forum.opennet.ru - "Релиз OpenSSH 8.9 с устранением уязвимости в sshd" (27)

"Релиз OpenSSH 8.9 с устранением уязвимости в sshd"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 8.9 с устранением уязвимости в sshd"	+/–
Сообщение от opennews (??), 24-Фев-22, 16:00
После шести месяцев разработки представлен релиз OpenSSH 8.9, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии в sshd устранена уязвимость, потенциально позволяющая получить доступ без аутентификации. Проблема вызвана целочисленным переполнением в коде аутентификации, но эксплуатация возможна только в сочетании с другими логическими ошибками в коде... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56751
Ответить \| Правка \| Cообщить модератору

Оглавление

Ошибку как обычно исправили только в опенбсд , Аноним (1), 16:00 , 24-Фев-22, (1)

А у тебя что не OpenBSD , Аноним (2), 16:10 , 24-Фев-22, (2)

Нет конечно Если там даже sshd пускает без аутентификации, то уж про остальное , Аноним (5), 16:23 , 24-Фев-22, (5) +2

Л - логика , Аноним (9), 16:35 , 24-Фев-22, (9)

нейросетям комментаторов не знакомо слово логика потому минусуют , Аноним (26), 19:32 , 24-Фев-22, (26) +2

Так тебе не и над ты или сидишь на опенбсд или сидишь с дырой , Аноним (18), 17:52 , 24-Фев-22, (18)

А можно пример где OpenSSH патчили что либо исключительно под опенбсд , Аноним (21), 18:22 , 24-Фев-22, (21) +1
Четные выпуски для OpenBSD, например 8 8, 8 6, 8,4 Нечетные выпуски для остал, Аноним (37), 02:05 , 25-Фев-22, (37)

А вы так стеночку и в магазине убрать можете , Аноним (-), 16:13 , 24-Фев-22, (3) +6

потенциально стеночку везде убрать можно а на практике можно серьёзно огрести и , Аноним (-), 19:45 , 24-Фев-22, (30)

А CVE ID эти сторонники security by obscurity получить не удосужились , Аноним (5), 16:24 , 24-Фев-22, (6)

Надо отложить исправление, пока не прочухается какой-то левый дядя , YetAnotherOnanym (ok), 16:35 , 24-Фев-22, (8)

CVE выдают очень оперативно Именно потому, что никто не хочет затягивать из-за , Аноним (5), 18:14 , 24-Фев-22, (20)

Ага, очень оперативно, еще до того как дырень найдут Мне только неочевидно - поч, пох. (?), 18:38 , 24-Фев-22, (23)

Смеешься что-ли Так сейчас не принято Уважающие себя пацаны резервируют себе э, пох. (?), 18:36 , 24-Фев-22, (22)

А если бы писали на Хаскеле , Аноним (18), 17:49 , 24-Фев-22, (17) +1

Тогда вместо желтого фона имели бы желтые стены и не могли бы спамить на форумы , Аноним (-), 18:46 , 24-Фев-22, (25) +1

Как ты жестко про любителей RUST a, Аноним (45), 11:52 , 26-Фев-22, (45)

Only 2 remote holes in the default install , Аноним (21), 17:58 , 24-Фев-22, (19)

i , Аноним (-), 18:45 , 24-Фев-22, (24)
Не стесняйся, расскажи, какие буквы втебе не понятны , Аноним (-), 22:11 , 24-Фев-22, (35)

Это шутка, на то что всегда им как то удается избежать дыр из за того что накажд, Аноним (21), 22:42 , 24-Фев-22, (36) +1

Вообще-то им было бы давно пора упростить свою штуку раз в двадцать Как раз вот, Аноним (-), 12:45 , 25-Фев-22, (38) +1

Кручу-верчу - обмануть хочу Наводит на мысли, что это сделано специально, чтобы, Аноним (5), 15:41 , 25-Фев-22, (43)

потенциально означает здесь очень сильно в теории, если допустить выполнение , Аноним (28), 19:40 , 24-Фев-22, (28)

Безопасность давно превратилась в цирк на котором ушлые дилетанты набивают себе , Аноним (34), 21:37 , 24-Фев-22, (34)

А еще более ушлые господа набивают свои карманы чужими пиастрами Догадайтесь кт, Аноним (-), 12:46 , 25-Фев-22, (39) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 24-Фев-22, 16:00 +/–

Ошибку как обычно исправили только в опенбсд?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #21, #37

2. Сообщение от Аноним (2), 24-Фев-22, 16:10 +/–

А у тебя что не OpenBSD?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

3. Сообщение от Аноним (-), 24-Фев-22, 16:13 +6 +/–

> позволяющая получить доступ без аутентификации
А вы так стеночку и в магазине убрать можете? :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

5. Сообщение от Аноним (5), 24-Фев-22, 16:23 +2 +/–

Нет конечно. Если там даже sshd пускает без аутентификации, то уж про остальное и говорить страшно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9, #18

6. Сообщение от Аноним (5), 24-Фев-22, 16:24 +/–

А CVE ID эти сторонники security by obscurity получить не удосужились?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

8. Сообщение от YetAnotherOnanym (ok), 24-Фев-22, 16:35 +/–

Надо отложить исправление, пока не прочухается какой-то левый дядя?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #20, #22

9. Сообщение от Аноним (9), 24-Фев-22, 16:35 +/–

>не эксплуатируема
>пускает
Л - логика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #26

17. Сообщение от Аноним (18), 24-Фев-22, 17:49 +1 +/–

А если бы писали на Хаскеле?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

18. Сообщение от Аноним (18), 24-Фев-22, 17:52 +/–

Так тебе не и над ты или сидишь на опенбсд или сидишь с дырой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (21), 24-Фев-22, 17:58 +/–

"Only 2 remote holes in the default install")

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #35

20. Сообщение от Аноним (5), 24-Фев-22, 18:14 +/–

CVE выдают очень оперативно. Именно потому, что никто не хочет затягивать из-за этого с исправлениями.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #23

21. Сообщение от Аноним (21), 24-Фев-22, 18:22 +1 +/–

А можно пример где OpenSSH патчили что либо исключительно под опенбсд?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

22. Сообщение от пох. (?), 24-Фев-22, 18:36 +/–

Смеешься что-ли? Так сейчас не принято.
Уважающие себя пацаны резервируют себе этих номерков заранее целую пачку (а баги - найдутся!)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

23. Сообщение от пох. (?), 24-Фев-22, 18:38 +/–

Ага, очень оперативно, еще до того как дырень найдут.
Мне только неочевидно - почему за это еще не берут денег? Причем с регулярной оплатой, как за айпишники - а то ваши Cve не ваши, и уже переданы в microsoft!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от Аноним (-), 24-Фев-22, 18:45 +/–

i++;

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

25. Сообщение от Аноним (-), 24-Фев-22, 18:46 +1 +/–

Тогда вместо желтого фона имели бы желтые стены и не могли бы спамить на форумы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #45

26. Сообщение от Аноним (26), 24-Фев-22, 19:32 +2 +/–

> Л - логика.
нейросетям комментаторов не знакомо слово логика.
потому минусуют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

28. Сообщение от Аноним (28), 24-Фев-22, 19:40 +/–

> _потенциально_ позволяющая получить
"потенциально" означает здесь "очень сильно в теории, если допустить выполнение всяких специфических условий".
к сожалению, не только лишь каждый комментатор умеет думать настолько длинно.
поэтому слово "потенциально" просто пропускается, от чего рождаются сверхинтеллектуальные дискуссии местных мегамозгов.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

30. Сообщение от Аноним (-), 24-Фев-22, 19:45 +/–

> потенциально позволяющая получить доступ без аутентификации.
потенциально стеночку везде убрать можно.
а на практике можно серьёзно огрести и надолго сесть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

34. Сообщение от Аноним (34), 24-Фев-22, 21:37 +/–

Безопасность давно превратилась в цирк на котором ушлые дилетанты набивают себе цитируемость и значимость своих статей и "открытий".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #39

35. Сообщение от Аноним (-), 24-Фев-22, 22:11 +/–

> "Only 2 remote holes in the default install")
Не стесняйся, расскажи, какие буквы в
> В текущем виде уязвимость не эксплуатируема при включении режима разделения привилегий,
> ...
> Режим разделения привилегий активирован по умолчанию в 2002 году, начиная OpenSSH 3.2.2, и является обязательным начиная с выпуска OpenSSH 7.5, опубликованного в 2017 году.
тебе не понятны?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #36

36. Сообщение от Аноним (21), 24-Фев-22, 22:42 +1 +/–

Это шутка, на то что всегда им как то удается избежать дыр из за того что на
каждом этапе дополнительные проверки, от кода до компилятора.
За почти 30 лет 2 дыры, при чём проект не на пару строк - удивительно, респект.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #38

37. Сообщение от Аноним (37), 25-Фев-22, 02:05 +/–

Четные выпуски для OpenBSD, например 8.8, 8.6, 8,4 ...
Нечетные выпуски для остальных ОС, например 8.9, 8.7, 8.5 ...
Здесь выпуск 8.9, значит, ошибки исправлены для всех остальных ОС.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

38. Сообщение от Аноним (-), 25-Фев-22, 12:45 +1 +/–

Вообще-то им было бы давно пора упростить свою штуку раз в двадцать. Как раз вот поэтому. Чтобы не получалось так что многоходовкой через 20 исторических наслоений оно все же ведется на какой-то трюк - опа - добро пожаловать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #43

39. Сообщение от Аноним (-), 25-Фев-22, 12:46 +1 +/–

А еще более ушлые господа набивают свои карманы чужими пиастрами. Догадайтесь кто оплачивает это шоу?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

43. Сообщение от Аноним (5), 25-Фев-22, 15:41 +/–

"Кручу-верчу - обмануть хочу"
Наводит на мысли, что это сделано специально, чтобы максимально затруднить выявление бэкдоров.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

45. Сообщение от Аноним (45), 26-Фев-22, 11:52 +/–

Как ты жестко про любителей RUST'a

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 24-Фев-22, 16:00	+/–
Ошибку как обычно исправили только в опенбсд?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #21, #37

2. Сообщение от Аноним (2), 24-Фев-22, 16:10	+/–
А у тебя что не OpenBSD?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #5

3. Сообщение от Аноним (-), 24-Фев-22, 16:13	+6 +/–
> позволяющая получить доступ без аутентификации А вы так стеночку и в магазине убрать можете? :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #30

5. Сообщение от Аноним (5), 24-Фев-22, 16:23	+2 +/–
Нет конечно. Если там даже sshd пускает без аутентификации, то уж про остальное и говорить страшно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #9, #18

6. Сообщение от Аноним (5), 24-Фев-22, 16:24	+/–
А CVE ID эти сторонники security by obscurity получить не удосужились?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8

8. Сообщение от YetAnotherOnanym (ok), 24-Фев-22, 16:35	+/–
Надо отложить исправление, пока не прочухается какой-то левый дядя?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #20, #22

9. Сообщение от Аноним (9), 24-Фев-22, 16:35	+/–
>не эксплуатируема >пускает Л - логика.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #26

17. Сообщение от Аноним (18), 24-Фев-22, 17:49	+1 +/–
А если бы писали на Хаскеле?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25

18. Сообщение от Аноним (18), 24-Фев-22, 17:52	+/–
Так тебе не и над ты или сидишь на опенбсд или сидишь с дырой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (21), 24-Фев-22, 17:58	+/–
"Only 2 remote holes in the default install")
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24, #35

20. Сообщение от Аноним (5), 24-Фев-22, 18:14	+/–
CVE выдают очень оперативно. Именно потому, что никто не хочет затягивать из-за этого с исправлениями.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #23

21. Сообщение от Аноним (21), 24-Фев-22, 18:22	+1 +/–
А можно пример где OpenSSH патчили что либо исключительно под опенбсд?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

22. Сообщение от пох. (?), 24-Фев-22, 18:36	+/–
Смеешься что-ли? Так сейчас не принято. Уважающие себя пацаны резервируют себе этих номерков заранее целую пачку (а баги - найдутся!)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

23. Сообщение от пох. (?), 24-Фев-22, 18:38	+/–
Ага, очень оперативно, еще до того как дырень найдут. Мне только неочевидно - почему за это еще не берут денег? Причем с регулярной оплатой, как за айпишники - а то ваши Cve не ваши, и уже переданы в microsoft!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

24. Сообщение от Аноним (-), 24-Фев-22, 18:45	+/–
i++;
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

25. Сообщение от Аноним (-), 24-Фев-22, 18:46	+1 +/–
Тогда вместо желтого фона имели бы желтые стены и не могли бы спамить на форумы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #45

26. Сообщение от Аноним (26), 24-Фев-22, 19:32	+2 +/–
> Л - логика. нейросетям комментаторов не знакомо слово логика. потому минусуют.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

28. Сообщение от Аноним (28), 24-Фев-22, 19:40	+/–
> _потенциально_ позволяющая получить "потенциально" означает здесь "очень сильно в теории, если допустить выполнение всяких специфических условий". к сожалению, не только лишь каждый комментатор умеет думать настолько длинно. поэтому слово "потенциально" просто пропускается, от чего рождаются сверхинтеллектуальные дискуссии местных мегамозгов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #34

30. Сообщение от Аноним (-), 24-Фев-22, 19:45	+/–
> потенциально позволяющая получить доступ без аутентификации. потенциально стеночку везде убрать можно. а на практике можно серьёзно огрести и надолго сесть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

34. Сообщение от Аноним (34), 24-Фев-22, 21:37	+/–
Безопасность давно превратилась в цирк на котором ушлые дилетанты набивают себе цитируемость и значимость своих статей и "открытий".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #39

35. Сообщение от Аноним (-), 24-Фев-22, 22:11	+/–
> "Only 2 remote holes in the default install") Не стесняйся, расскажи, какие буквы в > В текущем виде уязвимость не эксплуатируема при включении режима разделения привилегий, > ... > Режим разделения привилегий активирован по умолчанию в 2002 году, начиная OpenSSH 3.2.2, и является обязательным начиная с выпуска OpenSSH 7.5, опубликованного в 2017 году. тебе не понятны?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #36

36. Сообщение от Аноним (21), 24-Фев-22, 22:42	+1 +/–
Это шутка, на то что всегда им как то удается избежать дыр из за того что на каждом этапе дополнительные проверки, от кода до компилятора. За почти 30 лет 2 дыры, при чём проект не на пару строк - удивительно, респект.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35 Ответы: #38

37. Сообщение от Аноним (37), 25-Фев-22, 02:05	+/–
Четные выпуски для OpenBSD, например 8.8, 8.6, 8,4 ... Нечетные выпуски для остальных ОС, например 8.9, 8.7, 8.5 ... Здесь выпуск 8.9, значит, ошибки исправлены для всех остальных ОС.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

38. Сообщение от Аноним (-), 25-Фев-22, 12:45	+1 +/–
Вообще-то им было бы давно пора упростить свою штуку раз в двадцать. Как раз вот поэтому. Чтобы не получалось так что многоходовкой через 20 исторических наслоений оно все же ведется на какой-то трюк - опа - добро пожаловать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #36 Ответы: #43

39. Сообщение от Аноним (-), 25-Фев-22, 12:46	+1 +/–
А еще более ушлые господа набивают свои карманы чужими пиастрами. Догадайтесь кто оплачивает это шоу?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #34

43. Сообщение от Аноним (5), 25-Фев-22, 15:41	+/–
"Кручу-верчу - обмануть хочу" Наводит на мысли, что это сделано специально, чтобы максимально затруднить выявление бэкдоров.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #38

45. Сообщение от Аноним (45), 26-Фев-22, 11:52	+/–
Как ты жестко про любителей RUST'a
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25