| 1.1, Аноним (1), 09:33, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +17 +/– |
Ну уж счетчик новых записей без коллизий наладят как-нибудь и без министерства по выделению идентификаторов...
| | |
| |
| 2.22, laindono (ok), 10:11, 16/04/2025 [^] [^^] [^^^] [ответить]
| +14 +/– |
 Предлагаю на базе рандомного UUID. Впрочем лично мне не очень понятно, чем там в принципе 400 человек занимались.
| | |
| |
| 3.28, n00by (ok), 10:30, 16/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
 > не очень понятно, чем
> там в принципе 400 человек занимались.
Уязвимость "нулевого дня" остаётся таковой, пока о ней мало кто знает. 400 могут не только ускорить распространение, но и создать существенную задержку.
| | |
|
| 2.30, onanim (?), 10:35, 16/04/2025 [^] [^^] [^^^] [ответить]
| +16 +/– | |
> чем там в принципе 400 человек занимались.
разгребанием нескончаемого потока фейковых уязвимостей от индусов и пакистанцев, рисующих CVEшки себе в резюме.
| | |
| 2.31, Аноним (31), 10:37, 16/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ага только добавлять в этот счётчик будет заинтересованные люди. А у них другие интересы.
| | |
| 2.76, Аноним (76), 18:16, 16/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Предложи IANA свой счётчик. Ух, заживём тогда. Можно будет решить проблему с нехваткой IPv4 используя адреса после 255.255.255.255. Я себе 666.0.0.0/8 сразу же возьму.
| | |
|
| 1.3, х (?), 09:41, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
и прямой подлог в отношении ESP32 не помог, что ты будешь делать
| | |
| |
| |
| 3.65, Аноним (65), 15:56, 16/04/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Одни испанцы-безопасники решили поиграть в рэкетиров и объявили, что нашли в ESP32 бэкдор. Бэкдора не нашлось (нашлись служебные команды без удалённого доступа), но осадочек остался:
1) а чего эти желтокожие из Espressif в натуре, а? пусть извиняются.
2) испанцы продемонстрировали свою полезность, MITRE тоже ухватился за возможность продемонстрировать свою полезность и открыл CVE
https://www.opennet.me/opennews/art.shtml?num=62852
| | |
| |
| 4.68, Аноним (68), 16:26, 16/04/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Это какие-то спекуляции. Есть исследование, есть рабочий эксплоит, есть описание. Всего этого достаточно для открытия CVE.
Если выясняется, что исследование не соответствует действительности или выполнено нарушение - пишется жалоба, поступает опровержение.
Это процесс, он не может работать на уровне "аноним сказал, что точно брехня".
| | |
| |
| 5.73, Аноним (65), 17:01, 16/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Гражданин спекулянт, вы даже не читали новость:
> дополнение: в обновлённом анонсе исследователи убрали текст про бэкдор
Выдумываете на ходу рабочие эксплоиты и их необходимость, MITRE этого не требует[1].
> пишется жалоба, поступает опровержение
Жалоба на что? На то, что команды и правда не задокументированы? Или на то, что команды без документации от более уважаемых людей (AMD, NVidia, Phison) в CVE не попадут?
[1] "From a security perspective, even when the functionality is not intentionally malicious or damaging, it can increase the product's attack surface..."
| | |
|
|
|
|
| 1.10, Аноним (10), 09:57, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Собственно, толку от сабжа никакого не было. Часть распиаренных уязвимостей попадала в этот перечень, но что дальше? Сколько раз было, что, вроде, должно быть уязвимым, а на деле, в дистрибутиве давно пропатчено сопровождающими. Разве что исторический интерес с информацией о некоторых громких случаях.
| | |
| |
| 2.13, Аноним (13), 10:01, 16/04/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Вы путайте мягкое с тёплым. Назовите хоть одну известную уязвимость для которой не был присвоен CVE.
| | |
| |
| 3.18, Аноним (10), 10:06, 16/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я не найду, но присваивали их далеко не всем и не всегда. Часто, вроде как присваивали, но публично не доступно. Понятно, в чьих интересах зеродеи.
| | |
| 3.37, Аноним (37), 11:05, 16/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Не назову, потому что мне заплатили. Но я сообщал об уязвимостях разработчикам, их правили, но не публиковали. То есть с точки зрения пользователей уязвимостей и не было. А мне пофиг, я бабло получил и остальное меня не касается.
И я такой точно не один.
| | |
| |
| 4.55, penetrator (?), 13:11, 16/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
и лучше, чтобы у каждой был CVE, это сразу упрощает поиск и идентификацию, все-таки хоть кто-то обратил внимание и проанализировал суть уязвимости, плюс глобальные базы на проверки версий подверженности тем или иным CVE
| | |
|
|
|
| 1.23, Аноним (23), 10:16, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>Предполагается, что если не будут найдены альтернативные пути поддержания программы
Жить на пожертвования, оставив 10 человек.
| | |
| 1.35, Аноним (-), 10:54, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
А вот и последствия "смены власти".
Если предыдущие хотели избавиться от CVE путем внедрения более современных ЯП, то эти просто заметают под ковер.
Нет публикаций - нет CVE))
| | |
| |
| 2.50, Аноним (46), 12:08, 16/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Как раз, внедрением новых молодёжных ЯП хотели избавиться от CVE имено путём заметания: нет видимых проблем - нет CVE.
| | |
| 2.57, Аноним (57), 14:06, 16/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
А на этих CVE появились кучка паразитирующих бизнесов, предлагающих как бы софт для проверки кода на уязвимости. Который вместо действительно анализа кода просто триггерится на зависимости, к которым приписали какие-то номерки CVE. Безотносительно как эти зависимости задействованы в проекте. Но манагеры-то покупают, и ведутся, и разрабам бестолковых задачек накидывают..
| | |
| |
| 3.77, Аноним (76), 18:29, 16/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Разбираться как эти зависимости используются в проекте — прямая задача разработчиков, а не менеджеров или, тем более, вендоров. Менеджер — по крайней мере хороший, как я, например, — скажет разобраться как вон те уязвимости влияют на нашу безопасность, а не беги бегом апдейти всё вчера. И ответ может быть от «никак и вот почему» до «апдейт накачен, индикаторов взлома не обнаружено». А то, что тебе тасочек в джиру накидали, так тебе за них зарплатку платят. Не нравится — найди место где не накидывают, делов-то.
| | |
| |
| 4.83, Аноним (57), 20:17, 16/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Так разработчики без тебя и разбирутся. Если не соображаешь - то доверься команде, и не лезь с прикручичанием всяких автоматических валидаторов к проекту.
И да, манагеры "беги бегом апдейти всё вчера" не глядя - тоже встречаются.
| | |
| |
| 5.84, anonymous (??), 20:25, 16/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Программисты - самые ленивые хомячки в ИТ-индустрии. Пока не пнешь, не тыкнешь носом, не заставишь хотя бы в суть дела вникнуть - они и пальцем не поведут. Уж кому-кому, а программистам вопросы информационной безопасности доверять нельзя. Будешь доверять своей команде - они тебе на шею сядут и ножки свесят. Так что "беги бегом апдейти всё вчера, пока пайплан зеленым не станет".
| | |
|
|
|
| 2.58, Аноним (58), 14:34, 16/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Какие ещё последствия? Вы хотите поддерживать всякие программы, при этом не щедя денег налогоплательщиков США?
| | |
| |
| 3.59, freehck (ok), 14:47, 16/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Вы хотите поддерживать всякие программы, при этом не щедя денег налогоплательщиков США?
Да, хочу. Мне, как русскому человеку, совсем не жалко денег налогоплательщиков США. =)
| | |
|
|
| 1.52, Аноним (52), 12:12, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Опачки, новые оптимизации правительства от господина Илона Маска снова делают мир лучше!
| | |
| |
| 2.66, Аноним (66), 16:22, 16/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
ну конечно, а деньги на строительства в секторе газа откуда еще взять, 300 лярдов уже выделили.
| | |
|
| 1.56, PnD (??), 13:33, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Не, так-то уязвимости в базу тоже попадают.
Но там похоже давно поставили робот, тянущий в CVE коммиты со всяких git.kernel.org по каким-то признакам. Который кожаные мешки вообще проверять забили.
Вот вам немножко за 2025:
- CVE-2025-21646: Если есть AFS (и рутовые права), её можно повредить.
- CVE-2025-21678: Устройство GTP ("GPRS Tunneling Protocol") создаётся не в том namespace. Не эксплуатируемо, на мой взгляд.
- CVE-2025-21694: "Чтобы убить таракана, нужно его поймать и втереть под хвост наше патентованное средство." (Можно добиться softlockup, делая kdump.)
Ни "Vulnerability" ни "Exposure" как-то не наблюдается. Баги — да. Но не CVE.
| | |
| 1.61, Аноним (61), 15:11, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
>которое уже привело к увольнению более 400 сотрудников в этом месяце
А чем они собственно занимались?
| | |
| 1.74, Аноним (74), 17:09, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> которое уже привело к увольнению более 400 сотрудников в этом месяце
А обвиняют других в бюрократии...
| | |
| 1.82, myster (ok), 19:28, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Нужна международная база уязвимостей, например, на базе ООН или БРИКС. Это надежнее, чем какая-то организация спонсированная из бюджета отдельно взятой страны, они и некоторых бекдоров могут тупо специально не замечать, пока их носом не ткнут.
| | |
| |
| 2.93, Аноним (93), 20:51, 18/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
оон тоже как бы "организация спонсированная из бюджета отдельно взятой страны".
брикс это тоже тот ещё курятник где каждый тянет одеяло на себя.
Нет место получше. Было бы - давно бы свалили
| | |
| |
| 3.94, Аноним (93), 00:33, 19/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Да и смысл, интернет там изобрели и курируют. Кормят опять же.
"Таити, Таити, нас и тут неплохо кормят", как говорится)
| | |
| |
| 4.97, myster (ok), 14:35, 20/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
мы находимся на заре этой технологии, скорей всего будет все по-другому уже в ближайшем будущем
| | |
|
|
|
| 1.85, голос_из_леса (ok), 20:55, 16/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 https://en.wikipedia.org/wiki/Mitre_Corporation
>> In February 2020, MITRE launched SQUINT, a free app allowing election officials to report misinformation on social media;
Не конторка, а отдел спецслужб. Да еще и "нон-профит". Мда. Закрыли финансы за то что деньги отмывала и в политику лезла, но плакаться она будет о том, на что ее 0.01% бюджета шли.
| | |
| 1.95, Аноним (95), 16:53, 19/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как, снова свободные живут за чужой счёт и наченают верещат, кат только выясняется, что никто из них не делает то, за что так орёт на всех углах? :D
| | |
|
