Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc"	+/–
Сообщение от opennews (??), 01-Июл-24, 14:13
Компания Qualys выявила критическую уязвимость (CVE-2024-6387) в OpenSSH, позволяющую добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость, которая получила кодовое имя regreSSHion, проявляется  начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc... Подробнее: https://www.opennet.me/opennews/art.shtml?num=61470
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 01-Июл-24, 14:13	–15 +/–
Конечно на фряхе же нет Глибс,а линуксоидам страдать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11, #22

2. Сообщение от Аноним (2), 01-Июл-24, 14:15	+7 +/–
- else if (timespeccmp(&now, &next_interval, >=)) { - /* Otherwise if we were due to send, then send chaff */ + else if (timespeccmp(&now, &next_interval, >=) && +        !ssh_packet_have_data_to_write(ssh)) { + /* If due to send but have no data, then send chaff */ Патч впечатляет. Даже слов нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

3. Сообщение от Аноним (-), 01-Июл-24, 14:17	–5 +/–
Опять этот глибс! Говорила мама собирать на масле. Хотя логика атаки допускает использование других библ, винить мы будем именно раздутый глибс.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

4. Сообщение от Аноним (4), 01-Июл-24, 14:18	+1 +/–
Слава Богу dropbear неуязвим.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от birdie (ok), 01-Июл-24, 14:18	–4 +/–
> With a heap corruption as a primitive, two FILE structures malloc()ated in the heap, and 21 fixed bits in the glibc's addresses, we believe that this signal handler race condition is exploitable on amd64 (probably not in ~6-8 hours, but hopefully in less than a week). Only time will tell. Эксплоита для 64бит пока нет, взлом в теории занимает до недели. > Side note: we discovered that Ubuntu 24.04 does not re-randomize the ASLR of its sshd children (it is randomized only once, at boot time); we tracked this down to the patch below, which turns off sshd's rexec_flag. This is generally a bad idea, but in the particular case of this signal handler race condition, it prevents sshd from being exploitable: the syslog() inside the SIGALRM handler does not call any of the malloc functions, because it is never the very first call to syslog(). Бубунту в своём стиле. --- На OpenWRT используется MUSL, можно спать спокойно. Дыра по факту страшная, наверное, самая страшная за последние несколько лет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #55, #61, #73, #81, #131

6. Сообщение от Аноним (6), 01-Июл-24, 14:19	+1 +/–
> что обработчик сигнала вызывает функции, не безопасные при асинхронной обработке сигналов haha, classic > Уязвимость появилась в результате регрессивного изменения которое было сделано в Oct 16, 2020 Неплохо так бекдор закинули. 3+ года отработал, теперь можно и "закрыть" Куда же смотрели тыщщи глаз?..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12, #23

7. Сообщение от Аноним (7), 01-Июл-24, 14:21	+13 +/–
FreeBSD-SA-24:04.openssh Security Advisory                                                           The FreeBSD Project Topic: OpenSSH pre-authentication remote code execution Ну да, точно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #59

8. Сообщение от Аноним (4), 01-Июл-24, 14:22	–2 +/–
>Атака основана на том, что обработчик сигнала вызывает функции, не безопасные при асинхронной обработке сигналов, такие как syslog() Значит надо засунуть в реализацию всех таких функций по мьютексу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

9. Сообщение от Аноним (7), 01-Июл-24, 14:22	+/–
https://www.opennet.me/opennews/art.shtml?num=28998
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

10. Сообщение от birdie (ok), 01-Июл-24, 14:22	–6 +/–
> Куда же смотрели тыщщи глаз?.. Эти глаза существуют только в фантазиях фанатов open source, которые считают, что "раз есть сорцы, то софт более безопасен априори". По факту имеем что имеем, что open source имеют. Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #28, #109

11. Сообщение от Аноним (11), 01-Июл-24, 14:23	+/–
На линуксе тоже работает musl. Alpine, Gentoo например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #15, #47, #151

12. Сообщение от Аноним (4), 01-Июл-24, 14:24	+7 +/–
Так пара глаз из тысяч как раз и высмотрела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #39

13. Сообщение от Аноним (7), 01-Июл-24, 14:24	+1 +/–
> На OpenWRT используется MUSL, можно спать спокойно. > в других системах на основе стандартных библиотек, отличных от Glibc, теоретически возможна адаптация метода для совершения атаки Ну спите, спите. FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #110

14. Сообщение от slavanap (?), 01-Июл-24, 14:24	+/–
Чего на Ubuntu ссылка не рабочая?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

15. Сообщение от Аноним (7), 01-Июл-24, 14:25	+/–
То, что musl не подвержен, пока не доказано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

16. Сообщение от Аноним (4), 01-Июл-24, 14:25	+/–
Как там с поддержкой landlock в OpenSSH? Как там с поддержкой pledge в Linux?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

17. Сообщение от Аноним (7), 01-Июл-24, 14:27	+3 +/–
Так как дыра в сигнало-небезопасной реализации вызовы syslog(), то винить мы будем все libc, где нет сигнало-безопасного syslog_r.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

18. Сообщение от Аноним (7), 01-Июл-24, 14:29	+/–
pledge — это по факту подмножество функций seccomp.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

19. Сообщение от Аноним (7), 01-Июл-24, 14:31	–3 +/–
Команда безопасности Ubuntu на данный момент не проинформирована об этой уязвимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #29

21. Сообщение от Аноним (7), 01-Июл-24, 14:32	+/–
Сигналобезопасный вариант syslog_r есть только стандартной библиотеке openbsd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

22. Сообщение от Аноним (22), 01-Июл-24, 14:38	+1 +/–
А вам новость внимательно читать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #27

23. Сообщение от Аноним (23), 01-Июл-24, 14:38	+2 +/–
Ты просто завидуешь что в швинде так нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #50, #130

24. Сообщение от Аноним (23), 01-Июл-24, 14:39	+/–
Случайность? Не думаю!
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (25), 01-Июл-24, 14:40	+/–
> OpenSSH в OpenBSD проблеме не подвержен, так как в данной системе с 2001 года применяется механизм защиты, блокирующий подобные классы атак. Шах и мат.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #97

26. Сообщение от Аноним (28), 01-Июл-24, 14:40	+1 +/–
по моему они опять завысили уровень опасности этого CVE если поковырять код, то наверняка выяснится что это вовсе не уязвимости ох уж эти паникеры!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #37, #104

27. Сообщение от Аноним (1), 01-Июл-24, 14:48	–1 +/–
Угу,написано же фря значит не только лишь у полтора фрика оно установленно. Я понял.D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #32, #34

28. Сообщение от Аноним (28), 01-Июл-24, 14:48	+1 +/–
а что, в проприетарном софте нет этих тысяч глаз? в корпорациях работают миллионы программистов и существует практика кодревью, когда трое обязаны смотреть и проверять что четверти наговнокодил, и что, там нет багов? полно! вот другое когда ты берешь опенсоурс и у тебя есть возможность открыть исходный код и всё проверить самому, будешь ты это делать или не будешь, другой вопрос
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #33, #98, #119

29. Сообщение от Аноним (29), 01-Июл-24, 14:49	+2 +/–
Свистеть не мешки ворочать? https://lists.ubuntu.com/archives/ubuntu-security-announce/2...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

30. Сообщение от Аноним (23), 01-Июл-24, 14:57	–1 +/–
Экспертиза от немамонта, который даже код не смотрел. Не может поверить что существуют люди которые хотят его обмануть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #35, #43

31. Сообщение от Аноним (23), 01-Июл-24, 14:58	+1 +/–
Типичные данайцев и дары.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #36, #103

32. Сообщение от Аноним (7), 01-Июл-24, 14:59	+2 +/–
Вы уверены в том, что умеете читать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #44

33. Сообщение от Аноним (7), 01-Июл-24, 15:02	+3 +/–
microsoft windows, прошивки d-link, cisco ios - серьезные проприетарные продукты, но бэкдоры в них находят регулярно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #38, #69

34. Сообщение от OpenEcho (?), 01-Июл-24, 15:03	–1 +/–
> лишь у полтора фрика оно установленно. Это те самые которые Netflix обслуживают? Вот что значит спецы !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #45

35. Сообщение от Аноним (7), 01-Июл-24, 15:04	–1 +/–
Больше выглядит как ирония над соседней новостью, где JS-разработчик жалуется, что ему выносят мозги просьбами закрыть дыру, которая ему кажется неважной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #41

36. Сообщение от Аноним (7), 01-Июл-24, 15:05	–2 +/–
Видимо, ФБР очень просило, но удалось договориться на том, что установят только в portable openssh, а свою систему подставлять не будут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от 1 (??), 01-Июл-24, 15:05	+/–
Чем выше уровень - тем больше бабла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #42

38. Сообщение от Аноним (38), 01-Июл-24, 15:08	–1 +/–
Так это не баги, всё нормально. В теории идея не пропускать сомнительный код, если конечно цель не напихать бэкдорчиков, как в случае с типичными проприетарными продуктами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

39. Сообщение от Аноним (-), 01-Июл-24, 15:15	+/–
> Так пара глаз из тысяч как раз и высмотрела. Нет. Проблему нашли специально обученные люди из фирмы, которые этим профессионально занимаются. Наверное потому что им дали заказ. Или они решили себя прорекламировать. Аналогично их нанимают для аудита коммерческих продуктов. Просто об этом не трезвонят. А тыщщи глаз как всегда тупили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #40

40. Сообщение от Аноним (40), 01-Июл-24, 15:22	+5 +/–
Напоминаю: работа этой фирмы стала возможной потому, что  код сделали открытым для тысяч глаз. Если бы у sshd код был закрытым, то на его анализ был бы совершенно другой ценник, и его бы никто не заказал по такой цене.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #46

41. Сообщение от Аноним (23), 01-Июл-24, 15:26	+1 +/–
Тебе показали красный молоток и теперь ты думаешь про красный молоток? Я бы тебе книжку посоветовал, но она сложная и ты ее не осилишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #71

42. Сообщение от Аноним (23), 01-Июл-24, 15:27	+/–
Если делится с тем кто определяет уровень можно поднять свой уровень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

43. Сообщение от Аноним (28), 01-Июл-24, 15:36	+/–
анон, это был сарказм и аллюзии на прошлую новость.. красиво же совпало! экспертиза от немамонта говоришь ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

44. Сообщение от Аноним (1), 01-Июл-24, 15:38	+/–
Может носом ткнете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

45. Сообщение от Аноним (1), 01-Июл-24, 15:40	+/–
Вот сильно сомневаюсь,что они на Фре Глибс натыкали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #60

46. Сообщение от Аноним (-), 01-Июл-24, 15:41	+/–
Такие фирмы прекрасно живут и на аудите проприетарного кода. Плюс ты не знаешь кто, почему и за чьи деньги заказал аудит. Не фирма должна быть благодарна, за то, что код оказался открытым, а пингвиноиды за то, что им дыру прикрыли. > Если бы у sshd код был закрытым, то на его анализ был бы совершенно другой ценник, и его бы никто не заказал по такой цене. С чего это вдруг? Им без разницы открытый код или нет. Работа же делается одна и та же. Но даже если, то разумеется Linux Foundation же настолько нищая, что у них нет на это денег.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #51

47. Сообщение от ананим.orig (?), 01-Июл-24, 15:42	+3 +/–
> "Timeout before authentication" в недавней новости про встроенную защиту в sshd кто-то прогнозировал отмену fail2ban https://www.opennet.me/openforum/vsluhforumID3/133952.html#1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

49. Сообщение от Аноним (49), 01-Июл-24, 15:58	+/–
Не исключается возможность совершения атаки и на 64-разрядные системы - расходимся, пока что это всё теория. А те у кого 32битный Pentium 4 - ломать никто не будет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

50. Сообщение от noc101 (ok), 01-Июл-24, 16:02	–1 +/–
Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так что завидовать должны линуксятники
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #53, #134, #167

51. Сообщение от Аноним (40), 01-Июл-24, 16:03	+2 +/–
>С чего это вдруг? Им без разницы открытый код или нет. Работа же делается одна и та же. Закрытый - пришлось бы реверсить. Напоминаю: исходник доступен только когда лица с доступом к нему заказали. Представим, что исходник sshd закрыт. Предположим, что доступ к нему есть только у разрабов OpenSSH. В данном случае аудит заказали не разрабы OpenSSH, иначе уведомление об уязвимости было бы в другой форме, а не full disclosure. Тогда получается, что иной формы получить информацию о деталях реализаци продукта, кроме как реверсинг, у компани нет. И добавляются юридические риски. И реверсенный исходник - не сахар. А это уже выливается в на порядки больший ценник.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #58

52. Сообщение от Аноним (52), 01-Июл-24, 16:04	+1 +/–
> ... проведение атаки на 64-разрядные системы будет занимать гораздо больше времени, но не более недели да, через неделю приходи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #54, #111

53. Сообщение от Аноним (23), 01-Июл-24, 16:07	+/–
Проблема закрытости? В швиндоуз десятки точно таких же бекдоров и никто даже не пытается делать вид что чешется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #62, #140

54. Сообщение от Аноним (23), 01-Июл-24, 16:09	+/–
Нет такую уязвимость оставят себе и открывать не будут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от нах. (?), 01-Июл-24, 16:14	+/–
и вообще, чего раскричались-то? Наши бубубунты 14 и 16 совершенно неуязвимы!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #74

56. Сообщение от YetAnotherOnanym (ok), 01-Июл-24, 16:19	+2 +/–
> Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью Для успешного проникновения в шахту баллистической ракеты РС-18 понадобится несколько недель, при условии, что охрана будет стоять и смотреть, как вы режете бронекрышку автогеном.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77, #112

58. Сообщение от Аноним (-), 01-Июл-24, 16:34	–2 +/–
> Закрытый - пришлось бы реверсить. WAT??? Речь идет не про реверс чужой программы. С закрытым кодом владельцы сами приходят к аудитору, предоставляют ему сорцы и всё что нужно для работы. Иногда даже выделяют сотрудников и/или рабочие места. А если код нельзя передавать, то аудиторы работают на месте с оплатой всего - проживание, питание и тд. В таком случае открытость кода - это недостаток, его может на порядки легче ковырять кто угодно. И использовать результаты как захочет. А на ковыряние бинарников какой-то винды придется потратить намного больше усилий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #63

59. Сообщение от Аноним (-), 01-Июл-24, 16:42	+2 +/–
> FreeBSD-SA-24:04.openssh Security Advisory > The FreeBSD Project > Topic: OpenSSH pre-authentication remote code execution Сейчас он промямлит "ну не очень то и хотелось", только запатчит свои системы :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

60. Сообщение от OpenEcho (?), 01-Июл-24, 16:43	+/–
Я только о землекопах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #65

61. Сообщение от Аноним (-), 01-Июл-24, 16:46	+1 +/–
> На OpenWRT используется MUSL, можно спать спокойно. На openwrd обычно используется Dropbear, а эксперты опеннета как обычно про это не в курсе. Впрочем, они и про безопасность musl задним числом расскажут. Ведь проверить можно ли гонку создать там - их экспертизы все равно не хватит. Зато языком почесать с умным видом...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

62. Сообщение от Аноним (62), 01-Июл-24, 16:46	–1 +/–
> десятки точно таких же бекдоров А пруфы будут? Пока ты тут только подгазовываешь в лужу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #64

63. Сообщение от Аноним (69), 01-Июл-24, 16:58	+1 +/–
А владелец - дурак, что ль? Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявить: "Код безопасный, закрытый, небитый, мамой неуловимого Джо клянусь". Сам он этим кодом не пользуется, он им торгует. Какой интерес тратиться на аудит, когда можно потратиться на рекламу, и сразу убить двух зайцев за те же деньги? > А на ковыряние бинарников какой-то винды придется потратить намного больше усилий. Вот именно. Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет, а побежит сдавать в даркнет. А самому проверять закрытое - весьма накладно, да и лицензия явно запрещает. Шах и мат твоей "безопасности".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #66, #68, #76

64. Сообщение от Аноним (69), 01-Июл-24, 17:03	+2 +/–
Статистику по вредоносам посмотри, а потом задайся вопросом, как они проникают и закрепляются в системе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #86

65. Сообщение от Аноним (1), 01-Июл-24, 17:05	+/–
Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у полтора фрика.Надеюсь так понятнее. Какой-то аноним при этом вылез и показывает,что вообще оно есть и даже пропатчено.На голубом глазу тычет при этом в статью,хотя Фрю только в видосиках видел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #70, #89

66. Сообщение от Аноним (66), 01-Июл-24, 17:06	+/–
> А владелец - дурак, что ль? Владелец отнюдь не дурак. Не во всех случаях можно совершенно бесплатно, авторитетно заявить. Потому что потом тебе могут выкатить штраф на пару лярдов баксов. Поэтому умный владелец проводит аудит. Собственно существование таких фирм само по себе подтверждение что их услугами кто-то пользуется. > Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет, > а побежит сдавать в даркнет. А легко найденое в открытом точно также продается в даркнете. Или используется "ими". У них целые отделы сидят и ищут дыры в открытом коде. И они сообщают об этом авторам только тогда, когда нужно, а не когда нашли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #99

68. Сообщение от Аноним (-), 01-Июл-24, 17:11	+/–
> А владелец - дурак, что ль? Конечно нет. Был бы глупым - побежал открывать код и дарить все права жуликам из ФСФ. > Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявить: "Код безопасный, закрытый, небитый, мамой неуловимого Джо клянусь". Не дружище, ты наверное никогда не участвовал в коммерческой разработке. Особенно B2B. Для серьезных заказчиком тебе придется показать и аудит, и всякие ISO по менеджменту. > Сам он этим кодом не пользуется, он им торгует. В смысле? Продал и забыл? Ну так это уже прошлый век. Сейчас основная модель подписка - разработчик знает что он не останется без работы, а заказчик, что есть кто-то, кто будет пилить фичи и исправлять баги. > Какой интерес тратиться на аудит, когда можно потратиться на рекламу, и сразу убить двух зайцев за те же деньги? Чушь. Подойдет только для фирм однодневок. > Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет, а побежит сдавать в даркнет. Именно поэтому мелкомягкие тратятся на Bug Bounty. Как и гугл и куча других фимр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #101

69. Сообщение от Аноним (69), 01-Июл-24, 17:13	+1 +/–
Это не баги, это бизнес-модель такая, учитывающая широкий круг интересов, включая покрываемые госфинансированием.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

70. Сообщение от Аноним (70), 01-Июл-24, 17:34	+1 +/–
Казалось бы, при чём тут glibc? Оно потенциально работает на всех libc, кроме openbsd-шной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #72

71. Сообщение от Аноним (70), 01-Июл-24, 17:35	+/–
Для порядка заметим, что ниже пришёл автор исходного комментария и подтвердил эту теорию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

72. Сообщение от Аноним (1), 01-Июл-24, 17:46	+/–
Что же,такого я действительно в статье не видел - каюсь. Только слово потенциально, меня все же смущает.D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

73. Сообщение от Нейм (?), 01-Июл-24, 17:48	–1 +/–
> Side note: we discovered that Ubuntu 24.04 does not re-randomize the ASLR of its sshd children (it is randomized only once, at boot time); we tracked this down to the patch below, which turns off sshd's rexec_flag. This is generally a bad idea, but in the particular case of this signal handler race condition, it prevents sshd from being exploitable: the syslog() inside the SIGALRM handler does not call any of the malloc functions, because it is never the very first call to syslog(). >Бубунту в своём стиле. Поясните для тупых. У бубунтовых используется модифицированный SSH со сломанным ASLR? А что я увижу в /proc/sys/kernel/randomize_va_space в таком случае? Все еще "2", но при этом рандомизация будет происходить только один раз? Не оч понятно просто про какой патч они говорят. Наоборот же, для усложнения атаки, ASLR должен быть включен и быть полноценным, а они пишут про we tracked this down to the patch below. Это про какой такой патч?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

74. Сообщение от пох. (?), 01-Июл-24, 18:01	+/–
если не включать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #132

75. Сообщение от Аноним (76), 01-Июл-24, 18:20	+/–
> Одним из признаков попыток совершения атаки является появление в логе большого числа записей "Timeout before authentication". Только что с две сотни инстансов под нож отправил, везде где в логах встречалось. Разарабы три часа сидели без пайплайнов и тестовых деплоев. Ну и ладно, заодно в очередной раз убедились, что авральные планы актуальны и работают.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78, #80, #105, #166

76. Сообщение от Аноним (76), 01-Июл-24, 18:26	+/–
> А владелец - дурак, что ль? Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявить Заявить можно. Продать тяжело, особенно секьюрити продукт. «Я тебе, конечно, верю…» но ты мне покажи результаты независимого аудита до покупки. А не покажешь, так тебе в затылок дышут ещё пятеро, и у них аудит уже готов. Я знаю, приходилось и покупать, и продавать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

77. Сообщение от penetrator (?), 01-Июл-24, 18:27	+1 +/–
каждый час логи проверяешь на всех своих серверах? что за бред?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #79

78. Сообщение от нах. (?), 01-Июл-24, 18:28	+/–
херассе. А авральный план при котором просто расстреливают каждого второго разраба (или там - каждого в очках, или лысых) у вас тоже есть? Я только поинтересоваться...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #82

79. Сообщение от нах. (?), 01-Июл-24, 18:30	+1 +/–
каждые шесть же ж!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

80. Сообщение от penetrator (?), 01-Июл-24, 18:40	+/–
а на проде осталось, и уже в логах болтается месяц? )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #83

81. Сообщение от Аноним (81), 01-Июл-24, 18:44	+2 +/–
Почему страшная? Удалённый рут без аутентификации это наоборот классно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #115

82. Сообщение от Аноним (76), 01-Июл-24, 18:45	–2 +/–
Что, завидно? Будь это всё в каком-нибудь он-прем дц я бы до сих пор по стойкам прыгал как обезьяна. А тут в два пайплайна всё чётко отработало. Вот она сила облачных технологий. Обожаю эту херню!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #87, #92

83. Сообщение от Аноним (76), 01-Июл-24, 18:45	+/–
На проде SSH нет нигде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #96

85. Сообщение от Аноним (85), 01-Июл-24, 18:49	+/–
JS в браузере и вперёд, на роутер! Это ж какой ботнет можно слепить!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93

86. Сообщение от Аноним (81), 01-Июл-24, 18:52	+/–
Тебе статистику показать - ты всё равно заверещишь что это а андроиде/убунте/федоре/etc, а в твоём раче, диване или другом васяниксе такого нет и потому не считается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #135

87. Сообщение от Аноним (7), 01-Июл-24, 18:54	+/–
Особенно мило будет, если через это отверстие уже поимели гипервизоры вашего провайдера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #91

89. Сообщение от OpenEcho (?), 01-Июл-24, 19:07	+/–
> Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у > полтора фрика.Надеюсь так понятнее. Так оно конечно понятнее о  каких землекопах, с чего и следовало начинать, но еслу вы посмотрите новость, то там не только глибц, а потенциально все либц, окромя опенка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

91. Сообщение от Аноним (76), 01-Июл-24, 19:26	+/–
Это крайне маловероятно как минимум потому, что у AWS нет доступа к их инфраструктуре через публичные сети. Но таки да, в таком случае будет мило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

92. Сообщение от нах. (?), 01-Июл-24, 19:33	–1 +/–
Ну ты меня пригласи, как до on-prem дорастешь. Я тебе покажу как не прыгать по стойкам, а просто из уютного кресла повыключать к чертям все "неправильные" серверы. Только чур команду будешь ты набирать, а я в этот день пожалуй в отпуск куда-нибудь, где не работает телефон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #94, #113

93. Сообщение от нах. (?), 01-Июл-24, 19:34	–1 +/–
из 32битных систем? Ну так себе, прямо скажем, ботнет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #106

94. Сообщение от Аноним (76), 01-Июл-24, 19:41	+/–
Как только он-прем дорастёт до клауда по деньгам — тогда и поговорим, и как выключить, и как включить обратно всё так, чтобы как было, только без потенциально взломанного SSH. А до тех пор мне и в пайплайн мышкой клацнуть норм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

96. Сообщение от Аноним (96), 01-Июл-24, 19:57	+1 +/–
telnet ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #102

97. Сообщение от penetrator (?), 01-Июл-24, 20:06	+1 +/–
https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

98. Сообщение от Аноним (98), 01-Июл-24, 20:13	+1 +/–
> а что, в проприетарном софте нет этих тысяч глаз? Там этих глаз сильно меньше. Ибо нанимают все же на минималках. С запасом никто человеческие ресурсы не берет. Жаба же. Продукт 1 и тот же - а на зарплаты больше уходит. > в корпорациях работают миллионы программистов и существует практика кодревью, > когда трое обязаны смотреть и проверять что четверти наговнокодил, и что, там нет багов? полно! А реально полтора замордованых землекопа, с дефицитом времени и более 9000 тасков в буфере, так что ревью там совсем на минималочках может быть. И не идет ни в какое сравнение с независимым тыканием палочкой как вооооон те. Сколько ревьюверов от проприетари вообще понимает топик гонки в обработке сигналов? Целые 10 на весь глобус? Оок! Может гуглу, и если повезет, фэйсбуку, их даже достанется. А если вы не они - suxx to be you. > вот другое когда ты берешь опенсоурс и у тебя есть возможность открыть > исходный код и всё проверить самому, будешь ты это делать или > не будешь, другой вопрос Ну вон те господа взяли исходники и провели прицельный тематический аудит. А пропретарные ревьеры точно такой уровень вообще - умеют?! И если да, то сколько из?! Вон то - качественный профессиональный анализ тематической фирмочкой. А могут они его как раз потому что сорцы были.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

99. Сообщение от Аноним (99), 01-Июл-24, 22:02	+/–
Хоть один штраф покажи. То что продаётся на рынке, продаётся "AS IS". Это покупатель рискует проштрафится, если ключ активирует в неправильной позе или без уважения. В открытых проектах дырки, как раз, ищут часто бесплатно, для репутации, презентации, рекламы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

100. Сообщение от penetrator (?), 01-Июл-24, 22:04	–1 +/–
какие последствия? прониконовение в систему? как обнаружить не только попытку аттаки но и успешную аттаку?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108, #170

101. Сообщение от Аноним (99), 01-Июл-24, 22:08	+/–
> Для серьезных заказчиком Нужно только лицо по-серьезнее делать. И голословные заявления не устно, а на бумажке с печатью подавать, в трех экземплярах, на природе, за накрытым столом, между первой и второй. > Подойдет только для фирм однодневок. Одна из ста таких одновневок становится относительно успешной, продаётся конторе по-крупнее и начинает постепенно увеличивать аудиторию, а безопасность как была на уровне стратапа-на-коленке, так и остаётся. > мелкомягкие тратятся на Bug Bounty Только для тех проектов, которые используют в собственной инфраструктуре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

102. Сообщение от нах. (?), 01-Июл-24, 22:26    Скрыто ботом-модератором	–1 +/–
Фу таким смузибоем быть! rlogin и rsh наше всьо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

103. Сообщение от Аноним (-), 01-Июл-24, 22:52	+/–
> Типичные данайцев и дары. Я б сказал что софт из опенка на всем что не опенок юзать кажется начинает смотреться хреновой идеей. Потому что такие "артефакты портирования" можно огрести.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #157

104. Сообщение от Аноним (-), 01-Июл-24, 22:54	+/–
> по моему они опять завысили уровень опасности этого CVE По некоторым данным, писатели эксплойтов уже взяли низкий старт и вступили в гонку за первое место на тему кто быстрей напишет эксплойт и больше хостов разломает. А гиморность экспуатации окупается тем что ремотный рут без аутентификации - на дороге не валяется. Так что господа сейчас почти наверняка придумают как гончки заоптимизировать, чтобы за весьма обозримые времена - в дамки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

105. Сообщение от Аноним (-), 01-Июл-24, 22:58	+/–
> Только что с две сотни инстансов под нож отправил, везде где в > логах встречалось. Значит, уже началось. Вероятно кто-то уже накорябал эксплойты. Это тот случай когда вопрос - на миллион. Кто первый из блекхетов напишет рабочий сплойт и сделает рабочую атаку - озолотится же. Так что сейчас господа покажут чудеса эффективности и результативновти, на кону джекпот. Может его уже даже кто-то срубил, но, конечно, не признается. Впрочем второе и i++ места тоже будут неплохи для тех кто подсуетится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

106. Сообщение от Аноним (-), 01-Июл-24, 22:59	–1 +/–
> из 32битных систем? Ну так себе, прямо скажем, ботнет. Да оно и из 64 можно. Просто канительнее. Но возможность на заказ убрать стеночку у вот этого хоста, пусть и повозившись - много кому понравится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

108. Сообщение от Аноним (108), 01-Июл-24, 23:26	+/–
rce.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

109. Сообщение от Sem (??), 02-Июл-24, 00:01	+3 +/–
"Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз." Если это сарказм, то не понятный. Ведь действительно показал. Не успел ещё распространиться, а его уже обнаружили. И иметь даже теоретическую возможность обнаружения из за открытого кода - дорогого стоит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

110. Сообщение от Аноним (110), 02-Июл-24, 00:03	+1 +/–
> Ну спите, спите. > FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc. Как ты понимаешь, с его ником его мозга немного не хватило чтобы прочитать описание эксплойта и подумать головой что такие гонки и на кучи других конфиг можно попробовать создать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

111. Сообщение от Sem (??), 02-Июл-24, 00:09	+/–
Очень сложно не заметить атаку, когда openssh тебе почти неделю без перерыва будет спамить в логи сообщением "Timeout before authentication".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

112. Сообщение от Аноним (-), 02-Июл-24, 00:18	–1 +/–
> Для успешного проникновения в шахту баллистической ракеты РС-18 понадобится несколько > недель, при условии, что охрана будет стоять и смотреть, как вы > режете бронекрышку автогеном. А на практике - придет белый человек, продемонстрирует как работает bunker buster. И окажется что времена проникровения могут быть совсем другие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #123, #185

113. Сообщение от Аноним (-), 02-Июл-24, 00:21	+/–
> Ну ты меня пригласи, как до on-prem дорастешь. Я тебе покажу как > не прыгать по стойкам, а просто из уютного кресла повыключать к > чертям все "неправильные" серверы. > Только чур команду будешь ты набирать, а я в этот день пожалуй > в отпуск куда-нибудь, где не работает телефон. Да, нанимай поха. У тебя все будет хреново, дорого, неэффективно, несекурно - зато нв все будет пафосная отмазка почему г-но это так и задумано и вообще этот ваш линукс сакс, давайте сейнс садомазо устроим, хотя BSD тоже сакс, давайте винду вкатим, во! Где вы бабки на столько серверной винды найдете... ну... вот из зарплаты поха и заплатите по приколу?! Заодно и посмотрим как ему ценник серверной винды :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #126

115. Сообщение от Аноним (115), 02-Июл-24, 01:11	+/–
Удалённый рекурсивный-усиленный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

119. Сообщение от ИмяХ (ok), 02-Июл-24, 04:01	+/–
В корпорациях код-ревью проводят специалисты, которые получают за это зарплату. В опенсорсе никого не обязывают проводить код-ревью и тут срабатывает "эффект дженовезе" никто не проверяет код, ибо каждый надеется на то, что его проверит кто-то другой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

120. Сообщение от cheburnator9000 (ok), 02-Июл-24, 05:36	+1 +/–
А вы то думали каким образом спецслужбы США взламывают сервера государственной тайной Ирана? Вот таким.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #121

121. Сообщение от Аноним (-), 02-Июл-24, 06:08	+1 +/–
В программное обеспечение Иранских электростанций они внедрили троян, который был принесён с флешкой. Американцы через Сеть не взламывали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #127

123. Сообщение от www2 (??), 02-Июл-24, 07:18	+1 +/–
Проникнуть в бункер и разрушить его - не одно и то же. На любой сервер можно сбросить ФАБ-3000. Технически осколки, прошившие его насквозь, в него проникнут. Но взломом это считаться всё равно не будет, потому что цель взлома - получить полный доступ к исправному объёкту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #136

126. Сообщение от User (??), 02-Июл-24, 08:06	+/–
Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки - обычно вообще 1,5-2.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #137, #156

127. Сообщение от Аноним (127), 02-Июл-24, 08:59	+1 +/–
По информации, заслуживающей доверия. Вот бы еще верить всему тому что они говорят...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #141

128. Сообщение от Аноним (128), 02-Июл-24, 10:16	+/–
LoginGraceTime 0 MaxStartups 1:50:1 норм?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #138, #148

129. Сообщение от Anm (?), 02-Июл-24, 10:26	+/–
Лет 5 как отказался от SSH на серверах. Надоело пачками банить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

130. Сообщение от Аноним (130), 02-Июл-24, 10:55	+/–
Винду нада переустановить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #142

131. Сообщение от fuggy (ok), 02-Июл-24, 11:02	+/–
>Эксплоита для 64бит пока нет, взлом в теории занимает до недели. А разговоров то было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

132. Сообщение от Аноним (132), 02-Июл-24, 12:06	+/–
> если не включать А вот и наши двое из ларца - одинаковы с лица! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

134. Сообщение от Аноним (-), 02-Июл-24, 12:12	–1 +/–
> Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так > что завидовать должны линуксятники Не вижу чему там завидовать. Тормозная ОС, с гнилыми системными кишками, которые почти не развивается. Не кастомизируемая, в каждой новой версии все больше и больше подлян. Все современные направления типа ARM, RISCV, mobile и проч безнадежно отстают. Да что там - от очень хорошей жизни WSL аж сделали. Потому что вот именно свой шелл в винде УГ, что cmd, что powershell. И терминалки - за все десятилетия потуг даже простенткому XFCE конкуренццию не смогли. Ну девелоепрс-девелоперс, и сделали с такой платформы драп-драп. А вы там можете смотреть рекламу, отсылая текст в нотпаде майкрософту, в перерыве между отчетами по активациям. Я же такое юзать не буду даже если мне приплатят. Мерзкая ОС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #139

135. Сообщение от Аноним (-), 02-Июл-24, 12:14	+/–
> Тебе статистику показать - ты всё равно заверещишь что это а андроиде/убунте/федоре/etc, > а в твоём раче, диване или другом васяниксе такого нет и > потому не считается. А где оно собссно под убунты, андроиды и федоры? Впрочем в андроиде софт такой что там никакой малвари и не надо - сама система и софт такие что устанавливать что-то дополнительно явный перебор. Но опять же - есть сборки без всего этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

136. Сообщение от Аноним (-), 02-Июл-24, 12:18	+/–
> Проникнуть в бункер и разрушить его - не одно и то же. > На любой сервер можно сбросить ФАБ-3000. Технически осколки, прошившие его насквозь, > в него проникнут. Но взломом это считаться всё равно не будет, Ну, понимаешь, чтобы это сделать - надо подлететь на потребное расстояние. И если ПВО настолько смотрит на это дело сквозь пальцы, это чьи сервера были?! Хотя автогол, конечно, тоже вариант. А админ может rm -rf /usr какойнить сделать по приколу. > потому что цель взлома - получить полный доступ к исправному объёкту. Вот это зависит от. Скажем любители направлений DoS и DDoS не разделяют данные точки зрения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

137. Сообщение от Аноним (-), 02-Июл-24, 12:25	–1 +/–
> Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки > - обычно вообще 1,5-2. Ну да, ну да, только даже на абажуре чего-то более 70% - линух. И виндус апдейт что-то грузит все линуксным CDNом. В общем у господ от маздая довольно тухлые идеи на тему что и сколько стоит. За что они и повыпали повсеместно из фавора. За примерно то же в фавор попали облака, делаемые теми кто объекты умеет фигачить дешево и массово, в отличие от вас. Ничего личного, это бизнес, а оплачивать все ваши откаты - нафиг кому надо?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #154

138. Сообщение от Аноним (-), 02-Июл-24, 12:35    Скрыто ботом-модератором	+1 +/–
> LoginGraceTime 0 > MaxStartups 1:50:1 > норм? Норм - запатчить дырявую версию, чудик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

139. Сообщение от noc101 (ok), 02-Июл-24, 12:46	+/–
>> Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так >> что завидовать должны линуксятники > Не вижу чему там завидовать. Повзрослей. Разговор шел не про зависть. > Тормозная ОС, с гнилыми системными кишками, которые > почти не развивается. Это у тебя фантазия, в реальности всё ровно наоборот. > Не кастомизируемая, Вранье конечно. На винде также можно менять иконки как и на Линуксе. Хехе > в каждой новой версии все больше > и больше подлян. Так ты выше писал, что не развивается. Фантазер ты хоть в одном комменте не пиши взаимоисключающие тезисы. > Все современные направления типа ARM, RISCV, mobile и > проч безнадежно отстают. И много десктопов на этих процах? Примерно нисколько! Почему винда должна под эти процы развиваться? Винда коммерческий продукт, она не делает то что не нужно. > Да что там - от очень хорошей жизни > WSL аж сделали. Потому что вот именно свой шелл в винде > УГ, что cmd, что powershell. И терминалки - за все десятилетия > потуг даже простенткому XFCE конкуренццию не смогли. Ну девелоепрс-девелоперс, и сделали > с такой платформы драп-драп. Фантазер в своем маня мирке даже не представляет зачем был сделан WSL. Это просто ржач) Чтобы заменить шел. Это просто дикий ржач))) > А вы там можете смотреть рекламу, Это конечно мощная у тебя фантазия. > отсылая текст в нотпаде майкрософту, в > перерыве между отчетами по активациям. Сильно тебя штырит. >Я же такое юзать не буду > даже если мне приплатят. Мерзкая ОС. А тебя кто то заставляет фантазер? Порвался от слова Винда, наплел чуши несусветной и как итоге сказал что не будет пользоваться. Ты как не уловимый Джо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #153

140. Сообщение от noc101 (ok), 02-Июл-24, 12:53	+1 +/–
> Проблема закрытости? В швиндоуз десятки точно таких же бекдоров и никто даже > не пытается делать вид что чешется. Как показали последние новости, на Линуксах также есть бэкдоры! Но именно данной проблемы, из новости, в Винде нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

141. Сообщение от Аноним (-), 02-Июл-24, 13:08    Скрыто ботом-модератором	+/–
Да, лучше верить cheburnator9000, вот он точно говорит о том, что знает, и не соврёт ни при каких условиях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

142. Сообщение от Аноним (142), 02-Июл-24, 13:10	+1 +/–
Ненужное на десктопе тоже, причём чаще: надо же все тысячи сортов попробовать, а не все с флешки запускаются в live режиме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #174

143. Сообщение от _oleg_ (ok), 02-Июл-24, 13:23	+/–
О как. И как же ты на серверы ходишь? Физически, ножками?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #144, #145, #191

144. Сообщение от Anm (?), 02-Июл-24, 13:49	+1 +/–
https+perl. Вообще не парюсь. Даже редкие попытки прощупать порты со стороны безуспешны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #146, #147

145. Сообщение от Аноним (145), 02-Июл-24, 13:51	+1 +/–
А на виртуальные виртуальными ножками
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

146. Сообщение от _oleg_ (ok), 02-Июл-24, 13:55	+1 +/–
> https+perl. > Вообще не парюсь. Даже редкие попытки прощупать порты со стороны безуспешны. А https с сертификатом клиентским или нет? На perl'е что - web-морда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #152

147. Сообщение от Аноним (128), 02-Июл-24, 16:34	+/–
а не надо ssh-ом светить на весь интернет. достаточно дать доступ с того айпи, с которого заходишь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #149

148. Сообщение от penetrators (?), 02-Июл-24, 17:45	+/–
если у тебя будет хотя бы одно соединение от кулхацкера оно будет бесконечным и у тебя лимит стоит 1 штука максимально, шанс что ты после даже после хард ребута успеешь подконектиться не очень большой ты бы лучше MaxStartups не трогал если не знаешь про что это
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #150

149. Сообщение от penetrators (?), 02-Июл-24, 17:46	+2 +/–
и вдруг ты поехал в командировку ))) а доступа к твоему RDP там нет, а серв лежит )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #159

150. Сообщение от Аноним (128), 02-Июл-24, 20:13	–1 +/–
что я могу не знать из того, что тут https://www.opennet.me/base/sec/ssh_tips.txt.html написано? точно также может быть 10, 20, ... соединений
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148

151. Сообщение от ин номине патре (?), 02-Июл-24, 20:39	+/–
>На линуксе тоже работает musl. Alpine, Gentoo например. нормальный линукс для серверов это OL8, ичсх not affected дебиан, очередной шах и мат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

152. Сообщение от Anm (?), 02-Июл-24, 20:54	+1 +/–
Ну разумеется. Сертификат только у меня. Остальным даже не предлагается. Да они и порт то нащупать не могут. Надо бы развернуть тестовый сервак на месяц и потролить местных мамкиных хакеров с предложением взломать. Пусть попыжатся. ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146 Ответы: #176

153. Сообщение от Аноним (-), 02-Июл-24, 20:58	+/–
>> Не вижу чему там завидовать. > Повзрослей. Разговор шел не про зависть. Это как? Стань старым хpычoм? Переехай на кладбище? Да ну нафиг. > Это у тебя фантазия, в реальности всё ровно наоборот. Я заметил, ворочая разлапистыми иерархиями с 100K+ файлов, билдуя проекты размером с линукскернел и проч. А так то одна из причина перехода на линь - проект раза в 3 быстрее билдился. Все что надо знать о маздайке. А ничего сравнимого с btrfs там вообще нет. Сами свои технологии из 90 в нтфс юзайте. > Вранье конечно. На винде также можно менять иконки как и на Линуксе. Я эмбедовку фигачу, там другой уровень кастомизации уместен. Ну а винда соответственно не модульная, да и по сути x86-only. На ARM пытается, но "драйверов нет, б...!" > комменте не пиши взаимоисключающие тезисы. Не говорите мне что делать - и я не скажу куда вам идти. > И много десктопов на этих процах? Примерно нисколько! Ну во первых - уже есть и борды из которых можно десктоп сделать. Во вторых вотпрямща активно развиваются ноуты на армах. В третьих, на десктопах мир не заканчивается, внезапно. А таки лично мой следующий воркстейшн будет уже имхо не x86. Достали меня эти господа с ME и PSP. Все мои воркфлоу 1 фиг на опенсорсном софте - так что мне похрен на архитектуру. > Почему винда должна под эти процы развиваться? Винда коммерческий продукт, На минутку виндофоны вон трепыхались. Но не смогли. Сейчас с ноутами трепыхаются, внезапно. Опять будет поддержка целого квалкома поди, как обычно. > Это просто ржач) Чтобы заменить шел. Это просто дикий ржач))) Хорошо смеется тот кто смеется последний. > Это конечно мощная у тебя фантазия. Спасибо, видал я эту фантазию у хомячков в маздайках 10/11. Себе такого что-то не хочется, так что... > несусветной и как итоге сказал что не будет пользоваться. Ты как > не уловимый Джо. Сначала выучи как фраза пишется, чудик, потом пафос разводить будешь. А, да, кстати спасибо за демо на предмет экосистемы и кто винду юзает. В линухе пользователи поинтереснее, производят впечатление разумного существа а не биоробота. В отличие от вас. Так, по жизни я от вас на этом форуме никогда не видел никаких полезных сведений или пруфа знаний и скилов. Только потуги самоутверждаться за чужой счет. Так что гнилая у вас не только ОС - но и экосистема. Между нами, до того как "повзрослеть" переехав на кладбище, я предпочту поотвисать с вон теми. А не такими как вы. С умными и конструктивными людьми свою жизнь провести - намного приятнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139 Ответы: #155

154. Сообщение от User (??), 02-Июл-24, 21:48	+1 +/–
>> Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки >> - обычно вообще 1,5-2. > Ну да, ну да, только даже на абажуре чего-то более 70% - > линух. И виндус апдейт что-то грузит все линуксным CDNом. > В общем у господ от маздая довольно тухлые идеи на тему что > и сколько стоит. За что они и повыпали повсеместно из фавора. > За примерно то же в фавор попали облака, делаемые теми кто > объекты умеет фигачить дешево и массово, в отличие от вас. Ничего > личного, это бизнес, а оплачивать все ваши откаты - нафиг кому > надо?! Ну да - вот только ой, вы к тем облакам отношение не имеете ровным счетом "никакого". Да и к проектам в общем-то тоже - подвальный хэндмейд он все-ж про другое, да? А вот в общей стоимости внедрения чего-нибудь бизнесового - MES, ERP, MDM какой-нибудь - стоимость серверных лицензий MS - ну вот околотакая. И да, на аналоговнете - оно сплошь и рядом - дороже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137 Ответы: #162

155. Сообщение от noc101 (ok), 02-Июл-24, 22:48	+/–
> Это как? Стань старым хpычoм? Переехай на кладбище? Да ну нафиг. Нет. Это когда читаешь комментарий и отвечать по существу. А не как ребенок, если зад горит, то надо навалить левых тезисов, о которых никто не спрашивал и не утверждал, и сидеть с довольным лицом, мол смотрите как я его. А на тебя смотрят как малолетку, который не умеет в разговор. >> Это у тебя фантазия, в реальности всё ровно наоборот. > Я заметил, ворочая разлапистыми иерархиями с 100K+ файлов, билдуя проекты размером с > линукскернел и проч. А так то одна из причина перехода на > линь - проект раза в 3 быстрее билдился. Все что надо > знать о маздайке. То есть наплести кучу идиотизма и это твои знания. Молодец. А ничего сравнимого с btrfs там вообще нет. > Сами свои технологии из 90 в нтфс юзайте. Еще раз, ты не знаешь предмет разговора. Уже НТФС не угодил ему. НТФС хоть и вышла в 93 году, но вполне удачно развивается и последние обновление было с выходом 10 винды. Все что нужно для современной работы с ФС, там есть. То есть ты опять соврал. >> Вранье конечно. На винде также можно менять иконки как и на Линуксе. > Я эмбедовку фигачу, там другой уровень кастомизации уместен. Ну а винда соответственно > не модульная, да и по сути x86-only. На ARM пытается, но > "драйверов нет, б...!" О боже. Ты максимум трусы фигачишь в стиралку неуч. Windows 10 IoT иди гугли и не позорься. Ребенок, перед тем как умничать, подумай, стоит ли оно того. > Не говорите мне что делать - и я не скажу куда вам > идти. так что ты тут делаешь? За собой не пробовал следить? Разговор шел об SSH , но приперся ребенок и давай рассказывать какая винда ужасная. Повзрослей. > Ну во первых - уже есть и борды из которых можно десктоп > сделать. > Во вторых вотпрямща активно развиваются ноуты на армах. > В третьих, на десктопах мир не заканчивается, внезапно. > А таки лично мой следующий воркстейшн будет уже имхо не x86. Достали > меня эти господа с ME и PSP. Все мои воркфлоу 1 > фиг на опенсорсном софте - так что мне похрен на архитектуру. Как этот выдуманый бред касается SSH и Windows? Что ты тут вы*ираешь офтоп? >> Это конечно мощная у тебя фантазия. > Спасибо, видал я эту фантазию у хомячков в маздайках 10/11. Себе такого > что-то не хочется, так что... Да не пользуйся, кто тебя заставляет ребенок? Тебе кто то сказал ставить винду? Ты там случайно не наркоманишь? Как это касается SSH и Windows? > кто винду юзает. Жаль, что линуксом пользуются такие дети. Это просто позорище. > В линухе пользователи поинтереснее, производят впечатление разумного существа а не биоробота. > В отличие от вас. Сказал ребенок, который влез офтопом в тему про SSH и "дыру в безопасности" и начал рассказывать как его заставляют винду юзать и как он сопротивляется. Ты как веган. Который верещит на углу, что он мясо не ест. Когда всем пофигу на тебя и что ты ешь. > Так, по жизни я от вас на этом форуме никогда не видел > никаких полезных сведений или пруфа знаний и скилов. Только потуги самоутверждаться > за чужой счет. Так что гнилая у вас не только ОС Я с этого прям поржал. Чел пришел в тему про... я устал повторять, но все таки... SSH и начал рассказывать какой он крутой, умный, а виндой его не заставят пользоваться. А потом рассказал, что виндузятники не такие и бла бла. Короче, ребенок. Ты как давно линукс поставил? неделю? Или две? )))) Я таких линуксятников сотни уже видел. Поставили не давно и начинают всем рассказывать какая крутая система, да что там винда, да вот линукс, да я, да она, да ты что ахахахаха Правда потом такие дети уходят на винду, ведь одно дело играться, а другое дело работать. Играться то надоест)) > - но и экосистема. Между нами, до того как "повзрослеть" переехав > на кладбище, я предпочту поотвисать с вон теми. А не такими > как вы. С умными и конструктивными людьми свою жизнь провести - > намного приятнее. Чел с тобой ни один нормальный линуксятник не будет отвисать. Ты тупо не интересен. Я в жизни не согласился бы с таким ребенком обсжудать Линукс. Мы с тобой банально на разных уровнях. У меня Линукс это рабочий инструмент. А у тебя игрушка для самоутверждения. Я в Линуксе работаю больше чем ты живешь на свете. И пользовался такими дистрибутивами, о которых знают единицы людей. З.Ы. Ребенок не офтопь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #161

156. Сообщение от нах. (?), 03-Июл-24, 00:08	+/–
там достаточно взглянуть на цену сервера, на котором крутится та винда. Можно даже еще ничего на нее не ставить - уже цена лицензии (которая пока еще разовая и вечная, в отличие от платы за обслуживание ящика куда установлена) покажется полной фигней. И да, шва... бесплатные решения почему-то при рассмотрении под таким углом становятся совсем-совсем небесплатными.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #163

157. Сообщение от нах. (?), 03-Июл-24, 00:20	+/–
рут в smtpd у них был свой, собственный, никаких артефактов портирования (потому что нахрен никому такое не уперлось) Так что увы, софт из опенка смотрится херовой идеей даже в самом опенке. Очень жаль что ssh попал в эти руки и поляна загажена наглухо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

159. Сообщение от Аноним (128), 03-Июл-24, 01:22	+/–
есть решение и этого кейса. у меня так динамический айпи, каждый раз разный, но доступ к ssh всё равно у меня только с одного айпи. угадай как.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149 Ответы: #183, #192

160. Сообщение от morphe (?), 03-Июл-24, 01:30	+3 +/–
> «Это невозможно предотвратить», — говорят пользователи только того языка, где это происходит регулярно.
Ответить | Правка | Наверх | Cообщить модератору

161. Сообщение от Аноним (-), 03-Июл-24, 05:43	+/–
> который не умеет в разговор. Это говорит человек, который занимается самоутверждением за счет других, и не сказал за все время на форуме нихрена полезного. Так, штрих в картину. > Еще раз, ты не знаешь предмет разговора. Уже НТФС не угодил ему. Я прекрасно видел как это работает. Мне такое в 2024 не надо. > НТФС хоть и вышла в 93 году, но вполне удачно развивается Лично мне нравится как это у пингвина в btrfs и bcachefs развивается, хочу видеть будущее каким-то таким. С удобным, простым и логичным управлением, с минимумом ограничений. > О боже. Ты максимум трусы фигачишь в стиралку неуч. Очередной культурный всплеск в стиле маздайцев. > Windows 10 IoT иди гугли и не позорься. Полудохлая потуга мелкомякоти. И таки - драйверов под маздайку с гулькин нос. Да, пингвин в ЭТОМ обставил маздайку как с куста. Поддерживая чертову кучу SoC в майнлайне, куча дров для всяких датчиков и чего там еще на i2c/spi/uart и прочее IIO. Так что толку с потуг мелкомякоти вам будет - нифига. Кто вам эти дрова напишет? ;) > Ребенок, перед тем как умничать, подумай, стоит ли оно того. Клoyн, подумай что до того как вещать по теме - стоит прикинуть что оппонент может в ней что-то смыслить. > так что ты тут делаешь? За собой не пробовал следить? Сразу после тебя, мистер. > Разговор шел об SSH , но приперся ребенок и давай рассказывать какая > винда ужасная. Повзрослей. А хренли, я с нее свалил потому что отсутствие развития системы и трэш с автоматизацией достали :) > Как этот выдуманый бред касается SSH и Windows? Что ты тут вы*ираешь офтоп? А, то-есть когда крыть стало нечем - вспомним что это офтоп. А до тех пор нормалек. Оок! > винду? Ты там случайно не наркоманишь? Как это касается SSH и Windows? Хехе, чот-то ты уже заткнулся на тему чего там на десктопах нет и проч. А ssh в винде - я не понимаю нахрен он там. Когда-то я даже юзал там - putty, но таки это криво по сравнению с обычной линухвой консолью. И таки в именно винде нормальных терминалок вообще хрен найдешь. В WSL еще может быть, но эта резиновая зина - для совсем извращенцев. > Сказал ребенок, который влез офтопом в тему про SSH и "дыру в > безопасности" и начал рассказывать как его заставляют винду юзать Где я рассказал что меня заставляют? Дедуля в мapaзм никак впал? > Чел пришел в тему про... я устал повторять, но все таки... SSH > и начал рассказывать какой он крутой, умный, а виндой его не заставят пользоваться. Ты тоже с своими экспертными заявочками каких там десктопов на чем нет - отличился. Но это нещитово видимо. Зато - вот - уровень экспертизы измерен на конкретном топике. И по реакции я все прекрасно вижу. > бла. Короче, ребенок. Ты как давно линукс поставил? неделю? Или две? В эпоху убунты 5 или 6. Это, кажется, немного дольше. В телепатии эксперт такой же нерюх как и в остальном. > Правда потом такие дети уходят на винду, ведь одно дело играться, Да вот что-то за ...цать лет никуда не собрался, напротив - направление понравилось и я доразвился в сторону системной интеграции и эмбедовки. За 5 минут это не получится. > Играться то надоест)) Линух для работ намного круче - автоматизируется лучше, разгоняет мою эффективность. Я в нем печатки в KiCad наворачиваю, фирмвари МК пописываю и - вот - всякую околоэмбедовочную системную интеграцию. Такая фигня. Это намного кайфовее чем всякий маздай. > Чел с тобой ни один нормальный линуксятник не будет отвисать. Ох, лол, ты даже не знаешь где они обитают. А мнение - имеешь. > Я в жизни не согласился бы с таким ребенком обсжудать Линукс. Да кого это колышет? Я прекрасно вижу что моя экспертиза в лине куда мощнее. А ты эникей обычный. Пафосный не в меру. > Мы с тобой банально на разных уровнях. Да. > У меня Линукс это рабочий инструмент. А у тебя игрушка для самоутверждения. А у меня это любимый инструмент. В таком виде опенсорс - намного круче работает и можно достичь гораздо большего. Ты обычный унылый корпоративный мясник. Без особых интересов и скилов. Я таких вижу за версту. Мне не о чем с такими разговаривать - мы таких презираем. Вы никогда не будете на одном уровне с нами по скиллам и возможностям. > Я в Линуксе работаю больше чем ты живешь на свете. Самоуверенность некоторых чудиков бывает весьма забавной. Впрочем я заканчиваю тратить мое время на таких овощей, вы того не стоите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #172

162. Сообщение от Аноним (-), 03-Июл-24, 05:56	+/–
> Ну да - вот только ой, вы к тем облакам отношение не > имеете ровным счетом "никакого". А при чем тут я? Это осбуждение технологий в ходу. Да, я не програмил тот же KVM и QEMU - но это не мешает мне им и вещами на его основе пользоваться, оптом и в розницу. И конечно это все на линухе. И у меня, и у хостеров, и проч. > А вот в общей стоимости внедрения чего-нибудь бизнесового - MES, ERP, MDM > какой-нибудь - стоимость серверных лицензий MS - ну вот околотакая. И > да, на аналоговнете - оно сплошь и рядом - дороже. Я конечно понимаю что некоторых покусаных энтерпрайзом иногда не попускает, и они уверены что весь мир состоит только из этого. Но вообще-то это довольно незначительный процент от общей массы. Ну так, мелочи какие. Вон майкрософт уже кажется даже забил годядика проплачивать для накрутки доли винды с IIS'ом, все и так догадались что накрутка на паркинге, завели отдельную категорию, а так уже неспортивно, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #164

163. Сообщение от User (??), 03-Июл-24, 06:58	+/–
> там достаточно взглянуть на цену сервера, на котором крутится та винда. Можно > даже еще ничего на нее не ставить - уже цена лицензии > (которая пока еще разовая и вечная, в отличие от платы за > обслуживание ящика куда установлена) покажется полной фигней. > И да, шва... бесплатные решения почему-то при рассмотрении под таким углом становятся > совсем-совсем небесплатными. Чел крутит 100500 Ъ-тырдырпрайс-форчун500-вритуалок на своем десктопе и радуется, что сэкономил АЖ ЦЕЛЫХ 100 БАКСОВ!!! купив асус без винды - ну о чем ты, а? Он экономит БОЛЬШИЕ ДЕНЬГИ для СЕРЬЁЗНЫХ ЗАКАЗЧИКОВ, БОРЕТСЯ С КОРПОРАЦИЕЙ и ПРИБЛИЖАЕТ БУДУЮЩЕЕ (будующего) - а ты тут со своей арифметикой. Фу таким быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #168

164. Сообщение от User (??), 03-Июл-24, 07:17	+/–
Перевожу: существуют целые классы систем - и соответственно, проектов внедрения этих систем - где использование решений на стеке MS не то, что "востребовано"  - а "безальтернативно". И да, - в облаках тоже, exchange не даст соврать. И вот как-то так получается, что стоимость именно серверных лицензий MS в этих проектах реально - копеечная. Да, включая гипервизор, виртуалки и отказоустойчивый MsSQL.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

165. Сообщение от Аноним (165), 03-Июл-24, 08:04	+/–
уверен, что в дистрибутивах с сертификатом фстек такого нет
Ответить | Правка | Наверх | Cообщить модератору

166. Сообщение от ин номине патре (?), 03-Июл-24, 08:39	+/–
>Только что с две сотни инстансов под нож отправил, везде где в логах встречалось а был бы нормальным админом, а не убунтуем, то вообще ничего не надо было б делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #169

167. Сообщение от нах. (?), 03-Июл-24, 09:11	+/–
ну, кстати, к0к0к0кие ваши докозательства? можно предположить что виндовый порт sshа конечно не дергает никакой syslog(), но могли ведь и полениться... или того хуже - вместо этого обратиться к эвентлогу, который тоже не signal-safe
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #171

168. Сообщение от нах. (?), 03-Июл-24, 09:19	+/–
чо ета сто? Целых даже пиццоть! У человека ж подкроватный СЕРВЕР! Серверная 2022 (та версия что специально для подкроватных) где-то так стоитъ. Заказчик сможет заказать себе кофе на вынос, и еще останется на булочку после оплаты услуг нашего мастера-самоучки без мотора. (тьфуй, мля, а подкроватный сервер-то - в смысле железка от какого-нибудь китайца - все равно, собака, дороже лицензии примерно вдвое получается, да что ж ты будешь делать, проклятая майкрософт, и тут нам в штаны нагадила)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163 Ответы: #175

169. Сообщение от нах. (?), 03-Июл-24, 09:24	+1 +/–
>>Только что с две сотни инстансов под нож отправил, везде где в логах встречалось > а был бы нормальным админом, а не убунтуем, то вообще ничего не > надо было б делать. в смысле? Мы, нормальные админы-убунтуи, как раз ничего и не делаем. Я сеть просканил, где было можно (в смысле мне нигде нельзя, но я там где не вызову вопросов у ИБ посмотрел) - нашел штук двадцать теоретически-уязвимых. Там - ентер-прайсный мониторинг, тут какой-то чудо-балансировщик, здесь - кусок управления цитриксовой фермой... короче, ничего трогать нельзя. А мои убунты абсолютно ниувизьгвимы, со своим openssh7, а местами даже и 6. Пойду попрошу себе премию за этот успешный успех.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

170. Сообщение от нах. (?), 03-Июл-24, 09:25	–1 +/–
> какие последствия? прониконовение в систему? как обнаружить не только попытку аттаки но > и успешную аттаку? ну типа если пришел на работу, а там пустое место, диск почищен, а на экране при логине ехидная надпись - точно была успешная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

171. Сообщение от noc101 (ok), 03-Июл-24, 09:27	+/–
> ну, кстати, к0к0к0кие ваши докозательства? > можно предположить что виндовый порт sshа конечно не дергает никакой syslog(), но > могли ведь и полениться... или того хуже - вместо этого обратиться > к эвентлогу, который тоже не signal-safe нюх нюх хватит нюхать наркоту и почитай новость
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167 Ответы: #173

172. Сообщение от noc101 (ok), 03-Июл-24, 09:46	+/–
> Это говорит человек, который занимается самоутверждением за счет других, и не сказал > за все время на форуме нихрена полезного. Так, штрих в картину. Если ты не заметил, это новость. Тут обсуждают новость. А не помогают. В очередной раз доказательство твоей глупости. > Я прекрасно видел как это работает. Мне такое в 2024 не надо. Ты прекрасно показал, что ничерта не знаешь. >> НТФС хоть и вышла в 93 году, но вполне удачно развивается > Лично мне нравится как это у пингвина в btrfs и bcachefs развивается, > хочу видеть будущее каким-то таким. С удобным, простым и логичным управлением, > с минимумом ограничений. Ну и хорошо. Какие претензии к НТФС? Что она не btrfs и bcachefs? А должна? Самая глупая претензия от доморощеного линуксятника. > Очередной культурный всплеск в стиле маздайцев. Сказал слепой фанатик, который всех кто с ним не согласен записывает в маздайцы. Учитывая, что пользоваться виндой, в этом нет ничего плохого, то встает вопрос об адекватности персонажа. Хотя какой тут вопрос и так ясно, глупый фанатик с раздражением глаз. > Полудохлая потуга мелкомякоти. Сначала "да нет у них ничего", а теперь полудохлая. Ха лол. Так нету ничего или полудохлая? И почему ты решил что полудохлая? Вопрос риторический, так как и так ясно ты о об этой винде узнал от меня и теперь несешь бред, лижбы не признать обсер. > И таки - драйверов под маздайку с гулькин нос. Ты чо куришь? Сильно штырит тебя. > Клoyн, подумай что до того как вещать по теме - стоит прикинуть > что оппонент может в ней что-то смыслить. Когда человек разбирается, это видно. По тебе видно, что ты понтуешься. Типичный новенький юзверь Линукса. > А хренли, я с нее свалил потому что отсутствие развития системы и > трэш с автоматизацией достали :) Ладно, ты теперь для меня дно человеческого развития. Оно не способно даже читать, что пишут. > А, то-есть когда крыть стало нечем - вспомним что это офтоп. А > до тех пор нормалек. Оок! Сказало существо, которое не способно понять написаного. Еще раз существо, по существу что будет сказано? Ничего? так слейся. > Хехе, чот-то ты уже заткнулся на тему чего там на десктопах нет > и проч. Потому что существо тема разговора уязвимость SSH и что в винде этой уязвимости нет. А не то что ты тут наплел кучу бреда выдуманого. > А ssh в винде - я не понимаю нахрен > он там. Когда-то я даже юзал там - putty, Это просто днище... нет, это хуже дна. Оно путает клиент и сервер. Бедняжка. > Где я рассказал что меня заставляют? Дедуля в мapaзм никак впал? Оно даже за своей речью не следит. О боже, оно глупей чем кажется. > Ты тоже с своими экспертными заявочками каких там десктопов на чем нет > - отличился. Читай новость глазами, а не жопой. Икспирт блин. > В эпоху убунты 5 или 6. Это, кажется, немного дольше. В телепатии > эксперт такой же нерюх как и в остальном. Дяде врать нехорошо. Или зачем ты в 24 году ставил Убунту 5? Оно думает, что может обмануть. > Да вот что-то за ...цать лет никуда не собрался, напротив - направление > понравилось и я доразвился в сторону системной интеграции и эмбедовки. За > 5 минут это не получится. Существо ты ... хотя нет, ты не понимаешь, что твое вранье шито белыми нитками. Если ты на убунте с 5 версии, то откуда глубокие знания винды? То есть соврал? Или ты слышал об убунте но сидел на Винде? Ну в это поверить можно. Но тогда ты соврал, что на убунте с 5 версии. Как ни крути, существо врет. > Линух для работ намного круче - автоматизируется лучше, разгоняет мою эффективность. Я > в нем печатки в KiCad наворачиваю, фирмвари МК пописываю и - > вот - всякую околоэмбедовочную системную интеграцию. Такая фигня. Это намного кайфовее > чем всякий маздай. Какие фантазии у ребенка. Оно думает, что если умных слов накинет, то всё так и будет)) > Ох, лол, ты даже не знаешь где они обитают. А мнение - > имеешь. Это легко. Там где ты, там их нет. > Да кого это колышет? Я прекрасно вижу что моя экспертиза в лине > куда мощнее. А ты эникей обычный. Пафосный не в меру. тебя колышет, ты же тут понтуешься, ахахаха > Да. Ну хоть согласен что ты дно. Ахахаха. > А у меня это любимый инструмент. В таком виде опенсорс - намного > круче работает и можно достичь гораздо большего. Ты обычный унылый корпоративный > мясник. Без особых интересов и скилов. Я таких вижу за версту. > Мне не о чем с такими разговаривать - мы таких презираем. > Вы никогда не будете на одном уровне с нами по скиллам > и возможностям. О боже оно думает, что мне есть дело до мнение ребенка. Лол. Теперь ты не человек, ты существо. Когда научишься читать, пиши. А сейчас слейся, ты слишком глуп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

173. Сообщение от нах. (?), 03-Июл-24, 11:30	+/–
И где в твоей новости что-то про винду? (кстати, ее ssh оказывается не показывает свою версию в строке коннекта)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171 Ответы: #184

174. Сообщение от нах. (?), 03-Июл-24, 11:31	+/–
> Ненужное на десктопе тоже, причём чаще: надо же все тысячи сортов попробовать, > а не все с флешки запускаются в live режиме. диски ж сегодня большие, тоже мне проблема. И растреклятый уефи позволяет (при некоторых если) не аж четыре, а хоть стосороквосемь сортов рядом понаустанавливать. Загружается при этом у них конечно все равно винда, но таков путь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

175. Сообщение от User (??), 03-Июл-24, 11:32	+/–
> чо ета сто? Целых даже пиццоть! У человека ж подкроватный СЕРВЕР! Серверная > 2022 (та версия что специально для подкроватных) где-то так стоитъ. Заказчик > сможет заказать себе кофе на вынос, и еще останется на булочку > после оплаты услуг нашего мастера-самоучки без мотора. > (тьфуй, мля, а подкроватный сервер-то - в смысле железка от какого-нибудь китайца > - все равно, собака, дороже лицензии примерно вдвое получается, да что > ж ты будешь делать, проклятая майкрософт, и тут нам в штаны > нагадила) Ты пжди, пжди! Если вместо железки-от-китайцев купить "технику, проверенную временем"(ТМ), то у тебя будет не "консьюмерский десктоп", а Ъ-тырдырпрайс-форчун500-R&D-4PRO-СЕРВЕР, и еще на пиво, сигареты и интернет останется - ну, если её, поганую, не покупать... "Честный компьютерный мастер Илья"(ТМ) гарантирует это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168

176. Сообщение от _oleg_ (ok), 03-Июл-24, 11:38	+1 +/–
> Ну разумеется. Сертификат только у меня. Остальным даже не предлагается. Да они > и порт то нащупать не могут. > Надо бы развернуть тестовый сервак на месяц и потролить местных мамкиных хакеров > с предложением взломать. Пусть попыжатся. )) Так это security through obscurity. Работает только пока ты неуловимый Джо. По смыслу тоже самое, что хождение через ssh по сертификату. А всякие критические ошибки и в web-серверах находят ;-).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #177

177. Сообщение от нах. (?), 03-Июл-24, 12:14	+/–
> Так это security through obscurity. Работает только пока ты неуловимый Джо. По > смыслу тоже самое, что хождение через ssh по сертификату. А всякие не в данном случае. Тут глупый ssh подождет-подождет сертификата, а потом запишет в лог что недождался и на этом - хряпнется. Заодно и открыв рутовый шелл. > критические ошибки и в web-серверах находят ;-). обычно такие не уходят дальше пользователя nobody, но тут уникальный случай - вепсервер с рутовым доступом. Еще и перл, славный умением своих модулей иногда внезапно выполнить без спросу аргументы строки запроса
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #176 Ответы: #179

178. Сообщение от Аноним (178), 03-Июл-24, 12:24	+/–
Похоже Qualys оказался сапожником без сапог. Сегодня по RSS от них через https://blog.qualys.com/feed прилетело blog.qualys.com/misc/2024/07/02/general-bas-zakliucheniia-banknot-vo-onlain-kazino Судя по полям generator и com-wordpress:feed-additions  взломали через CMS WordPress или администраторы случайно спамерскую новость подтвердили.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #180

179. Сообщение от _oleg_ (ok), 03-Июл-24, 12:26	+/–
> не в данном случае. Тут глупый ssh подождет-подождет сертификата, а потом запишет > в лог что недождался и на этом - хряпнется. Заодно и > открыв рутовый шелл. В данном конкретном безусловно. Но речь как про v >> критические ошибки и в web-серверах находят ;-). > обычно такие не уходят дальше пользователя nobody, но тут уникальный случай - > вепсервер с рутовым доступом. это ^.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177

180. Сообщение от нах. (?), 03-Июл-24, 14:29	+/–
> Похоже Qualys оказался сапожником без сапог. чего ж без сапог, с сапогами. Тоже небось пользовали ssh!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178 Ответы: #190

183. Сообщение от Гений (??), 03-Июл-24, 16:31	+/–
port knocking
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159

184. Сообщение от noc101 (ok), 03-Июл-24, 16:44	+/–
> И где в твоей новости что-то про винду? > (кстати, ее ssh оказывается не показывает свою версию в строке коннекта) Там где чел написал про винду, а я сделал замечание, что данной проблемы в винде нет. А потом пошло у фанатиков горение, как так нет.А по существу сказать то и нечего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173 Ответы: #186

185. Сообщение от YetAnotherOnanym (ok), 03-Июл-24, 17:33	+/–
> А на практике - придет белый человек На практике "bunker buster" осядет на землю мелкодисперсной пылью вместе с носителем и его экипажем, а обитательница шахты полетит делать "белому человеку" кровопускание, чтобы стал ещё белее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

186. Сообщение от нах. (?), 03-Июл-24, 20:15	+/–
так и и спрашиваю - почему ты так уверен что в вендепоганой проблемы нет? Может ты не знал, но ssh там ровно из того же ведра разливали. Что в нем специфично виндового - загадка, потому что код открыт но не совсем. Ну в смысле ms вроде никуда его не выкладывала. В -V врет конечно что это прям openssh как он есть, но они ж корпорация - зла, небось попатчили в ста местах, и не признаются. Тот что у меня говорит что он 8.1 (т.е. проблемы нет не потому что он ввенде, а потому что 8.1) но те винды что мне доступны для сканирования - не показывают версию, а по консолькам ходить не набегаешься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #184 Ответы: #187

187. Сообщение от noc101 (ok), 03-Июл-24, 22:06	+/–
>[оверквотинг удален] > Может ты не знал, но ssh там ровно из того же ведра > разливали. Что в нем специфично виндового - загадка, потому что код > открыт но не совсем. Ну в смысле ms вроде никуда его > не выкладывала. В -V врет конечно что это прям openssh как > он есть, но они ж корпорация - зла, небось попатчили в > ста местах, и не признаются. > Тот что у меня говорит что он 8.1 (т.е. проблемы нет не > потому что он ввенде, а потому что 8.1) но те винды > что мне доступны для сканирования - не показывают версию, а по > консолькам ходить не набегаешься. OpenSSH 8.5 на системах со стандартной библиотекой Glibc Давно на Винде есть Glibc и чтобы на нем еще OpenSSH собирался. А еще можешь почитать про уязвимость и увидеть про какие целевые ОС идет речь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #186 Ответы: #188

188. Сообщение от нах. (?), 03-Июл-24, 22:39	+/–
> OpenSSH 8.5 на системах со стандартной библиотекой Glibc так проблема не в библиотеке. Просто именно под нее подобрали уже готовую и проверено работающую процедуру. Ну и вон про мюсли теперь точно известно что для нее такой существовать не может, потому что она signal-safe в этом месте (случайно получилось) А про винду неизвестно ничего - ни как там sshd вообще таймаут обрабатывает (точно ли использует аларм вместо таймера, вызывает ли syslog - то и другое конечно имитируется прокладками, но вообще-то ни разу не виндовые апи), ни есть ли там место для проявления race - потому что хз как и с какими самодельными патчами проклятая корпорация зла его там собирает. > А еще можешь почитать про уязвимость и увидеть про какие целевые ОС идет речь. эх, я-то думал ты у нас понимаешь чуть больше чем список торговых марок :-( До чего же деградировал опеннет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #187 Ответы: #189

189. Сообщение от noc101 (ok), 04-Июл-24, 00:42	–1 +/–
>так проблема не в библиотеке. Проблема в OpenSSH 8.5 на системах со стандартной библиотекой Glibc >А про винду неизвестно ничего Известно, что ее нет в списке уязвимых систем. Когда будет, тогда поговорим. А пока у фанатиков жопка горит. >До чего же деградировал опеннет. Покинь опеннет, спаси от деградации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #188

190. Сообщение от Аноним (178), 04-Июл-24, 07:50	+/–
Они, кстати, признали инцидент https://blog.qualys.com/misc/2024/07/03/qualys-blog У них взломали одну из учётных записей в WordPress с правом постинга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180

191. Сообщение от Аноним (191), 04-Июл-24, 13:49    Скрыто ботом-модератором	+/–
> О как. И как же ты на серверы ходишь? Физически, ножками? Через RDP, очевидно же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

192. Сообщение от penetrator (?), 04-Июл-24, 18:31	+/–
у тебя же серв лежит, возможно вместе с твоим кнокингом ))) Security through obscurity в чистом виде, и какой ценой? С тем же успехом я могу поднять VPN до сервера и ходить по SSH только через тунель. И это будет намного секурней и точно также будет зависеть от надежности решения, до первой технической ошибки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159

193. Сообщение от pavlinux (ok), 25-Июл-24, 12:22	+/–
> проявляется начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc. # ssh -V OpenSSH_7.9p1 Debian-10+deb10u4, OpenSSL 1.1.1n  15 Mar 2022 А нас рать! :)
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема