The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от opennews (ok) on 25-Янв-12, 12:20 
Несколько недавно найденных уязвимостей:


-  В корректирующем выпуске браузера Chrome 16.0.912.77 устранено (http://googlechromereleases.blogspot.com/2012/01/stable-chan...) 5 уязвимостей, из которых 4 помечены как опасные, а одна как критическая, т.е. позволяющая обойти все системы защиты и выполнить код злоумышленника на системе пользователя. Критическая уязвимость (http://code.google.com/p/chromium/issues/detail?id=107182) связана с обращением к уже освобождённой области памяти в режиме Safe Browsing;

-  В программе для генерации надёжных паролей pwgen (http://sourceforge.net/projects/pwgen) выявлена недоработка (http://www.openwall.com/lists/oss-security/2012/01/17/5) алгоритма, из-за которой примерно 6.5% из сгенерированных паролей легко восстанавливаются из хэша. Для восстановления из NTLM-хэша 6% паролей требуется всего две минуты, а для MD5 - около двух дней на обычном ПК c одноядерным CPU. Для 0.5% сгенерированных паролей NTLM-хэш можно подобрать за 1 сек...

URL:
Новость: http://www.opennet.dev/opennews/art.shtml?num=32890

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от yurkis (ok) on 25-Янв-12, 12:20 
Если я не ошибаюсь первая критическая уязвимость с удаленным выполнением кода в хроме?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 12:33 
> Если я не ошибаюсь первая критическая уязвимость с удаленным выполнением кода в хроме?

Третья или четвёртая, в прошлом году несколько точно было.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

42. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от XoRe (ok) on 25-Янв-12, 22:55 
> Если я не ошибаюсь первая критическая уязвимость с удаленным выполнением кода в
> хроме?

Если не ошибаюсь, не первая.
Гугль платит деньги тем, кто находит ошибки в хроме.
Где-то 1-2 тыс $.
Они уже выплатили несколько десятков тысяч долларов.
Чемпионом является наш соотечественник, который понаходил дыр на 50 тыс долларов)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +1 +/
Сообщение от Аноним (??) on 25-Янв-12, 12:54 
> в режиме Safe Browsing

Вот такой вот "safe browsing"...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  –5 +/
Сообщение от Аноним (??) on 25-Янв-12, 13:49 
Это всего лишь констатация факта (агрессивно отрицаемого сообществами), что никакой софт, в том числе свободный, не является безопасным by design, и уж, тем более, не является более безопасным, нежели проприетарный.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +3 +/
Сообщение от kuraga email(ok) on 25-Янв-12, 13:55 
Как математик говорю - вывод неверен ввиду неверного логического рассуждения :) Констатация факта изложена в новости,  там ни слова о проприетарном софте.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 14:00 
> вывод неверен ввиду неверного логического рассуждения

Давайте не будем путать логические выводы с троллячими вбросами :)
Вброс, в отличие от рассуждения, может содержать лишь видимость логичности (см. софистика).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Ваня (??) on 25-Янв-12, 14:51 
Т.е. как математик вы видите прямую связь между стоимостью продукта и количеством ошибок в нём?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +1 +/
Сообщение от kuraga email(ok) on 25-Янв-12, 15:07 
> Т.е. как математик вы видите прямую связь между стоимостью продукта и количеством
> ошибок в нём?

Прямую связь? Как математик? Никак нет. Как и не вижу опровержения этого.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от ig0r (??) on 25-Янв-12, 15:15 
Стоимость продукта отражает его качество, только не путайте стоимость продукта (которая может состоять не только из денег, но может измерятся в человекочасах и других ресурсах потраченных на изготовление продукта), и его цену (которая не всегда правильно отражает его стоимость).
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

32. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 17:58 
>  только не путайте стоимость продукта (которая может состоять не только из денег, но может измерятся в человекочасах

Человекочасы не всегда расходуются правильно. Они (как и другие ресурсы) часто уходят впустую, что совсем не улучшает качество продукта

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +1 +/
Сообщение от Sem (ok) on 25-Янв-12, 20:14 
Стоимость зачастую отражает не качество продукта, а наглость продавца.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

38. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +1 +/
Сообщение от Анон on 25-Янв-12, 20:44 
И бонусы эффективных менеджеров
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

48. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +1 +/
Сообщение от ig0r (??) on 26-Янв-12, 18:00 
> Стоимость зачастую отражает не качество продукта, а наглость продавца.

нет, это цена, может отражать наглость продавца.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Опасные уязвимости в Chrome, pwgen, Apache Struts,..."  +2 +/
Сообщение от arisu (ok) on 25-Янв-12, 20:50 
> Стоимость продукта отражает его качество

250 человек пол-года копали яму размером 5x5 метров. стоимость — ого-го. да и яма за пол-года превратилась в невесть что.

один человек за пол-дня выкопал такую же яму. стоимость — намного меньше. и не осыпалась.

итого, стоимость продукта действительно отражает качество: чем дешевле — тем качественней и быстрее.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

50. "Опасные уязвимости в Chrome, pwgen, Apache Struts,..."  +/
Сообщение от ig0r (??) on 26-Янв-12, 20:13 
в таком случае всё просто: ценность человекочаса одного пользователя превышает совокупную стоимость человекочасов 250 человек.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

12. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +2 +/
Сообщение от Аноним (??) on 25-Янв-12, 13:57 
> Это всего лишь констатация факта (агрессивно отрицаемого сообществами), что никакой софт,
> в том числе свободный, не является безопасным by design, и уж,
> тем более, не является более безопасным, нежели проприетарный.

Как раз тезис о более высокой безопасности свободного ПО по сравнению с проприетарным - блестяще подтверждается. Достаточно сравнить хромиум и IE :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  –1 +/
Сообщение от Ваня (??) on 25-Янв-12, 14:50 
Не вижу доказательств.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  –1 +/
Сообщение от kuraga email(ok) on 25-Янв-12, 14:59 
Пруфлинк не вспомню, но факт очевидный - исправления к дырам в ИЕ выпускаются далеко не сразу после обнаружения, в отличие от опенсорс.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  –1 +/
Сообщение от Ваня (??) on 25-Янв-12, 15:01 
Тогда, я думаю, не так уж и "блестяще"... ;)
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от kuraga email(ok) on 25-Янв-12, 15:09 
> Тогда, я думаю, не так уж и "блестяще"... ;)

Пруфлинк-то? В блоге мозиллы, с графиками были :)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  –3 +/
Сообщение от Ваня (??) on 25-Янв-12, 15:29 
Get the fact почитайте...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +1 +/
Сообщение от Аноним (??) on 25-Янв-12, 15:52 
Ваня найди уже себе нормальную работу :)
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 16:14 
> Ваня найди уже себе нормальную работу :)

Он уволится - напустят на нас другого сотрудника, не менее нищего и обозленного.
Работа есть, кто-то должен ее делать.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +1 +/
Сообщение от Crazy Alex (ok) on 25-Янв-12, 18:33 
Его (и клонов) просто надо явным образом игнорить. Лично у меня на его посты будет один ответ - "Здарвствуй, Ваня, новый Год". Серьёзно с ним разговаривать - себя не уважать.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

40. "Опасные уязвимости в Chrome, pwgen, Apache Struts,..."  +/
Сообщение от arisu (ok) on 25-Янв-12, 20:54 
> Его (и клонов) просто надо явным образом игнорить.

да ну, он смешной. а что дурачок — так должность обязывает.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

49. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Клыкастый2 on 26-Янв-12, 18:32 
> Его (и клонов) просто надо явным образом игнорить.

читаааать. он прелестен. если придуривается - то качественно. но в любом случае - смешно :D

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

28. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 16:10 
> Пруфлинк не вспомню, но факт очевидный - исправления к дырам в ИЕ
> выпускаются далеко не сразу после обнаружения, в отличие от опенсорс.

Далеко не все дыры в IE вообще закрываются. Один мой знакомый кидди как начал бэкдоры через дырку в IE7 засылать, так и до сих пор засылает, благо на IE8/9 тоже работает :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

35. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 18:37 
ну да.. особенно это видно из недавней новости об уязвимости в ядре, в которой сразу же было три ссылки на эксплоиты, и обещания что в большинстве дистрибутивах это исправят скоро.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +1 +/
Сообщение от Аноним (??) on 25-Янв-12, 18:45 
>  ну да.. особенно это видно из недавней новости об уязвимости в ядре, в которой сразу же было три ссылки на эксплоиты, и обещания что в большинстве дистрибутивах это исправят скоро.

И что характерно - таки исправили, в тот же день.

Вот когда такое происходит с проприетарным продуктом - вендор еще пару месяцев сидит с каменным лицом и делает вид, что все ок.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

41. "Опасные уязвимости в Chrome, pwgen, Apache Struts,..."  +/
Сообщение от arisu (ok) on 25-Янв-12, 20:57 
> ну да.. особенно это видно из недавней новости об уязвимости в ядре,
> в которой сразу же было три ссылки на эксплоиты, и обещания
> что в большинстве дистрибутивах это исправят скоро.

и исправили. а для тех, кто не хочет ждать пакетов — и вовсе патч в LKML был доступен. не подскажешь, где список рассылки разработчиков ядра шиндошс, например? и как мне собрать новое ядро (или win32k.sys) со свежими патчами из системы контроля версий/списка рассылки? никак? вот то-то и оно.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

27. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 16:06 
> Не вижу доказательств.

Снимите розовые очки, сразу увидите :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

43. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от XoRe (ok) on 25-Янв-12, 23:04 
> Это всего лишь констатация факта (агрессивно отрицаемого сообществами), что никакой софт,
> в том числе свободный, не является безопасным by design, и уж,
> тем более, не является более безопасным, нежели проприетарный.

Качественно - да, дырки есть, естественно.
Тут спор, если и возможен, то на уровне троллинга)

Но эти вещи можно оценить количественно.
Например:
- количество выявляенных дыр в продукте всего;
- количество выявленных дыр в продуктах за какой-то период;
- количество взломов какого-то продукта изза его дыр;
- общая статистика взломов этого продукта;
- урон от дырок в денежном эквиваленте (да-да, его тоже можно попробовать подсчитать).
- и т.д.

Количественные показатели легче сравнивать.
Особенно, если  их можно свести к денежному эквиваленту.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 13:48 
> В программе для генерации надёжных паролей pwgen выявлена недоработка алгоритма, из-за которой примерно 6.5% из сгенерированных паролей легко восстанавливаются из хэша.

cat /dev/random | uuencode -m - | head -n2 | tail -c16 рулит :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  –2 +/
Сообщение от Аноним (??) on 25-Янв-12, 13:50 
>> В программе для генерации надёжных паролей pwgen выявлена недоработка алгоритма, из-за которой примерно 6.5% из сгенерированных паролей легко восстанавливаются из хэша.
> cat /dev/random | uuencode -m - | head -n2 | tail -c16
> рулит :)

Если хэш коллизионный, то предложенное решение однозначно не рулит. Читать "Введение в криптографию" до просветления.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 13:55 
> Если хэш коллизионный, то предложенное решение однозначно не рулит. Читать "Введение в криптографию" до просветления.

Так мы о стойкости хешей или о предсказуемости паролей?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  –1 +/
Сообщение от Аноним (??) on 25-Янв-12, 14:04 
>> Если хэш коллизионный, то предложенное решение однозначно не рулит. Читать "Введение в криптографию" до просветления.
> Так мы о стойкости хешей или о предсказуемости паролей?

Непредсказуемый пароль взять нельзя, обладая достаточными ресурсами? При коллизионном хэше? Может, таки покуришь "Введение в криптографию"?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

29. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 16:13 
> При коллизионном хэше? Может, таки покуришь "Введение в криптографию"?

А в вашей версии "введения в криптографию" правда написано, что выбор метода генерации пароля однозначно определяет алгоритм, которым этот пароль впоследствии будет хэшироваться?
Отсыпьте и мне такого забористого, плз.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

31. "Опасные уязвимости в Chrome, pwgen, Apache Struts, OpenNMS, ..."  +/
Сообщение от Аноним (??) on 25-Янв-12, 17:54 
> Если хэш коллизионный, то предложенное решение однозначно не рулит. Читать "Введение в криптографию" до просветления.

Когда хэш дырявый, никакой пароль не спасет.

Но в новости, все-таки, речь об особых паролях, которые можно вскрыть даже при стойком хеше.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру