The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от opennews (?), 05-Окт-15, 10:48 
В опубликованном (http://permalink.gmane.org/gmane.mail.opensmtpd.general/3009) на днях выпуске SMTP-сервера OpenSMTPD 5.7.2 (https://opensmtpd.org/), развиваемого под эгидой проекта OpenBSD и нацеленного на создание простой и безопасной замены Sendmail, представлены исправления, подготовленные по результатам проведённого компанией Qualys Security аудита безопасности кодовой базы, в ходе которого было выявлено несколько уязвимостей. В том числе обнаружены локальное переполнение буфера и удалённо эксплуатируемая use-after-free-уязвимость, которые потенциально могут привести к выполнению кода злоумышленника с правами пользователя smtpd вне chroot-окружения.

Интересно, что разработчики OpenBSD отказались (http://comments.gmane.org/gmane.mail.opensmtpd.general/3011) поменять на сайте (http://www.openbsd.org/) заявление о наличии только двух удалённо эксплуатируемых уязвимостях в базовой поставке OpenBSD за всю историю существования проекта. Отказ мотивирован тем, что  OpenSMTPD по умолчанию принимает соединения только от локальных пользователей системы и прикрепляется к сетевому интерфейсу loopback, что при настройках по умолчанию позволяет осуществить атаку только имея аккаунт в системе. В случае использования OpenSMTPD в качестве  SMTP-сервера, принимающего запросы извне, атака может быть совершена любым сторонним злоумышленником.


После этого, автор сообщения (http://comments.gmane.org/gmane.mail.opensmtpd.general/3011) с просьбой поменять фразу об уязвимостях  в OpenBSD, указал, что проведённый ранее аудит не охватил новые подсистемы OpenSMTPD, такие как модуль фильтрации контента, поэтому данная подсистема требует отдельного изучения. В качестве демонстрации, что проблемы OpenSMTPD  не ограничиваются исправленными уязвимостями, он опубликовал (http://seclists.org/oss-sec/2015/q4/25) информацию о потенциально эксплуатируемой проблеме, не исправленной в OpenSMTPD 5.7.2. Проблема позволяет осуществить переполнение буфера через передачу слишком заголовка, размером больше 65535 байт.


URL: http://comments.gmane.org/gmane.mail.opensmtpd.general/3011
Новость: http://www.opennet.dev/opennews/art.shtml?num=43090

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от grec (?), 05-Окт-15, 10:48 
Анализатором кода прошлись?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –7 +/
Сообщение от Аноним (-), 05-Окт-15, 12:17 
Боюсь, что если по коду ядра и базовой системы OpenBSD пройтись анализатором, большинство их разработчиков придется принудительно переквалифицировать в дворники.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

29. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от mma (?), 05-Окт-15, 17:24 
не бойся, пройдись.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

54. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Яро Ш. Я. (?), 06-Окт-15, 22:52 
не бугурть и пройдись сам, если фанбойство тебе мозги ещё не испортило
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

55. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от б.б. (?), 07-Окт-15, 06:37 
проходятся, не волнуйтесь
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

2. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –13 +/
Сообщение от manster (ok), 05-Окт-15, 11:07 
Казалось бы чего там искать - сервер слушает SMTP-порт, принимает текстовые команды ...

Никаких инъекций ...

Скорее всего проблема чудес в решете TCP-сервера ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +2 +/
Сообщение от Pahanivo (ok), 05-Окт-15, 13:05 
> Казалось бы чего там искать - сервер слушает SMTP-порт, принимает текстовые команды
> ...
> Никаких инъекций ...
> Скорее всего проблема чудес в решете TCP-сервера ...

)))))
ну во-первых как ты сам сказал сервер принимает команды - уже куча возможностей наклепать дыр с переполнением буфера и тд и тп.
а во-вторых сервак тело письма не просто транзитом гонит - он его еще как бы и обрабатывает ... читает и пишет ...

вообще глупым людям мир всегда кажется проще ))

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –3 +/
Сообщение от manster (ok), 05-Окт-15, 13:12 
читаем внимательно ... с выражением ... "казалось бы"
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

22. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +8 +/
Сообщение от www2 (ok), 05-Окт-15, 16:43 
Слышу! Слышу голос быдлокодера! Казалось бы, подумаешь - прямо из веб-формы данные подставляются в SQL-запрос... Казалось бы, подумаешь - какие-то "пинги" в OpenSSL проверяют доступность другой стороны... Казалось бы, подумаешь данные из заголовка веб-запроса передаются в CGI-скрипт как переменные окружения через bash... Казалось бы, подумаешь - перемножаем ширину картинки на высоту (получая целочисленное переполнение) и выделяем буфер под картинку...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

56. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (-), 08-Окт-15, 01:18 
Хороший, годный комментарий.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

47. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от Pahanivo (ok), 06-Окт-15, 07:12 
> читаем внимательно ... с выражением ... "казалось бы"

тихо, спокойно, принимаем лекарства и по палатам.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

41. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Anonplus (?), 05-Окт-15, 20:41 
А дело бывает не только в инъекциях. Вот пример того, как программа, написанная криворуким кодером, может спокойно отправить по сети то, что отправлять вообще никогда не планировалось
http://habrahabr.ru/company/abbyy/blog/127259/
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от anonymous (??), 05-Окт-15, 11:20 
> Казалось бы чего там искать - сервер слушает SMTP-порт, принимает текстовые команды ...

Дурилко, уязвимостей в разбиралках текстовых протоколов всегда больше. Просто сишечка никак не помогает при выделении кусков памяти произвольного размера, которые заранее неизвестны.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +4 +/
Сообщение от Crazy Alex (ok), 05-Окт-15, 11:29 
Вообще-то как с этим бороться - известно уже лет сорок. Полный отказ от буферов фиксированного размера, обработка функциями, принимающими длину буфера, переаллокация при нужде... И библиотек, которые всё это делают - вагон, если руками лень.

В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +3 +/
Сообщение от Аноним (-), 05-Окт-15, 12:19 
> В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские.

Да не, все закономерно. Это всегда так - чем больше показных понтов, тем меньше для них реальных оснований.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

67. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от st17 (ok), 08-Окт-15, 23:06 
Аноним:
"Да не, все закономерно. Это всегда так - чем больше показных понтов, тем меньше для них реальных оснований."

Аноним, приведите пожалуйста "реальные основания" обосновывающие ваше неуважительное сообщение?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

66. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от st17 (ok), 08-Окт-15, 22:53 
Crazy Alex:
"В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские."
Использовали ли вы индукцию?

Crazy Alex:
"Вообще-то как с этим бороться - известно уже лет сорок. Полный отказ от буферов фиксированного размера"


28.07.2015
"Критическая уязвимость в Android, позволяющая получить контроль через отправку MMS...
Причиной уязвимости является выход за границы буфера в библиотеке обработки мультимедийных данных"
http://www.opennet.dev/opennews/art.shtml?num=42677

Crazy Alex:
"И чего ради это проблема для людей на техническом форуме? наверняка патчи к прошивкам для большинства устройств появятся быстро"
http://www.opennet.dev/opennews/art.shtml?num=42677#21

Crazy Alex, чтобы вы написали в ответе на это сообщение?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +2 +/
Сообщение от www2 (ok), 05-Окт-15, 16:49 
Да-да, берём насплошь двоичную картинку, перемножаем ширину картинки на высоту и выделяем буфер. Не важно, что там целочисленное переполнение при перемножении случилось. Ни сишечка, ни один другой язык не может полностью заменить мозг. На что вы там молетесь? На жабку? Открываем список уязвимостей в жаба-машине, которая, на минуточку, тоже написана на жабе и видим ту же самую картину. А теперь открываем список уязвимостей Exim и Postfix и видим, как можно писать аккуратно без использования защитных мер, и видим как можно продумать архитектуру так, что защитные меры не позволяют воспользоваться потенциальными ошибками. Это результат использования мозга.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

40. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +2 +/
Сообщение от iZEN (ok), 05-Окт-15, 20:39 
> Открываем список уязвимостей в жаба-машине, которая, на минуточку, тоже написана на жабе

Внезапно Oracle JVM написана на C++.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

74. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (74), 29-Сен-19, 23:27 
> А теперь открываем список уязвимостей Exim и Postfix и видим, как можно писать аккуратно без использования защитных мер

Пишу из 2019 года. У нас теперь этот список уязвимостей Exim постоянно перед глазами.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

5. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +2 +/
Сообщение от Аноним (-), 05-Окт-15, 11:40 
Ой, они буфер разбора заголовка размещают в стэке. В cтэке! Где следом за этим буфером идёт указатель  возврата из функции.

static void
filter_tx_io(struct io *io, int evt)
{
        struct filter_session   *s = io->arg;
        size_t                   len, n;
        char                    *data;
        char                    buf[65535];


        switch (evt) {
        case IO_DATAIN:
                data = iobuf_data(&s->ibuf);
                len = iobuf_len(&s->ibuf);
                memmove(buf, data, len);
                buf[len] = 0;

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от Crazy Alex (ok), 05-Окт-15, 13:37 
Кхм, ну и код. С магическими константами, фиксированным буфером и отсутствием проверок. Стек - то ладно, дело такое, кучу портить - тоже не сахар.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

43. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от Wladmis (ok), 06-Окт-15, 00:53 
> Кхм, ну и код. С магическими константами, фиксированным буфером и отсутствием проверок. Стек - то ладно, дело такое, кучу портить - тоже не сахар.

Это 65535 магическая константа? И memmove нуждается в проверке?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

6. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +14 +/
Сообщение от angra (ok), 05-Окт-15, 11:40 
> Отказ мотивирован тем, что  OpenSMTPD по умолчанию принимает соединения только от
> локальных пользователей системы и прикрепляется к сетевому интерфейсу loopback, что при
> настройках по умолчанию позволяет осуществить атаку только имея аккаунт в системе.

Считаю это гениальным решением. Все сервисы по умолчанию вешать только на петлю и вот у нас волшебным образом получается неуязвимая для внешних атак ОС, можно хвалится всего двумя remote дырками за все время. А про то, что пользы от такой ОС ненамного больше, чем от полностью выключенного компа, можно скромно промолчать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +6 +/
Сообщение от Классический Анонимус (?), 05-Окт-15, 11:56 
Да, в общем-то это известно, что неломаемость ОпенБЗД это на самом деле неуловимость (того самого Джо).

Если в "мегабезопасном" OpenBSD нет например МАС, а в "дырявых" Linux/FreeBSD есть, то очень сложно найти этому внятное объяснение, кроме версии выше.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от Аноним (-), 05-Окт-15, 12:16 
> Если в "мегабезопасном" OpenBSD нет например МАС, а в "дырявых" Linux/FreeBSD есть,
> то очень сложно найти этому внятное объяснение, кроме версии выше.

Простое объяснение есть: фимозность некоего Тео.

В этом смысле он похож на некоего Марка: главное, побольше пиара, а что там на самом деле - никому не важно.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

68. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от st17 (ok), 08-Окт-15, 23:14 
angra:
> "Считаю это гениальным решением. Все сервисы по умолчанию вешать только на петлю и вот у нас волшебным образом получается неуязвимая для внешних атак ОС, можно хвалится всего двумя remote дырками за все время"

Очень остроумный комментарий?

angra, у вас есть фактические возражения по количеству уязвимостей?


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –5 +/
Сообщение от Классический Анонимус (?), 05-Окт-15, 11:51 
Непонятно зачем они в 2015 году пишут достаточно сложную прожку на СИ. Взяли бы сипипи! (пишу как жабист, понимающий, что жаба на данную задачу не подходит). Но на СИ писать - это просто клиника.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –2 +/
Сообщение от невидимка (?), 05-Окт-15, 12:05 
Клиника - это писать системные вещь на языке предназначенном для прикладного ПО.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (-), 05-Окт-15, 12:14 
Почтовик - это типа не системное ПО, а прикладное? Breaking news, однако.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +3 +/
Сообщение от antitroll (?), 05-Окт-15, 12:17 
smtpd и есть прикладное ПО, работает исключительно в userspace
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

24. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от www2 (ok), 05-Окт-15, 16:58 
> smtpd и есть прикладное ПО, работает исключительно в userspace

Нуачо, давайте тогда уж и ядро на C++ писать. Прикладное ПО - это ПО, с которым работает только непосредственно пользователь.

C smtpd работает не только пользователь, с ним программы работают, в том числе на других компьютерах - по сети. Все сетевые серверы, все suid-программы или программы, использующие всякие разные capabilities или имеющие прямой доступ к устройствам или драйверам устройств считаются системными. Программы, скачивающие ПО и проверяющие цифровые подписи у этого ПО, тоже можно считать системными. Компиляторы, компоновщики, загрузчики - тоже системное ПО, т.к. им собирают всё вышеозначенное - не хорошо будет, если в неуязвимые программы компилятор добавит закладки.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

37. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +3 +/
Сообщение от Аноним (-), 05-Окт-15, 20:14 
> Нуачо, давайте тогда уж и ядро на C++ писать.

Пробовали, каждый раз получалась какая-то хрень.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

61. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от www2 (ok), 08-Окт-15, 18:48 
>> Нуачо, давайте тогда уж и ядро на C++ писать.
> Пробовали, каждый раз получалась какая-то хрень.

Вы не понимаете иронии?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

48. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от angra (ok), 06-Окт-15, 08:59 
> Нуачо, давайте тогда уж и ядро на C++ писать.

Ядро работает в userspace? Или ты просто не знаешь что это такое? Ну и чисто для сведения, ядра, написанные на С++, существуют и вполне успешны.

> Прикладное ПО -
> это ПО, с которым работает только непосредственно пользователь.

Я правильно понимаю, что любая cli программа, например grep, это уже не прикладное ПО? Ведь с ней работают другие программы, а не только пользователь.

> C smtpd работает не только пользователь, с ним программы работают, в том
> числе на других компьютерах - по сети. Все сетевые серверы, все
> suid-программы или программы, использующие всякие разные capabilities или имеющие прямой
> доступ к устройствам или драйверам устройств считаются системными. Программы, скачивающие
> ПО и проверяющие цифровые подписи у этого ПО, тоже можно считать
> системными. Компиляторы, компоновщики, загрузчики - тоже системное ПО, т.к. им собирают
> всё вышеозначенное - не хорошо будет, если в неуязвимые программы компилятор
> добавит закладки.

Да, богато у тебя в голове намешано. Однострочник на перле или рубине, слушающий порт, уже системное ПО, поставил программе suid бит и магически из прикладной сделал ее системной, wget/curl/browser/любая_другая_качалка и md5sum тоже системными заделались. Ну и странно, что ты архиваторы и текстовые редакторы в системные не записал, а вдруг они тоже закладки сделают(про то, как закладки в твоем мозгу связаны с делением на системное и прикладное ПО, даже знать не хочу).

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

62. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от www2 (ok), 08-Окт-15, 19:05 
>> Нуачо, давайте тогда уж и ядро на C++ писать.
> Ядро работает в userspace? Или ты просто не знаешь что это такое?
> Ну и чисто для сведения, ядра, написанные на С++, существуют и
> вполне успешны.

Вы не понимаете иронии. Про ядра на C++ я наслышан и не сказал бы что они очень уж успешные. Работают, но популярными не стали. Ядро не работает в userspace - совершенно верно. Спич был ответом на фразу "Клиника - это писать системные вещь на языке предназначенном для прикладного ПО." Ну то есть высказавшийся намекает на то, что ядро написано на языке, предназначенном для прикладного ПО.

>> Прикладное ПО -
>> это ПО, с которым работает только непосредственно пользователь.
> Я правильно понимаю, что любая cli программа, например grep, это уже не
> прикладное ПО? Ведь с ней работают другие программы, а не только
> пользователь.

Потенциально - да. Если с grep работают программы, подходящие под другие определения системных, то grep тоже становится частью системы. Уязвимость в grep в таком случае опасна, т.к. может повлечь более серьёзные последствия, нежели текст "Segmentation fault" у пользователя в консольке.

>> C smtpd работает не только пользователь, с ним программы работают, в том
>> числе на других компьютерах - по сети. Все сетевые серверы, все
>> suid-программы или программы, использующие всякие разные capabilities или имеющие прямой
>> доступ к устройствам или драйверам устройств считаются системными. Программы, скачивающие
>> ПО и проверяющие цифровые подписи у этого ПО, тоже можно считать
>> системными. Компиляторы, компоновщики, загрузчики - тоже системное ПО, т.к. им собирают
>> всё вышеозначенное - не хорошо будет, если в неуязвимые программы компилятор
>> добавит закладки.
> Да, богато у тебя в голове намешано. Однострочник на перле или рубине,
> слушающий порт, уже системное ПО,

Да, потому как уязвимость в этом однострочнике помогает получить локальный доступ к системе. Эта уязвимость уже будет касаться не только того чела, который написал и запустил это чудо на компьютере, но и всех пользователей этого и других компьютеров. Спам, например, никто получать не желает.

> поставил программе suid бит и магически
> из прикладной сделал ее системной,

Друг мой любезный, для чего же по твоему существует suid бит, кроме того, как получить привилегии администратора системы? Прикладным программам не нужно, например, менять пароль пользователя root в файле /etc/shadows. На минутку - любая программа с suid битом обладает таким правом. Это точно прикладная программа?

> wget/curl/browser/любая_другая_качалка и md5sum тоже
> системными заделались.

Если используются для скачивания и установки пакетов в систему - да. Представь - пакет скачивается из репозитория, который защищён SSL-сертификатом. Программа, не корректно проверяющая сертификат (будь то wget или curl) позволяет подсунуть ей другой сайт с другими пакетами и PGP-ключами. Пакетный менеджер верит качалке и устанавливает поддельный PGP-ключ. md5sum при проверке поддельного пакета может сказать что всё ОК, даже если результат не совпал с контрольным. Вот уже не один пользователь под угрозой, а все пользователи всей системы. Или даже все пользователи большого количества систем, использующих скомпрометированный репозиторий.

> Ну и странно, что ты архиваторы и текстовые редакторы
> в системные не записал, а вдруг они тоже закладки сделают(про то,
> как закладки в твоем мозгу связаны с делением на системное и
> прикладное ПО, даже знать не хочу).

Кстати, уязвимость в tar или в разжималке (gunzip/bunzip2/...) тоже может поспособствовать компрометации системы. Тоже в результате не один пользователь может пострадать, а большое количество.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

27. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от www2 (ok), 05-Окт-15, 17:12 
> Клиника - это писать системные вещь на языке предназначенном для прикладного ПО.

Что за новости? Расскажи-ка тогда, на каком таком языке пишутся системные вещи, если не на Си? Посмеяться хочу.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

30. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –2 +/
Сообщение от Аноним (-), 05-Окт-15, 17:31 
Rust через лет 5.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

35. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (-), 05-Окт-15, 20:09 
Не взлетит.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

38. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (-), 05-Окт-15, 20:18 
Не у всех глаза сияют: переход с асма на си тоже не гладко шел.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от Аноним (-), 05-Окт-15, 20:24 
Не будет никакого перехода.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

44. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (-), 06-Окт-15, 02:27 
Вы еще предложите перейти с чистокровного Си на Обжектси...
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

50. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от fox_mulder (?), 06-Окт-15, 13:05 
который только для маков
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

57. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (-), 08-Окт-15, 01:32 
> который только для маков

Который уже всё, т.к. Swift...

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

63. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от www2 (ok), 08-Окт-15, 19:08 
> Rust через лет 5.

Ну ты понимаешь, что ты меня повеселил?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от клоун (?), 05-Окт-15, 18:27 
На любом. В Линуксе принят Си только потому, что Торвальдс не любит (не осилил) С++. МС пишет на С/С++ со времён Windows 95 OSR2.

Стоит напомнить, что язык Си был создан на базе языка Би, затем был создан язык Ди. И все они создавались компанией для внутренних нужд с целью упрощения программирования конкретных задач.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +2 +/
Сообщение от Аноним (-), 05-Окт-15, 20:11 
> МС пишет на С/С++ со времён Windows 95 OSR2.

Это очень, очень, (очень) плохая рекомендация.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

70. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от st17 (ok), 08-Окт-15, 23:39 
www2,

Пара примеров,
"Представлена операционная система Redox, написанная на языке Rust"
http://www.opennet.dev/opennews/art.shtml?num=43105

Оберон
https://ru.wikipedia.org/wiki/Оберон_(язык_программирования)

Что уж-там смеёмся!

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

25. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от www2 (ok), 05-Окт-15, 17:04 
> Непонятно зачем они в 2015 году пишут достаточно сложную прожку на СИ.
> Взяли бы сипипи! (пишу как жабист, понимающий, что жаба на данную
> задачу не подходит). Но на СИ писать - это просто клиника.

Ты, жабист, верно думаешь, что сипипи поддерживает уборку мусора, контроль выхода индекса за пределы массива и всякие ништяки типа работы со строками? Нет, братан, сипипи - это тот же си, только в профиль.

Си - небольшой, по нему уже есть обширная практика хождения по граблям. Опытный разработчик знает все грабли и пишет, обходя грабли. Опытным разработчиком на сипипи стать гораздо сложнее, т.к. язык сложнее, граблей больше - не по всем ещё прошлись, не все грабли в голове программиста умещаются.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

34. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Crazy Alex (ok), 05-Окт-15, 19:46 
Ты плюсы вообще видел?

std::string
std::vector
auto iter = v.begin()

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

64. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от www2 (ok), 08-Окт-15, 19:21 
> Ты плюсы вообще видел?
> std::string
> std::vector
> auto iter = v.begin()

Уборка мусора - это вот это вот?

Class * a = new Class;
...
delete a;

Контроль выхода за пределы индекса массива - это вот это вот?

Class * a = new Class;
Class b = a[1];

Какая кодировка - стандартная в C++? ASCII? UTF-8? В какой кодировке этот ваш std::string работает?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

69. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от st17 (ok), 08-Окт-15, 23:21 
> Непонятно зачем они в 2015 году пишут достаточно сложную прожку на СИ.
> Взяли бы сипипи! (пишу как жабист, понимающий, что жаба на данную
> задачу не подходит). Но на СИ писать - это просто клиника.

Классический Анонимус, чем в данном контексте С отличаетася от C++?

"Но на СИ писать - это просто клиника."
Повторите ли вы эти слова инженерам программы работавшим на марсоходом Curiosity?
https://en.wikipedia.org/wiki/Mars_Science_Laboratory


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +2 +/
Сообщение от Нимано (?), 05-Окт-15, 13:36 
> Интересно, что разработчики OpenBSD отказались поменять на сайте заявление о наличии только двух удалённо эксплуатируемых уязвимостях в базовой поставке OpenBSD за всю историю существования проекта.

Вообще-то это "классика":
http://www.coresecurity.com/content/open-bsd-advisorie
> 2007-02-20: First notification sent by Core.
> 2007-02-20: Acknowledgement of first notification received from the OpenBSD team.
> 2007-02-21: Core sends draft advisory and proof of concept code that demonstrates remote kernel panic.
> 2007-02-26: OpenBSD team develops a fix and commits it to the HEAD branch of source tree.
> 2007-02-26: OpenBSD team communicates that the issue is specific to OpenBSD. OpenBSD no longer uses the term "vulnerability" when referring to bugs that lead to a remote denial of service attack , as opposed to bugs that lead to remote control of vulnerable systems to avoid oversimplifying ("pablumfication") the use of the term.
> 2007-02-28: OpenBSD team indicates that the bug results in corruption of mbuf chains and that only IPv6 code uses that mbuf code, there is no user data in the mbuf header fields that become corrupted and it would be surprising to be able to run arbitrary code using a bug so deep in the mbuf code. The bug simply leads to corruption of the mbuf chain.

...
> 2007-03-05: Core develops proof of concept code that demonstrates remote code execution in the kernel context by exploiting the mbuf overflow.
> 2007-03-05: OpenBSD team notified of PoC availability.
> 2007-03-07: OpenBSD team commits fix to OpenBSD 4.0 and 3.9 source tree branches and releases a "reliability fix" notice on the project's website.
> 2007-03-08: Core sends final draft advisory to OpenBSD requesting comments and official vendor fix/patch information.
> 2007-03-09: OpenBSD team changes notice on the project's website to "security fix" and indicates that Core's advisory should reflect the requirement of IPv6 connectivity for a successful attack from outside of the local network.

Короче, такой цирк там уже давно.
Но, судя по комментариям, подход вполне действенный.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от клоун (?), 05-Окт-15, 18:23 
Этот "цирк" называется маркетингом.

Достаточно написать где-нибудь, что "мы считаем сбоями только случаи, по которым доказанные финансовые потери одного клиента составили не менее 1 млн.$" и можно писать, что у тебя за всё время было лишь 3 сбоя.

Аналогичным образом действует FSF, который переопределил понятие "свобода".

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

58. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от Аноним (-), 08-Окт-15, 01:34 
Как ни странно, соглашусь.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

73. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (-), 15-Окт-15, 10:48 
Угу, свобода по FSF это жизнь в ограничениях.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

19. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –8 +/
Сообщение от Kodir (ok), 05-Окт-15, 14:21 
"локальное переполнение буфера" Шёл 21 век...
Всё ещё находятся "не слишком умные" товарищи, пишущие на C/C++?? При том обилии языков и главное - безопасных платформ (.NET, Java) просто стыдно читать про такие "уязвимости" - это бестолковость, а не уязвимость!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +2 +/
Сообщение от клоун (?), 05-Окт-15, 14:33 
Ну были бы у ошибок другие названия - что кардинально это бы изменило? Причина ошибок не в ЯП, а в ошибках, допускаемых людьми.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +5 +/
Сообщение от Аноним (-), 05-Окт-15, 14:33 
> пишущие на C/C++??

Пишущие на C. На C, запомни это - не надо мешать эти языки в одну кучу ибо общего у них только синтаксис и легаси, а на C++ можно и очень просто писать безопасный код.

А вот .net/java не только не безопасней, но ещё намного тормозней.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

51. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от fox_mulder (?), 06-Окт-15, 13:08 
> А вот .net/java не только не безопасней, но ещё намного тормозней.

расскажешь, чем java не безопасней си?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

53. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +2 +/
Сообщение от Andrey Mitrofanov (?), 06-Окт-15, 13:48 
>> А вот .net/java не только не безопасней, но ещё намного тормозней.
> расскажешь, чем java не безопасней си?

В Си нет дырявой VM.  Очевидно.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

26. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от www2 (ok), 05-Окт-15, 17:08 
> "локальное переполнение буфера" Шёл 21 век...
> Всё ещё находятся "не слишком умные" товарищи, пишущие на C/C++?? При том
> обилии языков и главное - безопасных платформ (.NET, Java) просто стыдно
> читать про такие "уязвимости" - это бестолковость, а не уязвимость!

Человек из 21 века, расскажи ка нам про уязвимости в JVM и дотнете? Конечно, на этих платформах дураки от чего-то застрахованы, т.к. их квалификация хуже разработчиков JVM и дотнета, но для умных людей - это прямая дорога к уязвимостям. Какой бы надёжный код они не написали, а уязвимости в виртуальной машине все их усилия сведут на нет.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –2 +/
Сообщение от клоун (?), 05-Окт-15, 18:19 
Ещё один клоун...

Ты исходишь из собственной непогрешимости, списывая ошибки на платформу и других людей.

Непогрешимых людей нет. Косячат все. Одни говорят прямо, других тычут в какую-нибудь никчёмную строку ТЗ, переводят стрелки, кричат, или ведут себя так, словно их на горячую сковородку посадили. Что интересно, они себя ведут так даже когда наказания не последует. Уверовали в самих себя. В крайних формах они себя (иногда в окружении других людей, иногда нет) даже на рабочий стол ставят.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

65. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от www2 (ok), 08-Окт-15, 19:26 
> Ещё один клоун...
> Ты исходишь из собственной непогрешимости, списывая ошибки на платформу и других людей.
> Непогрешимых людей нет. Косячат все. Одни говорят прямо, других тычут в какую-нибудь
> никчёмную строку ТЗ, переводят стрелки, кричат, или ведут себя так, словно
> их на горячую сковородку посадили. Что интересно, они себя ведут так
> даже когда наказания не последует. Уверовали в самих себя. В крайних
> формах они себя (иногда в окружении других людей, иногда нет) даже
> на рабочий стол ставят.

Я не оспариваю тезис, что есть непогрешимые люди, которые никогда не допускают ошибок (хотя, может быть Кнут?) Я оспариваю, что одним лишь выбором "правильного" языка можно внезапно избавиться от всех ошибок, как думают некоторые:

>"локальное переполнение буфера" Шёл 21 век...
>Всё ещё находятся "не слишком умные" товарищи, пишущие на C/C++?? При том обилии языков и
>главное - безопасных платформ (.NET, Java) просто стыдно читать про такие "уязвимости" -
>это бестолковость, а не уязвимость!

Я за то, чтобы люди всегда думали своей головой, а не надеялись на волшебные средства, которые якобы защитят от всех ошибок.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

72. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от st17 (ok), 09-Окт-15, 00:13 
www2,
"Я оспариваю, что одним лишь выбором
"правильного" языка можно внезапно избавиться от всех ошибок, как думают некоторые"

В этой части согласен с вами, но стоит ли игнорировать возможность избавиться от некоторых?


Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

59. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от Аноним (-), 08-Окт-15, 01:36 
Давайте поговорим об ошибках в ядрах ОС и железе. Ошибки в VM и рядом не валялись.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

71. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от st17 (ok), 09-Окт-15, 00:03 
> "локальное переполнение буфера" Шёл 21 век...
> Всё ещё находятся "не слишком умные" товарищи, пишущие на C/C++??

http://www.opennet.dev/openforum/vsluhforumID3/104987.html#69

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

42. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +1 +/
Сообщение от Аноним (-), 05-Окт-15, 21:30 
пошла их пиар компания далеко и на долго.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  +/
Сообщение от Аноним (-), 08-Окт-15, 01:39 
> компания

Компания – это общество/фирма/организация/группа людей.
Кампания – это чреда действий/мероприятий с общей целью.

// Grammar Nazi

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

45. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от б.б. (?), 06-Окт-15, 03:26 
В самом OpenBSD эту проблему эксплуатировать реально? Или она затрагивает только "портовые версии"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от Wladmis (ok), 06-Окт-15, 03:51 
> В самом OpenBSD эту проблему эксплуатировать реально?

Уже нет:

http://ftp.openbsd.org/pub/OpenBSD/patches/5.7/common/017_sm...

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от б.б. (?), 06-Окт-15, 09:29 
Патч из cvs у меня накачен (на 5.8 -stable, как я понимаю, 5.8 -release так и выйдет с этой уязвимостью). Просто у нас столько техник по устранению подобных уязвимостей, что интересно вообще, может ли она работать в практических условиях.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

52. "В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявле..."  –1 +/
Сообщение от Wladmis (ok), 06-Окт-15, 13:36 
> Патч из cvs у меня накачен (на 5.8 -stable, как я понимаю,
> 5.8 -release так и выйдет с этой уязвимостью).

Верно. Нужно или на 5.8 тоже накатывать патчи, или собирать 5.8-stable.

> Просто у нас
> столько техник по устранению подобных уязвимостей, что интересно вообще, может ли
> она работать в практических условиях.

Вопрос практики, но ProPolice и остальные техники не панацея, так что не исключено.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру