержен, пока не доказано.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+3 +/–
	Сообщение от ананим.orig (?), 01-Июл-24, 15:42
	> "Timeout before authentication" в недавней новости про встроенную защиту в sshd кто-то прогнозировал отмену fail2ban https://www.opennet.me/openforum/vsluhforumID3/133952.html#1
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	151. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от ин номине патре (?), 02-Июл-24, 20:39
	>На линуксе тоже работает musl. Alpine, Gentoo например. нормальный линукс для серверов это OL8, ичсх not affected дебиан, очередной шах и мат.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	22. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+1 +/–
	Сообщение от Аноним (22), 01-Июл-24, 14:38
	А вам новость внимательно читать.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	27. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	–1 +/–
	Сообщение от Аноним (1), 01-Июл-24, 14:48
	Угу,написано же фря значит не только лишь у полтора фрика оно установленно. Я понял.D
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+2 +/–
	Сообщение от Аноним (7), 01-Июл-24, 14:59
	Вы уверены в том, что умеете читать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от Аноним (1), 01-Июл-24, 15:38
	Может носом ткнете?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	–1 +/–
	Сообщение от OpenEcho (?), 01-Июл-24, 15:03
	> лишь у полтора фрика оно установленно. Это те самые которые Netflix обслуживают? Вот что значит спецы !
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	45. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от Аноним (1), 01-Июл-24, 15:40
	Вот сильно сомневаюсь,что они на Фре Глибс натыкали.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от OpenEcho (?), 01-Июл-24, 16:43
	Я только о землекопах
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от Аноним (1), 01-Июл-24, 17:05
	Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у полтора фрика.Надеюсь так понятнее. Какой-то аноним при этом вылез и показывает,что вообще оно есть и даже пропатчено.На голубом глазу тычет при этом в статью,хотя Фрю только в видосиках видел.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+1 +/–
	Сообщение от Аноним (70), 01-Июл-24, 17:34
	Казалось бы, при чём тут glibc? Оно потенциально работает на всех libc, кроме openbsd-шной.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от Аноним (1), 01-Июл-24, 17:46
	Что же,такого я действительно в статье не видел - каюсь. Только слово потенциально, меня все же смущает.D
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от OpenEcho (?), 01-Июл-24, 19:07
	> Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у > полтора фрика.Надеюсь так понятнее. Так оно конечно понятнее о каких землекопах, с чего и следовало начинать, но еслу вы посмотрите новость, то там не только глибц, а потенциально все либц, окромя опенка
	Ответить \| Правка \| К родителю #65 \| Наверх \| Cообщить модератору

2. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+7 +/–
Сообщение от Аноним (2), 01-Июл-24, 14:15
- else if (timespeccmp(&now, &next_interval, >=)) { - /* Otherwise if we were due to send, then send chaff / + else if (timespeccmp(&now, &next_interval, >=) && + !ssh_packet_have_data_to_write(ssh)) { + / If due to send but have no data, then send chaff */ Патч впечатляет. Даже слов нет.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от Аноним (7), 01-Июл-24, 14:22
	https://www.opennet.me/opennews/art.shtml?num=28998
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	–5 +/–
Сообщение от Аноним (-), 01-Июл-24, 14:17
Опять этот глибс! Говорила мама собирать на масле. Хотя логика атаки допускает использование других библ, винить мы будем именно раздутый глибс.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+3 +/–
	Сообщение от Аноним (7), 01-Июл-24, 14:27
	Так как дыра в сигнало-небезопасной реализации вызовы syslog(), то винить мы будем все libc, где нет сигнало-безопасного syslog_r.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+1 +/–
Сообщение от Аноним (4), 01-Июл-24, 14:18
Слава Богу dropbear неуязвим.
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	–4 +/–
Сообщение от birdie (ok), 01-Июл-24, 14:18
> With a heap corruption as a primitive, two FILE structures malloc()ated in the heap, and 21 fixed bits in the glibc's addresses, we believe that this signal handler race condition is exploitable on amd64 (probably not in ~6-8 hours, but hopefully in less than a week). Only time will tell. Эксплоита для 64бит пока нет, взлом в теории занимает до недели. > Side note: we discovered that Ubuntu 24.04 does not re-randomize the ASLR of its sshd children (it is randomized only once, at boot time); we tracked this down to the patch below, which turns off sshd's rexec_flag. This is generally a bad idea, but in the particular case of this signal handler race condition, it prevents sshd from being exploitable: the syslog() inside the SIGALRM handler does not call any of the malloc functions, because it is never the very first call to syslog(). Бубунту в своём стиле. --- На OpenWRT используется MUSL, можно спать спокойно. Дыра по факту страшная, наверное, самая страшная за последние несколько лет.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+1 +/–
	Сообщение от Аноним (7), 01-Июл-24, 14:24
	> На OpenWRT используется MUSL, можно спать спокойно. > в других системах на основе стандартных библиотек, отличных от Glibc, теоретически возможна адаптация метода для совершения атаки Ну спите, спите. FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	110. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+1 +/–
	Сообщение от Аноним (110), 02-Июл-24, 00:03
	> Ну спите, спите. > FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc. Как ты понимаешь, с его ником его мозга немного не хватило чтобы прочитать описание эксплойта и подумать головой что такие гонки и на кучи других конфиг можно попробовать создать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от нах. (?), 01-Июл-24, 16:14
	и вообще, чего раскричались-то? Наши бубубунты 14 и 16 совершенно неуязвимы!
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	74. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от пох. (?), 01-Июл-24, 18:01
	если не включать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	132. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+/–
	Сообщение от Аноним (132), 02-Июл-24, 12:06
	> если не включать А вот и наши двое из ларца - одинаковы с лица! :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Уязвимость в OpenSSH, позволяющая удалённо выполнить код с п..."	+1 +/–
	Сообщение от Аноним (-), 01-Июл-24, 16:46
	> На OpenWRT используется MUSL, можно спать спокойно. На openwrd обычно используется Dropbear, а эксперты опеннета как обычно про это не в курсе. Впрочем, они и про безопасность musl задним числом расскажут. Ведь проверить можно ли гонку создать там - их экспертизы все равно не хватит. Зато языком почесать с умным видом...
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору