forum.opennet.ru - "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода" (36)

"Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода"	+/–
Сообщение от opennews (??), 18-Апр-25, 10:23
В библиотеке ssh, входящей в состав инструментария Erlang/OTP, выявлена уязвимость (CVE-2025-32433), позволяющая удалённо без прохождения аутентификации выполнить свой код на SSH-сервере, созданном с использованием уязвимой библиотеки. Проблема присвоен критический уровень опасности (10 из 10)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63099
Ответить \| Правка \| Cообщить модератору

Оглавление

На IoT, конечно, пофиксят дыру очень быстро нет , vantoo (ok), 10:51 , 18-Апр-25, (4) +11

В каком, нахрен IoT этот шланг вообще нашли Очередной вулн где при всем его 10 , Аноним (-), 16:27 , 18-Апр-25, (52)

Эрланг довольно нишевый инструмент Здесь кичатся матаном, но чаще это защита ни, Аноним (38), 13:17 , 18-Апр-25, (38) +4

Эрланг 8212 это не матан, эрланг 8212 это перекладывание пакетов в сложных, Аноним (39), 13:59 , 18-Апр-25, (39) +6

никто не перекидывает пакеты эрлангом, его используют для обработки сигнализацио, эксперт по всему (?), 23:30 , 18-Апр-25, (74)

Эликсир эдакая замена ноде И в плане производительности тоже Зато скалируется , Аноним (41), 14:31 , 18-Апр-25, (41) –1

Нет, это заблуждение, Аноним (48), 15:28 , 18-Апр-25, (48)

Мне сложно представить, кому ещё могут понадобиться функторы и монады Как резул, Аноним (41), 15:40 , 18-Апр-25, (49)

Так она и не должна, но кто-то это придумал и повторяет упорно , Аноним (48), 16:30 , 18-Апр-25, (54)
Наверное потому что это продвигают обычно - отбитые на всю бошку математики, кот, Аноним (-), 18:54 , 18-Апр-25, (69) +1

Забавно читать такое именно в этом топике Потому что конкретно эта бага как-раз, Пустотеев (ok), 15:49 , 19-Апр-25, (83) +1

Честно говоря - на обычный бэкдор похоже Очень уж тупой баг Или - взяли бы гото, Аноним (-), 23:14 , 21-Апр-25, (88)

Кому-кому, последователям теории множеств А монады есть много где Банально std , Нуину (?), 02:21 , 19-Апр-25, (75)

Логично, его даже создавали для телекомов Матан это было не только про расписыва, Аноним (-), 15:01 , 18-Апр-25, (44)

Потому что представьте себе Например мне нужно фичу в энном проекте 1 В проек, Аноним (-), 18:59 , 18-Апр-25, (71)

Жёстко Надеюсь, никого из сишников это не оскорбит , Аноним (48), 11:57 , 19-Апр-25, (82)

Вот вот Писать без абстракций - это жонглировать регистрами и указателями на ас, аноним43481234 (?), 18:37 , 20-Апр-25, (87) +1

В абстракциях главное - уметь вовремя остановиться Иначе бесконечность сожрет м, Аноним (-), 23:25 , 21-Апр-25, (90)

Большая часть сишников как раз просты и прямолинейны как рельса, сложные абстрак, Аноним (-), 23:22 , 21-Апр-25, (89)

А кто кичится , Нуину (?), 02:29 , 19-Апр-25, (77)

EVM, вообще-то, не такая уж и легковесная штуковина Кто и зачем стал бы вкорячи, YetAnotherOnanym (ok), 14:09 , 18-Апр-25, (40) +2
Классика бэкдоров для кода на безопасных ЯП Не нравятся бэкдоры Иди сам свою, Аноним (50), 15:59 , 18-Апр-25, (50) +1

Эрланг не позиционировался как безопасный , то есть исключающий возможность пис, YetAnotherOnanym (ok), 20:09 , 18-Апр-25, (73) +1
Ты не разобрался Это не типичный exec some_prog user_dirty_variable , Пустотеев (ok), 09:05 , 19-Апр-25, (79)

Нормальная такая ошибка p s а CVE то они как получили , Аноним (-), 16:16 , 18-Апр-25, (51)

Ну это же ssh, иначе как он без экзека, Аноним (62), 18:12 , 18-Апр-25, (62)

Через библиотеку 8230 А нет, сорян, это ж опенсорс, тут хорошо делать почти ни, Аноним (65), 18:23 , 18-Апр-25, (65)

Скрыто модератором, Пустотеев (ok), 09:40 , 19-Апр-25, (80)

Да я не про то, MITRE же - шатдаунили недавно Для оптимизации DOGE-коина , Аноним (-), 19:04 , 18-Апр-25, (72) –1

А хваленый Codepilot не смог найти Он же вроде подсказывать должен в пулл рекве, Нуину (?), 02:28 , 19-Апр-25, (76)

Эти AI, такие AI Пока его не пнёшь в нужном направлении, он может слона не за, Аноним (-), 08:01 , 19-Апр-25, (78)
Составлять правильные prompts это наука Уже сейчас этому начали обучать в том ж, Аноним (-), 20:33 , 19-Апр-25, (84)

Кризис будет экономический через 3 года примерно, вот что будет , Нуину (?), 23:16 , 19-Апр-25, (85) +1

Обоснуй, на каком основании , Аноним (86), 10:09 , 20-Апр-25, (86)

Если коротко, то анализ рыночных котировок , Нуину (?), 01:09 , 22-Апр-25, (91)

Автор я опять делаю работу за тебя Версия 25 вышла 2 years and 11 months ago 17, Аноним (81), 10:26 , 19-Апр-25, (81)

Сообщения [Сортировка по времени | RSS]

4. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +11 +/–

Сообщение от vantoo (ok), 18-Апр-25, 10:51

На IoT, конечно, пофиксят дыру очень быстро (нет).

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 18-Апр-25, 16:27

> На IoT, конечно, пофиксят дыру очень быстро (нет).
В каком, нахрен IoT этот шланг вообще нашли? Очередной вулн где при всем его 10 из 10 долбануть почти нечего. Какой-то кучке телефонистов, конечно, прилетит.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +4 +/–

Сообщение от Аноним (38), 18-Апр-25, 13:17

Эрланг довольно нишевый инструмент. Здесь кичатся матаном, но чаще это защита нишевости ("Мы не как все, у нас серьёзные технологии!"). Но по факту можно годами писать на Эрланге, не зная никакой сложной математики (если не лезть в distributed algorithms, но это проблема любой distributed-системы, хоть на Go, хоть на C++). Elixir вообще позиционируется как "дружелюбный" язык - и там те же возможности, но с приятным синтаксисом. Сложность Эрланга преувеличена - она не в математике, а в смене парадигмы.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +6 +/–

Сообщение от Аноним (39), 18-Апр-25, 13:59

Эрланг — это не матан, эрланг — это перекладывание пакетов в сложных сетях телекома.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от эксперт по всему (?), 18-Апр-25, 23:30

никто не перекидывает пакеты эрлангом, его используют для обработки сигнализационного трафика, которого мало

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." –1 +/–

Сообщение от Аноним (41), 18-Апр-25, 14:31

Эликсир эдакая замена ноде. И в плане производительности тоже. Зато скалируется хорошо. Но всё равно весьма специфично, большинство приложений не микросервисы. Матан это разве не про хаскел? Собственно, популярность хаскела вполне отражает востребованность подобного.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

48. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (48), 18-Апр-25, 15:28

>Матан это разве не про хаскел?
Нет, это заблуждение

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (41), 18-Апр-25, 15:40

>>Матан это разве не про хаскел?
> Нет, это заблуждение
Мне сложно представить, кому ещё могут понадобиться функторы и монады. Как результат, единственное применение у ЯП это DSL.
В таком случае, мне не понятно, почему любая функциональщина (вроде эрланга и эликсира) должна ассоциироваться с математикой. С ней может ассоциироваться разве что вольфрам. Ну и фортран при _очень_ большом желании, больше с ним делать нечего.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (48), 18-Апр-25, 16:30

>почему любая функциональщина должна ассоциироваться с математикой
Так она и не должна, но кто-то это придумал и повторяет упорно.

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +1 +/–

Сообщение от Аноним (-), 18-Апр-25, 18:54

> В таком случае, мне не понятно, почему любая функциональщина (вроде эрланга и
> эликсира) должна ассоциироваться с математикой.
Наверное потому что это продвигают обычно - отбитые на всю бошку математики, которым абстракции покруче дай, хлебом не корми. То что потом эти какахи майнтайнить вообще никто не хочет, ибо раскуривать полет мысли убер-гения всем просто лениво - их не парит. Зато это парит всех остальных - и получается характерный проект, где все эти навороты фигачит 1 человек. А когда ему надоедает, или на него падает автобус, или что там блин еще - проект как раз и оказывается заброшкой. Навечно.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

83. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +1 +/–

Сообщение от Пустотеев (ok), 19-Апр-25, 15:49

> ... которым абстракции покруче дай ...
> ... то что потом эти какахи майнтайнить вообще никто не хочет ...
Забавно читать такое именно в этом топике.
Потому что конкретно эта бага как-раз в куске, который делали как проще, избегали переусложнения. Но оказывается чтоб тут писать и меинтейнить надо было держать в голове все условия, в которых этот "простой" код запускается, что уже не так легко.
А вот хотя бы разделили бы код на две части - до аутентификации и после, усложнили бы, но уязвимость вообще бы не возникла.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 21-Апр-25, 23:14

> Потому что конкретно эта бага как-раз в куске, который делали как проще,
> избегали переусложнения. Но оказывается чтоб тут писать и меинтейнить надо было
> держать в голове все условия, в которых этот "простой" код запускается,
> что уже не так легко.
Честно говоря - на обычный бэкдор похоже. Очень уж тупой баг.
> А вот хотя бы разделили бы код на две части - до аутентификации и после,
> усложнили бы, но уязвимость вообще бы не возникла.
Или - взяли бы готовую либу от других и не выделывались бы. Если уж упрощать. Там такие детские баги - если и были то пофикшены сто лет назад. Но не, NIH покусал. И хорошо если только NIH, а не деньги от вон тех, например.

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Нуину (?), 19-Апр-25, 02:21

> Мне сложно представить, кому ещё могут понадобиться функторы и монады.
Кому-кому, последователям теории множеств)
А монады есть много где. Банально std::optional<T>::and_then (она даже в документации называется Monadic operations)

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

44. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 18-Апр-25, 15:01

> Эрланг довольно нишевый инструмент.
Логично, его даже создавали для телекомов.
> Здесь кичатся матаном, но чаще это защита нишевости ("Мы не как все, у нас серьёзные технологии!").
Матан это было не только про расписывать формулы Фурье и Вейерштрасса, а скорее обобщенные математические знания. Например комбинаторика.
И функциональная пардигма. Она многим взрывает мозг)
> Но по факту можно годами писать на Эрланге, не зная никакой сложной математики (если не лезть в distributed algorithms
А если лезть)?
> Elixir вообще позиционируется как "дружелюбный" язык
Вот и вы рассказывайте (с)
> Сложность Эрланга преувеличена - она не в математике, а в смене парадигмы.
Точно так же можно рассказать про хаскель.
Но что-то неосиляторов на порядок больше чем для какого-то ПХП или СИ.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

71. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 18-Апр-25, 18:59

> Точно так же можно рассказать про хаскель.
> Но что-то неосиляторов на порядок больше чем для какого-то ПХП или СИ.
Потому что представьте себе. Например мне нужно фичу в энном проекте.
1) В проекте 1 мне надо вгрузить в мою голову половину мозга кодера, чтобы сделать там даже самый маленький патчик на незначительную фичу, нужную лично мне.
2) В проекте 2 я могу просто пойти и сделать, решив свою проблему. Здесь и сейчас, за 5 минут.
Вопрос: что же я выберу? Неделями пыхтеть над крутыми абстракциями? Или пойти и сделать? Ну вы поняли. И вон тем, так то, тоже надо - решение задач, а не высокие концепции.

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (48), 19-Апр-25, 11:57

>1) В проекте 1 мне надо вгрузить в мою голову половину мозга кодера, чтобы сделать там даже самый маленький патчик на незначительную фичу, нужную лично мне.
Жёстко. Надеюсь, никого из сишников это не оскорбит.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +1 +/–

Сообщение от аноним43481234 (?), 20-Апр-25, 18:37

Вот вот. Писать без абстракций - это жонглировать регистрами и указателями на ассемблере.
Он без абстракций даже hello world не напишет, просто потому что ему придется отказаться от ядра, операционки, всех библиотек и концепций вроде переменных, констант и прочего.
Эти противники абстракций такие классные, так уверенно рассказывают что они не нужны, хотя без них давно уже ничего не способны сделать.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 21-Апр-25, 23:25

> Эти противники абстракций такие классные, так уверенно рассказывают что они не
> нужны, хотя без них давно уже ничего не способны сделать.
В абстракциях главное - уметь вовремя остановиться. Иначе бесконечность сожрет мозг, и ушедший в матрицу - будет навсегда потерян для всех остальных, соревнуясь с секундной стрелкой - и генеря "нечто", которое никому кроме него даром не упало.

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 21-Апр-25, 23:22

> Жёстко. Надеюсь, никого из сишников это не оскорбит.
Большая часть сишников как раз просты и прямолинейны как рельса, сложные абстракции надо сначала сгородить, так что они где-то в хвосте этого шит-парада.
Конечно и там можно найти что-нибудь этакое. Скажем GObject или что-то такое. Ну так GTK программы и дохнут только в путь, часто переписываясь на куть. Ибо если что-то такое хотелось, лучше уж сразу плюсы взять.
А вот плюсовики - таки могут конкретно разогнаться. Но это не сишка. И вот там можно уже откушать крутых и нестандартных абстракций. И те из програмеров кто не смог вовремя остановиться - познают все факапы хаскелистов и прочих эзотериков. Но обычно плюсеры все же более сбалансированы и понимат когда пора остановиться.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

77. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Нуину (?), 19-Апр-25, 02:29

> Здесь кичатся матаном
А кто кичится?

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

40. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +2 +/–

Сообщение от YetAnotherOnanym (ok), 18-Апр-25, 14:09

> например, на IoT-
EVM, вообще-то, не такая уж и легковесная штуковина. Кто и зачем стал бы вкорячивать её в контроллер со слабым процессором и ограниченным объёмом памяти - не могу себе представить.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +1 +/–

Сообщение от Аноним (50), 18-Апр-25, 15:59

>exec
Классика бэкдоров для кода на "безопасных" ЯП. Не нравятся бэкдоры? Иди сам свою собственную программу разрабатывай, со всеми зависимостями.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +1 +/–

Сообщение от YetAnotherOnanym (ok), 18-Апр-25, 20:09

Эрланг не позиционировался как "безопасный", то есть исключающий возможность писать с ошибками. Эрланг позиционировался как дающий возможность писать "неубиваемые" программы, способные тащить стопицот одновременных соединений. А накосячить в нём - легко, есть даже книжечка с обзором и разбором наиболее распространённых ошибок - "Erlang in anger".

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Пустотеев (ok), 19-Апр-25, 09:05

> Классика бэкдоров для кода на "безопасных" ЯП.
Ты не разобрался. Это не типичный exec("some_prog $user_dirty_variable")

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

51. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 18-Апр-25, 16:16

> Уязвимость вызвана ошибкой в коде разбора сообщений, из-за которой сообщения SSH_MSG_CHANNEL_REQUEST,
> допускающие выполнение команды "exec", обрабатывались на стадии до прохождения аутентификации.
Нормальная такая ошибка.
p.s. а CVE то они как получили? :)

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (62), 18-Апр-25, 18:12

Ну это же ssh, иначе как он без экзека

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (65), 18-Апр-25, 18:23

Через библиотеку… А нет, сорян, это ж опенсорс, тут хорошо делать почти никто не умеет, страдайте с exec тогда и скажите спасибо Тео.

Ответить | Правка | Наверх | Cообщить модератору

80. Скрыто модератором +/–

Сообщение от Пустотеев (ok), 19-Апр-25, 09:40

> это ж опенсорс, тут хорошо делать почти никто не умеет
Ахаха, теоретик. Лютое говно под NDA пишут намного чаще.

Во-первых, есть оправдание - "как заплатили, так и написал. Платите как сеньеру, тогда я постараюсь .."
Во-вторых ни один будущий работодатель этот код не увидит (NDA), а значит и не поймет какое кандидат говно порой пишет.
И в-третьих, там ревью всегда такое себе. У девелоперов свои таски есть чтоб в чужие вникать... Там скорее не ревью, а "тесты прошли, пойдет, хреначим дальше, дедлайн близко!"

А в опенсорсе больше причесывают и вылизывают, потому, что будущий работодатель может оценить тебя по этому коду, даже через 10 лет. Этот код будет как портфолио. И ревью там местами куда качественнее, потому что меинтейнерам легче отклонить что-то не то, чем потом доделывать за свое время. И похрен всем на твои дедлайны

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." –1 +/–

Сообщение от Аноним (-), 18-Апр-25, 19:04

> Ну это же ssh, иначе как он без экзека
Да я не про то, MITRE же - шатдаунили недавно? Для оптимизации DOGE-коина.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

76. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Нуину (?), 19-Апр-25, 02:28

> Примечательно, что по словам исследователя код был создан с использованием AI-ассистентов GPT-4, Cursor и Sonnet на основе анализа изменения с исправлением уязвимости
А хваленый Codepilot не смог найти? Он же вроде подсказывать должен в пулл реквестах.

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 19-Апр-25, 08:01

Эти AI, такие AI... Пока его не пнёшь в нужном направлении, он может слона не заметить.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (-), 19-Апр-25, 20:33

> А хваленый Codepilot не смог найти?
Составлять правильные prompts это наука. Уже сейчас этому начали обучать в том же Гарварде (пока что в факультативном режиме). А что будет через пару лет...

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

85. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +1 +/–

Сообщение от Нуину (?), 19-Апр-25, 23:16

>> А хваленый Codepilot не смог найти?
> А что будет через
> пару лет...
Кризис будет экономический через 3 года примерно, вот что будет.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (86), 20-Апр-25, 10:09

Обоснуй, на каком основании.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Нуину (?), 22-Апр-25, 01:09

> Обоснуй, на каком основании.
Если коротко, то анализ рыночных котировок.

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..." +/–

Сообщение от Аноним (81), 19-Апр-25, 10:26

Автор я опять делаю работу за тебя.
Версия 25 вышла 2 years and 11 months ago (17 May 2022).
Итого этот бэкдор не больше трех лет проработал.
Всё таки тысячи глаз видят что-то…

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+11 +/–
Сообщение от vantoo (ok), 18-Апр-25, 10:51
На IoT, конечно, пофиксят дыру очень быстро (нет).
Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (-), 18-Апр-25, 16:27
	> На IoT, конечно, пофиксят дыру очень быстро (нет). В каком, нахрен IoT этот шланг вообще нашли? Очередной вулн где при всем его 10 из 10 долбануть почти нечего. Какой-то кучке телефонистов, конечно, прилетит.
	Ответить \| Правка \| Наверх \| Cообщить модератору

38. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+4 +/–
Сообщение от Аноним (38), 18-Апр-25, 13:17
Эрланг довольно нишевый инструмент. Здесь кичатся матаном, но чаще это защита нишевости ("Мы не как все, у нас серьёзные технологии!"). Но по факту можно годами писать на Эрланге, не зная никакой сложной математики (если не лезть в distributed algorithms, но это проблема любой distributed-системы, хоть на Go, хоть на C++). Elixir вообще позиционируется как "дружелюбный" язык - и там те же возможности, но с приятным синтаксисом. Сложность Эрланга преувеличена - она не в математике, а в смене парадигмы.
Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+6 +/–
	Сообщение от Аноним (39), 18-Апр-25, 13:59
	Эрланг — это не матан, эрланг — это перекладывание пакетов в сложных сетях телекома.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от эксперт по всему (?), 18-Апр-25, 23:30
	никто не перекидывает пакеты эрлангом, его используют для обработки сигнализационного трафика, которого мало
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	–1 +/–
	Сообщение от Аноним (41), 18-Апр-25, 14:31
	Эликсир эдакая замена ноде. И в плане производительности тоже. Зато скалируется хорошо. Но всё равно весьма специфично, большинство приложений не микросервисы. Матан это разве не про хаскел? Собственно, популярность хаскела вполне отражает востребованность подобного.
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору


	48. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (48), 18-Апр-25, 15:28
	>Матан это разве не про хаскел? Нет, это заблуждение
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (41), 18-Апр-25, 15:40
	>>Матан это разве не про хаскел? > Нет, это заблуждение Мне сложно представить, кому ещё могут понадобиться функторы и монады. Как результат, единственное применение у ЯП это DSL. В таком случае, мне не понятно, почему любая функциональщина (вроде эрланга и эликсира) должна ассоциироваться с математикой. С ней может ассоциироваться разве что вольфрам. Ну и фортран при _очень_ большом желании, больше с ним делать нечего.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (48), 18-Апр-25, 16:30
	>почему любая функциональщина должна ассоциироваться с математикой Так она и не должна, но кто-то это придумал и повторяет упорно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+1 +/–
	Сообщение от Аноним (-), 18-Апр-25, 18:54
	> В таком случае, мне не понятно, почему любая функциональщина (вроде эрланга и > эликсира) должна ассоциироваться с математикой. Наверное потому что это продвигают обычно - отбитые на всю бошку математики, которым абстракции покруче дай, хлебом не корми. То что потом эти какахи майнтайнить вообще никто не хочет, ибо раскуривать полет мысли убер-гения всем просто лениво - их не парит. Зато это парит всех остальных - и получается характерный проект, где все эти навороты фигачит 1 человек. А когда ему надоедает, или на него падает автобус, или что там блин еще - проект как раз и оказывается заброшкой. Навечно.
	Ответить \| Правка \| К родителю #49 \| Наверх \| Cообщить модератору


	83. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+1 +/–
	Сообщение от Пустотеев (ok), 19-Апр-25, 15:49
	> ... которым абстракции покруче дай ... > ... то что потом эти какахи майнтайнить вообще никто не хочет ... Забавно читать такое именно в этом топике. Потому что конкретно эта бага как-раз в куске, который делали как проще, избегали переусложнения. Но оказывается чтоб тут писать и меинтейнить надо было держать в голове все условия, в которых этот "простой" код запускается, что уже не так легко. А вот хотя бы разделили бы код на две части - до аутентификации и после, усложнили бы, но уязвимость вообще бы не возникла.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (-), 21-Апр-25, 23:14
	> Потому что конкретно эта бага как-раз в куске, который делали как проще, > избегали переусложнения. Но оказывается чтоб тут писать и меинтейнить надо было > держать в голове все условия, в которых этот "простой" код запускается, > что уже не так легко. Честно говоря - на обычный бэкдор похоже. Очень уж тупой баг. > А вот хотя бы разделили бы код на две части - до аутентификации и после, > усложнили бы, но уязвимость вообще бы не возникла. Или - взяли бы готовую либу от других и не выделывались бы. Если уж упрощать. Там такие детские баги - если и были то пофикшены сто лет назад. Но не, NIH покусал. И хорошо если только NIH, а не деньги от вон тех, например.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Нуину (?), 19-Апр-25, 02:21
	> Мне сложно представить, кому ещё могут понадобиться функторы и монады. Кому-кому, последователям теории множеств) А монады есть много где. Банально std::optional<T>::and_then (она даже в документации называется Monadic operations)
	Ответить \| Правка \| К родителю #49 \| Наверх \| Cообщить модератору


	44. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (-), 18-Апр-25, 15:01
	> Эрланг довольно нишевый инструмент. Логично, его даже создавали для телекомов. > Здесь кичатся матаном, но чаще это защита нишевости ("Мы не как все, у нас серьёзные технологии!"). Матан это было не только про расписывать формулы Фурье и Вейерштрасса, а скорее обобщенные математические знания. Например комбинаторика. И функциональная пардигма. Она многим взрывает мозг) > Но по факту можно годами писать на Эрланге, не зная никакой сложной математики (если не лезть в distributed algorithms А если лезть)? > Elixir вообще позиционируется как "дружелюбный" язык Вот и вы рассказывайте (с) > Сложность Эрланга преувеличена - она не в математике, а в смене парадигмы. Точно так же можно рассказать про хаскель. Но что-то неосиляторов на порядок больше чем для какого-то ПХП или СИ.
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору


	71. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (-), 18-Апр-25, 18:59
	> Точно так же можно рассказать про хаскель. > Но что-то неосиляторов на порядок больше чем для какого-то ПХП или СИ. Потому что представьте себе. Например мне нужно фичу в энном проекте. 1) В проекте 1 мне надо вгрузить в мою голову половину мозга кодера, чтобы сделать там даже самый маленький патчик на незначительную фичу, нужную лично мне. 2) В проекте 2 я могу просто пойти и сделать, решив свою проблему. Здесь и сейчас, за 5 минут. Вопрос: что же я выберу? Неделями пыхтеть над крутыми абстракциями? Или пойти и сделать? Ну вы поняли. И вон тем, так то, тоже надо - решение задач, а не высокие концепции.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (48), 19-Апр-25, 11:57
	>1) В проекте 1 мне надо вгрузить в мою голову половину мозга кодера, чтобы сделать там даже самый маленький патчик на незначительную фичу, нужную лично мне. Жёстко. Надеюсь, никого из сишников это не оскорбит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	87. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+1 +/–
	Сообщение от аноним43481234 (?), 20-Апр-25, 18:37
	Вот вот. Писать без абстракций - это жонглировать регистрами и указателями на ассемблере. Он без абстракций даже hello world не напишет, просто потому что ему придется отказаться от ядра, операционки, всех библиотек и концепций вроде переменных, констант и прочего. Эти противники абстракций такие классные, так уверенно рассказывают что они не нужны, хотя без них давно уже ничего не способны сделать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (-), 21-Апр-25, 23:25
	> Эти противники абстракций такие классные, так уверенно рассказывают что они не > нужны, хотя без них давно уже ничего не способны сделать. В абстракциях главное - уметь вовремя остановиться. Иначе бесконечность сожрет мозг, и ушедший в матрицу - будет навсегда потерян для всех остальных, соревнуясь с секундной стрелкой - и генеря "нечто", которое никому кроме него даром не упало.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (-), 21-Апр-25, 23:22
	> Жёстко. Надеюсь, никого из сишников это не оскорбит. Большая часть сишников как раз просты и прямолинейны как рельса, сложные абстракции надо сначала сгородить, так что они где-то в хвосте этого шит-парада. Конечно и там можно найти что-нибудь этакое. Скажем GObject или что-то такое. Ну так GTK программы и дохнут только в путь, часто переписываясь на куть. Ибо если что-то такое хотелось, лучше уж сразу плюсы взять. А вот плюсовики - таки могут конкретно разогнаться. Но это не сишка. И вот там можно уже откушать крутых и нестандартных абстракций. И те из програмеров кто не смог вовремя остановиться - познают все факапы хаскелистов и прочих эзотериков. Но обычно плюсеры все же более сбалансированы и понимат когда пора остановиться.
	Ответить \| Правка \| К родителю #82 \| Наверх \| Cообщить модератору


	77. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Нуину (?), 19-Апр-25, 02:29
	> Здесь кичатся матаном А кто кичится?
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору

40. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+2 +/–
Сообщение от YetAnotherOnanym (ok), 18-Апр-25, 14:09
> например, на IoT- EVM, вообще-то, не такая уж и легковесная штуковина. Кто и зачем стал бы вкорячивать её в контроллер со слабым процессором и ограниченным объёмом памяти - не могу себе представить.
Ответить \| Правка \| Наверх \| Cообщить модератору

50. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+1 +/–
Сообщение от Аноним (50), 18-Апр-25, 15:59
>exec Классика бэкдоров для кода на "безопасных" ЯП. Не нравятся бэкдоры? Иди сам свою собственную программу разрабатывай, со всеми зависимостями.
Ответить \| Правка \| Наверх \| Cообщить модератору


	73. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+1 +/–
	Сообщение от YetAnotherOnanym (ok), 18-Апр-25, 20:09
	Эрланг не позиционировался как "безопасный", то есть исключающий возможность писать с ошибками. Эрланг позиционировался как дающий возможность писать "неубиваемые" программы, способные тащить стопицот одновременных соединений. А накосячить в нём - легко, есть даже книжечка с обзором и разбором наиболее распространённых ошибок - "Erlang in anger".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Пустотеев (ok), 19-Апр-25, 09:05
	> Классика бэкдоров для кода на "безопасных" ЯП. Ты не разобрался. Это не типичный exec("some_prog $user_dirty_variable")
	Ответить \| Правка \| К родителю #50 \| Наверх \| Cообщить модератору

51. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
Сообщение от Аноним (-), 18-Апр-25, 16:16
> Уязвимость вызвана ошибкой в коде разбора сообщений, из-за которой сообщения SSH_MSG_CHANNEL_REQUEST, > допускающие выполнение команды "exec", обрабатывались на стадии до прохождения аутентификации. Нормальная такая ошибка. p.s. а CVE то они как получили? :)
Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (62), 18-Апр-25, 18:12
	Ну это же ssh, иначе как он без экзека
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
	Сообщение от Аноним (65), 18-Апр-25, 18:23
	Через библиотеку… А нет, сорян, это ж опенсорс, тут хорошо делать почти никто не умеет, страдайте с exec тогда и скажите спасибо Тео.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	80. Скрыто модератором	+/–
	Сообщение от Пустотеев (ok), 19-Апр-25, 09:40
	> это ж опенсорс, тут хорошо делать почти никто не умеет Ахаха, теоретик. Лютое говно под NDA пишут намного чаще. Во-первых, есть оправдание - "как заплатили, так и написал. Платите как сеньеру, тогда я постараюсь .." Во-вторых ни один будущий работодатель этот код не увидит (NDA), а значит и не поймет какое кандидат говно порой пишет. И в-третьих, там ревью всегда такое себе. У девелоперов свои таски есть чтоб в чужие вникать... Там скорее не ревью, а "тесты прошли, пойдет, хреначим дальше, дедлайн близко!" А в опенсорсе больше причесывают и вылизывают, потому, что будущий работодатель может оценить тебя по этому коду, даже через 10 лет. Этот код будет как портфолио. И ревью там местами куда качественнее, потому что меинтейнерам легче отклонить что-то не то, чем потом доделывать за свое время. И похрен всем на твои дедлайны
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	–1 +/–
	Сообщение от Аноним (-), 18-Апр-25, 19:04
	> Ну это же ssh, иначе как он без экзека Да я не про то, MITRE же - шатдаунили недавно? Для оптимизации DOGE-коина.
	Ответить \| Правка \| К родителю #62 \| Наверх \| Cообщить модератору

76. "Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённо..."	+/–
Сообщение от Нуину (?), 19-Апр-25, 02:28
> Примечательно, что по словам исследователя код был создан с использованием AI-ассистентов GPT-4, Cursor и Sonnet на основе анализа изменения с исправлением уязвимости А хваленый Codepilot не смог найти? Он же вроде подсказывать должен в пулл реквестах.
Ответить \| Правка \| Наверх \| Cообщить модератору