The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в Haskell-реализации SSH"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в Haskell-реализации SSH"  +/
Сообщение от opennews on 22-Апр-15, 00:30 
Ошибка в Haskell-пакете ssh (http://hackage.haskell.org/package/ssh) привела к возможности (http://joyful.com/blog/2015-04-20-ssh-darcs-hub-vulnerabilit...) успешной аутентификации любого пользователя посредством его публичного (не приватного!) ключа. Haskell-реализация SSH, в частности, используется в darcsden (http://hackage.haskell.org/package/darcsden) для организации совместного доступа к репозиториям системы контроля версий Darcs. В связи с этим всем пользователям darcsden (в частности, пользователям онлайн-хранилища репозиториев Darcs Hub (http://hub.darcs.net/)) настоятельно рекомендуется проверить целостность и аутентичность своих репозиториев.


Хронология:

-  21.03: От стороннего разработчика получены сведения о проблеме с пакетом ssh: последний некорректно осуществлял проверку подписи публичного ключа во время аутентификации пользователя. Как результат, стало возможным пройти аутентификацию, зная лишь публичный SSH-ключ пользователя.-  21.03: Проблема обсуждается с рядом основных разработчиков Darcs, а также с автором Haskell-пакета ssh.-  25.03: Предварительное исправление вносится на Darcs Hub. Предполагается, что уязвимость уже была этим действием закрыта.-  06.04: Вносится более проработанное и протестированное исправление.-  15.04: Всем пользователям Darcs Hub, кто указал работоспособный адрес электронной почты, отправлены уведомления.-  20.04: Сведения об уязвимости публично раскрыты.

URL: http://joyful.com/blog/2015-04-20-ssh-darcs-hub-vulnerabilit...
Новость: http://www.opennet.dev/opennews/art.shtml?num=42083

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в Haskell-реализации SSH"  +5 +/
Сообщение от Анончег on 22-Апр-15, 00:30 
Haskel - это надёжно и молодёжно!

"Покупайте наших слонов!"(C)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Критическая уязвимость в Haskell-реализации SSH"  –1 +/
Сообщение от Аноним (??) on 22-Апр-15, 04:30 
> "Покупайте наших слонов!"(C)

К счастью, критичность этой проблемы несколько преувеличена. В том плане что найти сервер с этим - надо сильно постараться.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Критическая уязвимость в Haskell-реализации SSH"  +1 +/
Сообщение от Аноним (??) on 22-Апр-15, 09:20 
>> "Покупайте наших слонов!"(C)
> К счастью, критичность этой проблемы несколько преувеличена. В том плане что найти
> сервер с этим - надо сильно постараться.

Тем не менее, для тех, кто пользуется, проблема критична. Вопрос в подходе, как считать критичность — по общему количеству затронутых пользователей или по серьёзности возможных последствий. Обычно говорят всё же о втором, и я имел в виду именно второй вариант.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Критическая уязвимость в Haskell-реализации SSH"  –2 +/
Сообщение от Michael Shigorin email(ok) on 22-Апр-15, 13:17 
> Haskel - это надёжно и молодёжно!

Человеку, который не смог переписать семь букв -- хорошо бы задуматься над очередным примером того, что никакой инструмент не может за человека думать, писать, проверять...

Вдруг всё-таки на пользу окажется.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

32. "Критическая уязвимость в Haskell-реализации SSH"  +3 +/
Сообщение от Анончег on 22-Апр-15, 23:07 
Мишаня, поздравляю! Эк ты меня конкретно, а главное по делу, уел, молодец !
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

2. "Критическая уязвимость в Haskell-реализации SSH"  +3 +/
Сообщение от Аноним (??) on 22-Апр-15, 00:38 
Казалось бы, зачем писать тесты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Критическая уязвимость в Haskell-реализации SSH"  +/
Сообщение от Аноним (??) on 22-Апр-15, 10:22 
А они есть. Только не на все случаи, потому что всего тестов бесконечное количество, и написать их все невозможно. И на написание теста "невозможно пройти аутентификацию с публичным ключом без закрытого ключа" просто фантазии не хватило. Теперь-то он, конечно, будет, но вот будет ли там тест, например, "сервер не принимает свой собственный открытый/закрытый ключ в качестве мастер-ключа для всех пользователей"? По-хорошему надо бы и такой тест провести.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Критическая уязвимость в Haskell-реализации SSH"  +/
Сообщение от Аноним (??) on 22-Апр-15, 16:25 
Про sqlite слышали? Даже там находят дефекты и уязвимости (хотя бы недавний прогон его afl). Наличие тестов не показывает отсутствия дефектов.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

27. "Критическая уязвимость в Haskell-реализации SSH"  +1 +/
Сообщение от Michael Shigorin email(ok) on 22-Апр-15, 16:31 
> Наличие тестов не показывает отсутствия дефектов.

Собственно, наличие тестов помогает выявить присутствие дефектов. :)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

11. "Критическая уязвимость в Haskell-реализации SSH"  +/
Сообщение от Нанобот (ok) on 22-Апр-15, 09:10 
вот не написали бы новость с таким кричащим заголовком, я бы никогда и не узнал, что существует какой-то Darcs Hub
это типа такая реклама?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Критическая уязвимость в Haskell-реализации SSH"  +2 +/
Сообщение от Аноним (??) on 22-Апр-15, 09:16 
> вот не написали бы новость с таким кричащим заголовком, я бы никогда
> и не узнал, что существует какой-то Darcs Hub
> это типа такая реклама?

Нет. Я сам ни разу не хаскелист, но случай показался мне любопытным, а для кого-то, возможно, это будет важной новостью. Особенно в свете того, что мейнтейнер пакета ssh не сделал уведомление, поэтому пользователи этого пакета, если не пользуются darcsden — на Darcs Hub или ещё как — могут даже не знать о проблеме.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Критическая уязвимость в Haskell-реализации SSH"  –2 +/
Сообщение от Demo (??) on 22-Апр-15, 12:20 
> вот не написали бы новость с таким кричащим заголовком,
> я бы никогда и не узнал, что существует какой-то Haskell

//fixed

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Критическая уязвимость в Haskell-реализации SSH"  +1 +/
Сообщение от Михрютка (ok) on 22-Апр-15, 09:44 
демьянщики с их злощасным нерэндомным рэндомом могут вздохнуть свободно. следующие пять лет в пример будут ставить хаскелистов.

а все почему - "we are not cryptographers - I’m sure the new ssh maintainer would welcome any help from some of those."

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Критическая уязвимость в Haskell-реализации SSH"  +1 +/
Сообщение от Аноним (??) on 22-Апр-15, 12:24 
Если верить мейнтейнеру Haskell в OpenBSD, то пакет random, используемый всё тем же пакетом ssh, грешит тем же. :)
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Критическая уязвимость в Haskell-реализации SSH"  +2 +/
Сообщение от Аноним (??) on 22-Апр-15, 13:25 
Пожелаем Не Криптографам пишущим ssh, чтобы поезд которым они едут вел Не Машинист, чтобы стрелки переводил Не Диспетчер, чтобы таксист оказался Не Таксистом, чтобы пилот самолета был все непременно Не Пилотом, а хирург который их будет оперировать - Не Хирургом.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Критическая уязвимость в Haskell-реализации SSH"  +2 +/
Сообщение от Михрютка (ok) on 22-Апр-15, 13:53 
> а хирург который
> их будет оперировать - Не Хирургом.

ну так хирург уже занят, он пишет ck патчи к ядру :)


Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Критическая уязвимость в Haskell-реализации SSH"  +2 +/
Сообщение от Аноним (??) on 22-Апр-15, 13:58 
> ну так хирург уже занят, он пишет ck патчи к ядру :)

На самом деле он достаточно нормальный програмер. Кроме всего прочего он написал один из лучших майнеров *коинов в свое время, показав кучке питнистов и прочего сброда как нормальные люди пишут софт. И да, никакие законы природы не запрещают пилоту самолета разбираться в хирургии. Просто за работу стоит браться лишь при способности ее сделать качественно. Если некто совсем не разбирается в криптографии, он не сможет написать ssh без грубых ошибок.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "Критическая уязвимость в Haskell-реализации SSH"  +1 +/
Сообщение от arisu (ok) on 22-Апр-15, 19:05 
> Пожелаем Не Криптографам пишущим ssh, чтобы поезд которым они едут вел Не
> Машинист, чтобы стрелки переводил Не Диспетчер, чтобы таксист оказался Не Таксистом,
> чтобы пилот самолета был все непременно Не Пилотом, а хирург который
> их будет оперировать - Не Хирургом.

ну так иди и сам запили, Крутой Криптограф.

что? не Крутой и не Криптограф? и вообще тебе хаскель не нужен? а кому‐то нужен. и они за неимением гербовой вынуждены писать на простой. и честно сообщают, что они не настоящие сварщики, но были вынуждены.

к чему претензии, я не понял? к тому, что люди не ноют, ожидая Дара Богов, а пытаются решать проблемы с теми ресурсами что у них есть? странные претензии.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Критическая уязвимость в Haskell-реализации SSH"  +2 +/
Сообщение от Михрютка (ok) on 22-Апр-15, 21:00 
> ну так иди и сам запили, Крутой Криптограф.
> что? не Крутой и не Криптограф? и вообще тебе хаскель не нужен?
> а кому‐то нужен. и они за неимением гербовой вынуждены писать на
> простой. и честно сообщают, что они не настоящие сварщики, но были
> вынуждены.

"есть нюанс"(ТМ)

у меня на работе есть один такой некриптограф. его если носом в его говно потыкаешь, он заламывает руки и громко говорит: "Вы такие умные, берите и делайте лучше!"

проблема не в том, чтобы сделать лучше, чем он - это как раз нетрудно. проблема в том, что он же от этого говно делать не перестает.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Критическая уязвимость в Haskell-реализации SSH"  +1 +/
Сообщение от arisu (ok) on 22-Апр-15, 21:19 
ну так берите и делайте. а дурака увольте.

есть такое мнение, что те, кто терпят дурака в команде, недалеко от него ушли. если ушли вообще.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Критическая уязвимость в Haskell-реализации SSH"  +/
Сообщение от Михрютка (ok) on 23-Апр-15, 00:21 
> ну так берите и делайте. а дурака увольте.
> есть такое мнение, что те, кто терпят дурака в команде, недалеко от
> него ушли. если ушли вообще.

да я не то чтобы жалуюсь и спрашиваю совета, как быть, если чо. с такими, слава богу, давно научился справляться. я просто пример привожу.

я могу, например, шугануть дурака, чтобы он в мою ответственность не совался, и он не суется.

а вот как быть с дураком который дурак забесплатно.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Критическая уязвимость в Haskell-реализации SSH"  +1 +/
Сообщение от arisu (ok) on 23-Апр-15, 00:31 
> а вот как быть с дураком который дурак забесплатно.

сделать лучше. или не пользоваться тем, что он делает.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

20. "Критическая уязвимость в Haskell-реализации SSH"  –2 +/
Сообщение от Аноним (??) on 22-Апр-15, 13:34 
Вот так вот - юзать маргинальщину.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Критическая уязвимость в Haskell-реализации SSH"  +1 +/
Сообщение от Michael Shigorin email(ok) on 22-Апр-15, 13:42 
> Вот так вот - юзать маргинальщину.

Мне вот что интересно -- любящие всё подряд зачислять в таковую сами хоть что-то сделали пусть на три порядка менее, но востребованного, чем та "маргинальщина"?..

Те, кто руками да головой работает -- обычно стараются учиться на чужих ошибках.  А кто не работает -- ошибается в самом своём мировоззрении.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Критическая уязвимость в Haskell-реализации SSH"  +/
Сообщение от Аноним (??) on 22-Апр-15, 13:54 
Однако при всей невкусности его утверждения, есть и вполне валидный пойнт: малопопулярный софт хуже протестирован, поэтому там могут попадаться весьма брутальные баги.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Критическая уязвимость в Haskell-реализации SSH"  +/
Сообщение от Michael Shigorin email(ok) on 22-Апр-15, 14:01 
> Однако при всей невкусности его утверждения, есть и вполне валидный пойнт:

Не-а.  Тут если и говорить, то о двух сторонах медальки, как обычно.

> малопопулярный софт хуже протестирован,
> поэтому там могут попадаться весьма брутальные баги.

Использование "малопопулярного" софта на практике давно известно как один из слоёв защиты вроде той же security through obscurity: гарантии не даёт, но временные и прочие затраты на преодоление увеличивает.  Причём мне в своё время такую рекомендацию выдал один из людей, у которых *nix и учился -- весьма матёрый безопасник, среди прочего...

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

35. "Критическая уязвимость в Haskell-реализации SSH"  +/
Сообщение от КарМер on 24-Апр-15, 18:09 
И что сынку, помогла тебе серебрянная пуля ?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру