The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Фонд СПО указал, что процесс устранения уязвимости в bash по..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от opennews (??) on 26-Сен-14, 22:00 
Фонд свободного ПО опубликовал (http://www.fsf.org/news/free-software-foundation-statement-o...) заявление, в связи с выявлением критической уязвимости (http://www.opennet.dev/opennews/art.shtml?num=40667) в GNU Bash. В заявлении отмечено, что свободный характер проекта позволил обеспечить оперативное устранение уязвимости в дистрибутивах, многие из которых сумели выпустить обновления не дожидаясь реакции разработчиков проблемного ПО. Свободная лицензия и доступность кода дали возможность компании Red Hat, получившей информацию о проблеме на раннем этапе её обнаружения, оперативно самостоятельно подготовить патчи, поделиться ими с разработчиками Bash и распространить их среди пользователей и команд разработчиков других дистрибутивов.


В условиях, когда любое программное обеспечение может содержать ошибки, независимо от того свободным или проприетарным оно является, свободное ПО создаёт большие предпосылки для обеспечения безопасности, так как оно предоставляет любому возможность изучить код, а если будет найдена уязвимость подготовить безопасный вариант   и немедленно поделиться решением с другими пользователями. В случае проприетарного ПО неизбежно бы потребовалось  дополнительное время, из-за необходимости ожидания реакции от производителя и получения обновлений через официальные каналы.


URL: http://www.fsf.org/news/free-software-foundation-statement-o...
Новость: http://www.opennet.dev/opennews/art.shtml?num=40686

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –36 +/
Сообщение от Аноним (??) on 26-Сен-14, 22:00 
Ох уж этот фонд СПО.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +29 +/
Сообщение от Аноним (??) on 26-Сен-14, 22:40 
Ну а что, нормально сработали. За примерно сутки 2 итерации фикса приехало. Это вам не какой-нибудь MS где месяц бы осла за уши тянули.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +5 +/
Сообщение от Карбофос (ok) on 27-Сен-14, 02:29 
m$ не только на поприще критических уязвимостей хромает на обе нижние конечности, даже виноватых в ошибках драйверов долго не сыскать.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +5 +/
Сообщение от Аноним (??) on 27-Сен-14, 09:05 
> даже виноватых в ошибках драйверов долго не сыскать.

А с драйверами у них перманентная ж...! В линухе были прецеденты успешной починки багов на которые я нарвался. В винде такого не случилось ни разу. Как мне больше нравится - ну вы поняли. Я за живых разработчиков которые чинят свои ляпы, а не корпоративную стену из бакланов первой линии саппорта, выдающих стандартные отписки.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

37. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +3 +/
Сообщение от cmp (ok) on 27-Сен-14, 15:51 
> а не корпоративную стену из бакланов первой линии саппорта

О да, 1-2 линия саппорта приравнивается к 9 кругам ада.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

40. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 27-Сен-14, 20:07 
> О да, 1-2 линия саппорта приравнивается к 9 кругам ада.

Ну, понимаешь, с открытым драйвером я могу просто пойти да попинать живого разработчика, если понимаю где проблема. И если не прислать фикс, так хотя-бы показать нормальную диагностику, а если чего-то не хватило - получить по макушке и не отходя от кассы собрать.

Есть некая разница: потратить на взаимодействие полчаса или полгода. И да, я участвовал в разработке проприетарного софта и получше вашего в курсе как это все выглядит. Не желаю для себя такой участи, извините. Да и для других тоже.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

51. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –5 +/
Сообщение от клоун on 28-Сен-14, 00:04 
Ваше (не лично ваше, а вообще) "могу" уже надоело. Ничего вы не можете!

В итоге стоит какая-нибудь ---ня размером 10-100 метров сырца и чёрт его знает что с ней делать. Выбьешь здесь кирпич - там полбашни развалится. "Я могу разобраться!" - можешь, можешь, малыш, годка за 3-4, но ждать пока ты разберёшься в их бы-локоде никто не будет; да и быстрее написать своё г--но, чем разобраться в этом.

Прислать фикс, произвести диагностику - то же самое. Кто платит? Или ты своё время будешь тратить? Сколько уже потратил? Говорят, после 1000 часов имеешь право называться мастером, у тебя сколько? Сдаётся, что такое же "могу".

Я уже давно приравнял "хочу" и "делаю", но с каждым месяцем я всё ближе к тому, чтобы приравнять "могу сделать" и "делаю".

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

52. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +3 +/
Сообщение от ы on 28-Сен-14, 10:12 
>Ничего вы не можете!

ты по себе не суди-то

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

53. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +1 +/
Сообщение от XoRe (ok) on 28-Сен-14, 11:25 
> Прислать фикс, произвести диагностику - то же самое. Кто платит? Или ты
> своё время будешь тратить? Сколько уже потратил? Говорят, после 1000 часов
> имеешь право называться мастером, у тебя сколько? Сдаётся, что такое же
> "могу".

Ну на винде же тратим время на изучение дампов в BlueScreenView и прочих.
В linux скопипастить kernel panic или запустить gdb/strace значительно проще.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

2. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +21 +/
Сообщение от Sluggard (ok) on 26-Сен-14, 22:04 
А что тут подчёркивать? Все и так всё понимают. Ну, кроме упоротых вендофанов, вендотроллей на полставки, и прочих наркоманов и идиотов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +9 +/
Сообщение от A.Stahl (ok) on 26-Сен-14, 22:50 
Идиоты тоже не полностью потеряны для общества. Объяснить и убедить их, конечно, невозможно, но если долго что-то повторять, то они начинают в это верить. И пусть лучше FSF повторяет, чем... ладно, хрен с ней, с политикой...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

54. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от XoRe (ok) on 28-Сен-14, 11:25 
> но если долго что-то повторять, то они начинают в это верить.

Если бить палкой, верить начинают быстрее.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –6 +/
Сообщение от Int on 27-Сен-14, 09:18 
Особенно доставляют идиоты кричащие что раз есть возможность исправить, значит всевозможные ошибки уже исправлены и следовательно открытый код качественней.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

55. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от XoRe (ok) on 28-Сен-14, 11:26 
> Особенно доставляют идиоты

Не общайтесь с идиотами

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

4. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +2 +/
Сообщение от Аноним (??) on 26-Сен-14, 22:21 
Кроме того, процесс устранения уязвимости выявил немощь зажравшегося интерпрайза с микрософтом во главе в оперативном реагировании на проблемы, решённые сообществом свободного ПО.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +1 +/
Сообщение от Аноним (??) on 27-Сен-14, 00:46 
Шапка тырпрайз и ниче, резвая.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

42. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 27-Сен-14, 20:09 
> Шапка тырпрайз и ниче, резвая.

А шапка одна из немногих энтерпрайзов которые смогли нормально интегрироваться в открытые процессы как их составная часть а не пудовая гиря на ногах.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

57. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –2 +/
Сообщение от Аноним (??) on 28-Сен-14, 12:35 
шапка и есть зажравшийся тырпрайз, который дольше всех второй фикс выкладывал, небось у них совещание было по вопросам эффективности инвестиций и волатильности рынка, тестировать уже готовый патч было некому.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

58. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +1 +/
Сообщение от Andrey Mitrofanov on 28-Сен-14, 13:23 
> шапка и есть зажравшийся тырпрайз, который дольше всех второй фикс выкладывал, небось
> у них совещание было по вопросам эффективности инвестиций и волатильности рынка,
> тестировать уже готовый патч было некому.

""[...]allowed Red Hat to develop and share patches in conjunction with Bash upstream developers efforts to fix the bug, which anyone can download and apply themselves.

   FSF, вверху.

+++Пожиратели блобов должны! %)))

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

59. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 29-Сен-14, 12:09 
думаю, надо на убунту переезжать
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

6. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 26-Сен-14, 22:26 
На фоне того, что по примерным оценкам эта дыра существовала лет 5 и одному богу известно, кто про нее знал и молчал (а ведь Сноуден рассказывал, что в АНБ есть специальный отдел, который занят исключительно поиском дыр в открытом ПО) - эта оперативность особой роли не играет...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +5 +/
Сообщение от Дмитрий (??) on 26-Сен-14, 23:28 
Эх, жаль, то у АНБ нет такого же отдела для проприетарного ПО. А х да, точно, он есть. На фоне того, что по примерным оценкам около 146% дыр в проприетарном ПО так и не были обнаружены никем, кроме АНБ - эта опиративность играет весомую роль.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 27-Сен-14, 01:39 
У мелкософта с АНБ любовь и дружба - неразлейвода (совместные конференции, мутные скандалы с ослаблением шифрования и проч.) надо думать - не за просто так. Сколько там пока еще не известных бэкдоров Большому брату слито - один Бог знает. Ну и АНБ.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

35. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +1 +/
Сообщение от Аноном on 27-Сен-14, 12:55 
>146%

Это только у нас может быть 146%, а у них 110%

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

43. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 27-Сен-14, 20:09 
> Это только у нас может быть 146%, а у них 110%

А разве не 120%7 :)

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

56. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от XoRe (ok) on 28-Сен-14, 11:28 
> Эх, жаль, то у АНБ нет такого же отдела для проприетарного ПО.

Есть. Называется "отдел по работе с партнерами".
Зачем ковырять бинарники, когда можно договориться?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 27-Сен-14, 03:10 
в гогне которое использует sh/bash постоянно находят уязвимости. Лет пять назад без этой баги было полно других дыр и их ещё хватит на лет десять. sh/bash само по себе большая дыра если используется вне терминала пользователем.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

36. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от ананим on 27-Сен-14, 15:14 
Пруфы как всегда?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

63. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Andrey Mitrofanov on 29-Сен-14, 14:43 
> На фоне того, что по примерным оценкам эта дыра существовала лет 5

В
     bash-2.05b.tar.gz             17-Jul-2002
тоже попатчили
     bash205b-010.sig        27-Sep-2014 22:36
, так что примерные оценки несколько смещаются ближе к "всегда".

Соурс-коуд археологи уже спешат^Wснаряжают верблюдов в сторону версий 1.x и поиска того героя, что _так удачно совмеслил окружение и передачу ф-ций в sub-shell.

> и одному богу известно, кто про нее знал и молчал (а
> ведь Сноуден рассказывал, что в АНБ есть специальный отдел, который занят

..гм, 2002: git-а ещё не было, но АНБ была.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от anonymous (??) on 26-Сен-14, 22:29 
Вот и "награждение непричастных"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 26-Сен-14, 22:36 
Всё правильно написали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +1 +/
Сообщение от qqq (??) on 26-Сен-14, 22:38 
На сколько быстро и оперативно патчи дойдут до всяких "закрытых" линуксов?

Старье никто обновлять не собирался, да и порой невозможно это.

Было бы правильно, еще и опубликовать инструкции как пофиксить это на работающих системах, особенно старых или железо, где обновление затруднено.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +5 +/
Сообщение от Аноним (??) on 26-Сен-14, 22:45 
> На сколько быстро и оперативно патчи дойдут до всяких "закрытых" линуксов?

Ну так вы сами себе виноваты. Нефиг с такими полупроприетарными конторами связываться. Плюсами СПО надо по факту пользоваться, а не так что для галочки сугубо. Если у вас оно было для галочки - ну вы и получили результат "на отъ...сь".

> Старье никто обновлять не собирался, да и порой невозможно это.

Опять же - если вы юзали систему без поддержки - ну вы понимали на что шли.

> системах, особенно старых или железо, где обновление затруднено.

При аварии выдерни шнур, выдави стекло.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +2 +/
Сообщение от manster (ok) on 26-Сен-14, 23:49 
К сожалению таких контор появляется все больше и больше и они были и раньше...которые своей фактически паразитной политикой безопасности (как формальный предлог) подвергают риску потребителей системы. За то время например, пока выйдут патчи, произойдет т.н. "бюрократический отстой" - критические участки подвержены взлому.


Поддержка? Никто со старьем возиться не будет, даже за деньги. Это порою невозможно. Софт пишут так, что через ~5-10+ лет выкидывается. Это проблема. Приходится задумываться о "музеях"


Выдерни шнур? Что делать с роутерами и железками - еще предстоит выяснить, как там обстоят дела у прошивок.


Кстати, если в баше нашлась такая экзотика, то в аналогичных системах тоже может быть, а у МС и подавно...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +4 +/
Сообщение от Аноним (??) on 27-Сен-14, 09:20 
> К сожалению таких контор появляется все больше и больше

Наперсточников хватало во все времена. Пора бы уже за столько лет усвоить что не все йогурты одинаково полезны.

> Поддержка? Никто со старьем возиться не будет, даже за деньги.

И это правильно. Потому что сами програмеры не намерены поддерживать ископаемые версии своего софта. Это очень затратно. И если не выеживаться и не строить из себя мачо, обновиться на актуальную версию софта обычно не является проблемой в техническом плане. А то что вы отдали свою тушку на попечение лохотронщику вместо интегратора, так что тот вас кинул с пересборкой обновленных систем - это уже вы пролошились, выбрав для заботы о своей тушке лохотронщика.

Еще иногда бывает так что железо ну совсем печальное по современным меркам, так что чисто технически сложно на нем что-то обновлять, если все апстримы на это забили или подтянули системные требования, но это случается довольно редко. Намного чаще это именно кидатель-интегратор. Касается всяких полупроприетарных appliance и прочего, где вместо нормальной поддержки и серьезного сообщества - в лучшем случае какой-нибудь сидюк с сорцами за сто баксов "на отвали" (как у всяких микротиков и тому подобных удодов). Ну да, связываясь с таким интегратором вы должны понимать что если он вас кинет - вы окажетесь 1 на 1 с вашими проблемами скорее всего (ибо сообщество кодеров и независимых майнтайнеров вокруг проекта с стодолларовыми сидюками не возникает, извините). Основной пойнт открытых решений - это как раз не зависеть на 100% от 1 поставщика, а не галочка для лощеного манагера [x] мы тоже юзаем опенсорс. Если вы пролошились и поставили галочки для румяных манагеров выше здравого смысла - то что за этим последует ВАМ ПО ЗАСЛУГАМ. Потому что если некто идет играть с наперсточниками, он должен понимать что его нагреют.

> Это порою невозможно. Софт пишут так, что через ~5-10+ лет выкидывается. Это проблема.
> Приходится задумываться о "музеях"

Он не "выкидывается" а "всем лень майнтайнить окаменелый крап". И задумываться надо не о музеях, а о возможности получать апдейты вплоть до момента пока вам возможностей железа под задачи хватает.

> Выдерни шнур? Что делать с роутерами и железками - еще предстоит выяснить,
> как там обстоят дела у прошивок.

Ну вот поэтому логично поинтересоваться - какие девайсы поддерживают проекты, которые с нами надолго и всерьез. Для роутеров например хоть нечто типа OpenWRT того же. OpenWRT уже много лет с нами и загибаться в ближайшее время похоже не собирается - только прирастает новыми разработчиками. Так что получается что даже древний Asus WL-500GP V1, который давно не производится, и на который давно положил производитель, до сих пор поддерживается и на нем по прежнему можно запускать актуальные версии софта. Ради интереса заменил там MiniPCI карточку на .n Atheros. Получился такой вот гибрид, роутер на 300Мбит :). Все что надо - пару модулей для атероса подпихнуть. Если по уму - ребилдом образа, а если лень то просто доустановкой пары модулей руками.

Вообше, имхо если вы хотите продвинутостей и безбедной жизни - то или выбирайте железку с запасами по спекам и поддержкой открытыми прошивками, или вообще можно сделать софтроутер на основе системы которая вам привычна.

> Кстати, если в баше нашлась такая экзотика, то в аналогичных системах тоже
> может быть, а у МС и подавно...

У MS именно такой наверное не будет, ибо они не заклинены на передаче 100500 порций хлама извне груде скриптятины. Но это не значит что у них не будет других проблем. В любой достаточно сложной программе заведомо есть куча багов.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

39. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –1 +/
Сообщение от manster (ok) on 27-Сен-14, 19:15 
Это все понятно и согласен со многим, но ведь хочется чтобы - поставил железки и забыл - работает и проблем никаких. С софтом и операционками тоже самое. Почему потребитель должен принимать на себя проблемы и недоработки разработчиков? В конце концов почему за счет потребителя? Потребитель готов платить за решение его проблем.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

44. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –1 +/
Сообщение от Аноним (??) on 27-Сен-14, 20:23 
> поставил железки и забыл - работает и проблем никаких.

А поставщику-коммерсанту в общем случае совсем не хочется забесплатно поддерживать вас вечность. Им вообще интереснее всего поменьше работать и посильнее вас на бабло нагреть. В идеале - получить уйму денег и ничего не делать. Это конечно пахнет лохотроном, но ведь "ничего личного, это бизнес". Это некий конфликт интересов. Рынок по идее должен балансировать эти интересы, но куда качнется баланс в том или ином случае - вопрос весьма отдельный. И надо подробно разбираться. Иначе бойкие наперсточники оставят без штанов. Не любят в этом мире лохов...

> С софтом и операционками тоже самое. Почему потребитель должен принимать
> на себя проблемы и недоработки разработчиков?

Не хотите - не принимайте. Ваше право. Это охотно за вас сделают другие. Если вы им чемодан денег принесете. Вот как-то так раз и получается что бизнесмены с LSE устали заносить чемоданы денег партнеру MS да и купили разработчика софта, вместо дотнета и винды - на плюсах и под линух. Ну и по сути стали сами себе софт для своей биржи делать. Это получилось дешевле. Вот как-то так оно и бывает...

> В конце концов почему за счет потребителя? Потребитель
> готов платить за решение его проблем.

Ну так платите. Просто нынче единоразовые платеж за вечную поддержку мало кого устраивает - хотят доить много и нагло. Нет апдейтов на железку? Ок, купите у них НОВУЮ железку. Там починят баги, да :). Правда, через год-другой история повторится, извините :P. Без лоха жизнь плоха.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

31. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +3 +/
Сообщение от Аноним (??) on 27-Сен-14, 10:59 
>К сожалению таких контор появляется все больше и больше и они были и раньше

Какие конторы, о чем Вы говорите, Я тут у соседнего провайдера сетку посмотрел по 80 порту, в первом же десятке нашел открытый микротик, в смысле совсем открытый, даже логин набирать не надо, панель управления открывается сразу.
Тут поддержка нужна не софту, а здравомыслию.
А конторам и их изделиям нужен публичный адекватный рейтинг.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

16. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 26-Сен-14, 23:19 
Похоже на маркетинговый буллшит. Все зависит от добросовестности и профессионализма разработчиков и самоотверженности хакеров. Нашел дыру - рассказал миру! Ха! А в тихаря юзать и продавать эксплойты кто будет?
Латание дыры в закрытой программе может произойти как до публикации инфы о ее существовании так и сразу же после.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +4 +/
Сообщение от Аноним (??) on 26-Сен-14, 23:27 
> Похоже на маркетинговый буллшит. Все зависит от добросовестности и профессионализма
> разработчиков и самоотверженности хакеров. Нашел дыру - рассказал миру!

Вот только насколько я помню - MS сподвигнуть на внеплановые релизы фиксов без ожидания месяц смогли может пару раз за всю историю. И те через неделю жестокого поимения хакерами всего и вся. Так что у кого там маркетинговый булшит - а где они так уж приукрасили? Процесс есть и работает и конструктивно настроенные люди объединяются в рамках таких процессов. Потому что это эффективно и результативно, в отличие от проприерасов.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

28. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от uchiya email(ok) on 27-Сен-14, 10:23 
Во первых ,проприетарщина это не только МС ,во вторых arch и до сих пор в репах нет нехрена ,дыра остается .
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от anonim on 27-Сен-14, 10:40 
Вчера вечером прилитело core/bash 4.3.026-1
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

46. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от uchiya email(ok) on 27-Сен-14, 22:25 
Прилетело то оно прилетело ,а толку ? все равно пашет дыра.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

47. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от uchiya email(ok) on 27-Сен-14, 22:30 
env x='() { :;}; echo vulnerable' bash -c "ls"
Работает
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

60. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 29-Сен-14, 14:16 
Как и в некоторых других дисрах. пашет обходной маневр 2014-7169
На воне чего сабжевые заявления выглядят...
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

64. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Andrey Mitrofanov on 29-Сен-14, 14:46 
> Как и в некоторых других дисрах. пашет обходной маневр 2014-7169
> На воне чего сабжевые заявления выглядят...

Прилетел "ещё CVE" - сделали "ещё фикс". Заявления Анонимов выглядят...

http://metadata.ftp-master.debian.org/changelogs/main/b/bash...

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

33. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +2 +/
Сообщение от Ты on 27-Сен-14, 12:26 
> arch .. дыра остается

Можно не беспокоиться, любой руткит сломается на арче при следующем обновлении (как и все остальное).

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

45. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +1 +/
Сообщение от Аноним (??) on 27-Сен-14, 20:25 
> Можно не беспокоиться, любой руткит сломается на арче при следующем обновлении (как
> и все остальное).

Идея для руткитчиков - на лету патчить арчеводу ридми на апдейт, чтобы включал действия по приведению руткита в чувство. Арчеводы все-равно не разбираются для чего они фигачат черную магию, так что никакого подвоха 99% арчеводов не обнаружит.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

48. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +2 +/
Сообщение от Ordu email(ok) on 27-Сен-14, 23:27 
Код руткита в readme, написанный на естественном языке программирования, и выполняющийся на биологическом компьютере -- мозге арчевода? Слава роботам!
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

61. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Аноним (??) on 29-Сен-14, 14:19 
Да уж побольше понимают чем большинсто убунтоидов. До арчвики остальным инструкция как до луны.


Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

30. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +1 +/
Сообщение от Andrey Mitrofanov on 27-Сен-14, 10:42 
> Латание дыры в закрытой программе

в редких случаяю

> может произойти как до публикации инфы о
> ее существовании так и сразу же после

, но обычно не происходит вовсе или происходит заметно позже обнародования независимыми источниками.

---Да, логика дырявая. Но _ровно_ такая же дырявая, как в исходном тексте.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

62. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –1 +/
Сообщение от Аноним (??) on 29-Сен-14, 14:26 
Во-первых, все эти заявления сделаны на фоне неисправленной полностью дыры в баш.
Во-вторых, даже если бы дыра была исправлена, то можно было бы говорить лишь о хорошем примере оперативности опенсорсников
в-третьих, даже в этом случае, говорить, что все закрытые программы сливают по безопасности глупо. Многие из них реально безопасны и закрыты в т ч для безопасности Просто другой подход к защите. Для аудитов и сертификаций они код дают, а для прочих хакеров нет.
Т е просто маркетинговое заявление, не более.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –1 +/
Сообщение от Нанобот (ok) on 27-Сен-14, 12:53 
>подчеркнул достоинства СПО

ога. 25 лет с критическим багом - это достойно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  –1 +/
Сообщение от cmp (ok) on 27-Сен-14, 16:10 
>>подчеркнул достоинства СПО
> ога. 25 лет с критическим багом - это достойно

А я думал, что это фича. Этож как sql-инжект, проверил строку/экранировал спец символы - сформировал запрос, а так тупо отдавать данные на исполнение, до сих пор не понимаю причем тут баш.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

65. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Andrey Mitrofanov on 29-Сен-14, 14:55 
>>>подчеркнул достоинства СПО
>> ога. 25 лет с критическим багом - это достойно
> А я думал, что это фича. Этож как sql-инжект, проверил строку/экранировал спец
> символы - сформировал запрос, а так тупо отдавать данные на исполнение,
> до сих пор не понимаю причем тут баш.

Ещё раз: это не _тупое экранирование. Просмотра на 1-2 символа не достаточно, как мне кажется.

Там фактически нужно на стороне суб-шела исполнять передаваемые через окружение определения ф-ций в "песочнице", чтоб _реальный код не исполнялся, а только deffun-или-как-его-там. Или не передавать через окружение *вообще*. Или, как сделали сейчас, насколько я ничего не понимаю (нет, патчи я не читал), затыкать _прямое исполнение переданных обёртками-регулярками и готовиться к новым "прилетающим" обходам.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

66. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Andrey Mitrofanov on 29-Сен-14, 14:56 
> ога. 25 лет с критическим багом - это достойно

Как считал??

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

67. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Нанобот (ok) on 29-Сен-14, 16:01 
каждый год на стене ставил засечки, вчера посчитал :)

зашёл в википедию и посмотрел год первого релиза и вычел из 2014

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

68. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Andrey Mitrofanov on 29-Сен-14, 18:52 
> каждый год на стене ставил засечки, вчера посчитал :)
> зашёл в википедию и посмотрел год первого релиза и вычел из 2014

Я бы переспросил "релиз чего", а потом "а как проверял, что там дыра", но... смысл? Будешь автором непровененной(методика хлипковата) верхней оценки. Нижняя вверху в моём #63 = 12 лет без 2ух месяцев и 10 дней [если я с 60ричной арифметикой не].

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

69. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Нанобот (ok) on 29-Сен-14, 19:11 
насчёт "методика хлипковата" - согласен. но у нас же тут не НИИ :)
вот тут писали про 1.14.7 - http://www.opennet.dev/openforum/vsluhforumID3/99034.html#22
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

70. "Фонд СПО указал, что процесс устранения уязвимости в bash по..."  +/
Сообщение от Andrey Mitrofanov on 29-Сен-14, 21:29 
> насчёт "методика хлипковата" - согласен. но у нас же тут не НИИ
> :)
> вот тут писали про 1.14.7 - http://www.opennet.dev/openforum/vsluhforumID3/99034.html#22

bash-1.14.0-1.14.1.diff.gz даёт "Thu Jun  2 09:36:36 1994". 20 лет с небольшим. Метод с засечками -- крутая :) археология. Академики, смогшие _собрать 1.14.0 и проверить наличие дыръ, впишут своё имя в. (павлин, выходи! мастера LFS-Fu также имеют щанс. Стоячая оваиця за сборку, на тех же условиях, для ARM/телефона.) Для _полной академичности нужен .spec или rules - _работающий в "настоящем". И да, кто там поближе, RMS-у скажите, чтоб всю историю в git выложил и подписал (&ключом не из 90-ых).

...На ibiblio.org/pub/historic-linux/distributions/ - 2002/2003 и _без исходников [навскидку].

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру