The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проблемы в systemd и Apache httpd при обработке DNS-имён с символом подчёркивания

24.07.2017 11:01

Администраторы ресурсов, использующих имена хостов с символом подчёркивания, столкнулись с проблемами, проявляющимися в новых выпусках systemd и Apache httpd, и вызванными неоднозначной трактовкой требований к именам в DNS.

В соответствии с RFC 1123 в DNS запрещено использовать символ подчёркивания в именах хостов, но разрешено в именах меток. Т.е. в записях типа "A" и "MX", а также в содержимом полей "SOA" и "NS", символы подчёркивания не допускаются, но, в соответствии с RFC-2782, они разрешены во вспомогательных полях, подобных "TXT" и "SRV", что активно используется в системе DomainKeys (например, имя "_domainkey.ebay.com" корректно в контексте применения как метки с TXT-записью в DNS, но будет некорректно если для него применить A-запись).

Обычно клиентское и серверное ПО достаточно лояльно относится к символу "_" в именах хостов, не требуя жесткого следования RFC, поэтому в обиходе часто встречается нецелевое применение поддоменов с символом подчёркивания. Например, в популярном на Западе сервисе доставки видео Netflix используются имена подобные "ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net" (применение не корректно, так как имя связано с записью "A" в DNS), а проект Fedora использует "_443._tcp.fedoraproject.org" (применение корректно, так как имя определено записью NSEC).

Проблемы всплыли после формировния новых выпусков systemd и Apache httpd. В systemd 234 была добавлена экспериментальная поддержка использования библиотеки libidn2 вместо libidn для обработки доменных имён с символами национальных алфавитов. При сборке c libidn2 в systemd-resolver применялся предлагаемый в libidn2 фильтр имён хостов, который просто вырезал символ "_", что привело к проблемам с использованием сервиса Netflix на клиентских системах с systemd-resolver. Проблема уже решена в libidn2 путем исключения IDN2_USE_STD3_ASCII_RULES из списка опций, применяемых по умолчанию, и войдёт в состав следующего обновления. Для systemd также выпущен патч, обходящий проблему при использовании старых версий libidn2.

Администраторы серверных систем столкнулись с похожей проблемой при переходе на Apache 2.4.25 или установке в RHEL/CentOS обновления httpd-2.2.15-60. В рамках устранения уязвимости CVE-2016-8743 код разбора HTTP-заголовков был приведён в строгое соответствие с RFC 7230. В случае наличия некорректного заголовка, оформление параметров которого не соответстует требованиям стандарта, теперь выдаётся ошибка 500 "Bad Request". В основном исправление было нацелено на блокирование использования закодированных символов пробелов в именах, но заодно было запрещено и применение других недопустимых символов, в том числе подчёркивания. Таким образом, после установки обновления перестали обрабатываться запросы к хостам, в именах которых присутствует символ "_". Для обхода проблемы в Apache 2.4.25 можно использовать настройку "HttpProtocolOptions Unsafe".

Дополнение: Проект GNU выпустил обновление библиотеки libidn2 2.0.3, поведение фильтров в котором приведено в соответствие с поведением библиотеки libidn. По умолчанию теперь отключен режим фильтрации IDN2_USE_STD3_ASCII_RULES, наличие которого привело к проблемам с неверной обработкой доменных имён с символом подчёркивания в systemd-resolver.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Релиз systemd 234
  3. OpenNews: Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
  4. OpenNews: Уязвимость в systemd-resolved
  5. OpenNews: Релиз http-сервера Apache 2.4.25
  6. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46905-systemd
Ключевые слова: systemd, apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (91) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Crazy Alex (ok), 11:10, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот интересно, а зачем они вообще в доменных именах подчёркивание запретили?
     
     
  • 2.5, Аноним (-), 11:24, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Вот интересно, а зачем они вообще в доменных именах подчёркивание запретили?

    Чтобы с тире не путать, но с IDN все эти запреты стали глубокой историей - для фишеров теперь раздолье, подбирай похожие Unicode-символы  разных алфавитов и открытый вами  аpple.com может отказаться xn--pple-43d.com

     
     
  • 3.33, Роман (??), 15:02, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Причем тут путать с тире. Ссылки в классическом виде подчеркнутым текстом отображаются, и подчеркивание текста закрывало символ подчеркивания.
     
     
  • 4.34, qqq (??), 15:15, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Причем тут путать с тире. Ссылки в классическом виде подчеркнутым текстом отображаются, и подчеркивание текста закрывало символ подчеркивания.

    DNS как-бы раньше HTTP с HTML появилось. Ни о каких ссылках тогда и не думали.

     
     
  • 5.77, qsdg (ok), 00:00, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подчёркивание текста было ещё в древних терминалах VT100.
    http://hackipedia.org/Protocols/Terminal,%20DEC%20VT100/html/VT100%20Escape%20Codes.html
     

  • 1.2, кверти (ok), 11:12, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    сейчас опять начнется про "поцтера и его уё..ищный системд"...а клоуны нарушающие стандарты(типа нетфликс) - они молодцы, чо.
     
     
  • 2.25, username (??), 13:44, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Расскажи мне еще про стандарты, про systemd-resolved решивший резолвить днс рендомно положив болт на очередность записей и сломав vpn к корпоративному интранету.
    А мы тут послушаем про то что поттеринг так видит.
     
     
  • 3.27, Аноним (-), 14:07, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не хочу вас огорчать, но DNS round-robin действительно не предписывает очередности записей.
     
     
  • 4.35, Аноним (-), 15:32, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Есть подозрение, что там "корпоративный vpn" держался только на том, что в resolv.conf один DNS был прописан раньше другого, что позволяло разруливать конфликты имен.

    resolved резолвит не последовательно, а параллельно, и поэтому на нем такие костыли не прокатят.

    P.S. Админу, у которого разные DNS-сервера на одно имя выдают разные ответы, нужно выдрать руки из задницы и пересадить обратно в плечи.

     
     
  • 5.37, кверти (ok), 16:33, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    К сожалению это мало относится к админам. Это скорее организационный вопрос, в частности, так в госсекторе - в интернете стоит тупая заглушка на ресурсы, доступные изнутри.
     
     
  • 6.78, qsdg (ok), 00:05, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > К сожалению это мало относится к админам. Это скорее организационный вопрос, в
    > частности, так в госсекторе - в интернете стоит тупая заглушка на
    > ресурсы, доступные изнутри.

    Хороший админ сказал бы, "нет, так нельзя делать" начальству. Этим инженер от кодера отличается -- ответственностью.

    В некоторых странах (типа Канады), есть даже специальный Кодекс чести Инженера. И за его нарушение лишают лицензии. Правда это относится к настоящим инженерам, а не software engineer самозванцам-дилетантам. Как один из этих самых software "engineer" говорю.

     
     
  • 7.111, RomanCh (ok), 12:44, 28/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Бывает что приходишь к начальству, говоришь "так нельзя", а тебе говорят "да, нельзя но надо" потому что совсем уж высокое начальство требует именно так во имя "интересов бизнеса". И увольняться бесполезно, в большинстве мест так.

    И да, если в Канаде так круто, то почему мы ничего не слышим о крутых канадских IT'шниках? Может потому что они неконкурентноспособны в условиях рынка, на фоне например индусов, у которых единственный кодекс это "хренак хренак и в продакшн!"?


    PS Отредактировал пост т.к. изначально не совсем правильно понял.

     
     
  • 8.112, Led (ok), 22:30, 28/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Они на опеннет не ходят И на ЛОРе твой тупняк не комментируют ... текст свёрнут, показать
     
     
  • 9.113, RomanCh (ok), 16:18, 30/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну т е по существу никто ничего не ответил, ожидаемо ... текст свёрнут, показать
     
  • 5.40, arachnid (ok), 17:18, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    а чем вам вью так насолили? вполне удобный механизм, когда для локальных пользователей отдается адрес внутреннего ресурса, для интернета - внешний. или вы имели в виду что-то другое?
     
     
  • 6.61, Аноним (-), 21:37, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > а чем вам вью так насолили? вполне удобный механизм, когда для локальных
    > пользователей отдается адрес внутреннего ресурса, для интернета - внешний. или вы
    > имели в виду что-то другое?

    Особенно удобно, когда локальный пользователь запрашивает адрес у какого-нибудь 8.8.8.8, получает внешний адрес, пытается на него зайти, а сервак отвечает ему с внутреннего, соединение отваливается по таймауту, и юзер бежит жаловаться админу.

     
     
  • 7.66, Мимоанон (?), 22:27, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >локальный пользователь

    а какого хрена он пользует сторонние ДНС а еще потом и ноет?

     
     
  • 8.71, Аноним (-), 23:09, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Баг systemd из 25 без внешнего ДНС не воспроизводится, печаль ... текст свёрнут, показать
     
  • 7.90, arachnid (ok), 11:06, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> а чем вам вью так насолили? вполне удобный механизм, когда для локальных
    >> пользователей отдается адрес внутреннего ресурса, для интернета - внешний. или вы
    >> имели в виду что-то другое?
    > Особенно удобно, когда локальный пользователь запрашивает адрес у какого-нибудь 8.8.8.8,
    > получает внешний адрес, пытается на него зайти, а сервак отвечает ему
    > с внутреннего, соединение отваливается по таймауту, и юзер бежит жаловаться админу.

    то есть вы ссзб, но виноваты вью?

     
     
  • 8.99, Аноним (-), 13:29, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, ССЗБ автор 25, который одновременно использует два резолвера, дающие разны... текст свёрнут, показать
     
  • 3.81, Аноним (-), 00:41, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > положив болт на очередность записей

    Сложно положить болт на то, чего нет.

     
  • 2.31, tensor (?), 14:16, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    DNS-резолвер в init-е в принципе нарушает все законы логики.
     
     
  • 3.32, Аноним (-), 14:28, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > DNS-резолвер в init-е

    Это где такое?

     
     
  • 4.43, Аноним (-), 17:27, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    В systemd
     
     
  • 5.54, Аноним (-), 21:23, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  В systemd

    Совсем виндyзятники обленились: набрасывают, не зная матчасти.

    Не хочу вас огорчать, но в systemd, init и resolved - это две разные программы.

     
     
  • 6.114, www2 (ok), 18:41, 11/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, а Слава КПСС - вообще не человек.
     
  • 3.47, Аноним (-), 18:59, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    resolved не сидит в pid1, это отдельная программа
     
  • 2.65, Димон (??), 22:23, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Ну как бы да. Давно стало приметой: нет systemd - нет уязвимостей и прочих багов, сюрпризов, новшеств от этого дурачка, которые появляются с завидной регулярностью.
     
     
  • 3.69, Аноним (-), 23:06, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет systemd - есть уязвимости и баги в других программах. А уж в ядре их вообще немеряно (стоит только вспомнить CVE-2016-7117). Так что единственно эффективное лечение удалением - это rm -rf /*
     
     
  • 4.76, Аноним (-), 23:26, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > CVE-2016-7117

    А еще были CVE-2016-8632 и CVE-2016-7039/CVE-2016-8666.
    Зачем мне ломать какой-то там системг, если в ядре есть куча дырок remote root, от которых никакой фаервол не спасает?

     
  • 4.80, Анонимо (?), 00:34, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет systemd - есть уязвимости и баги в других программах. А уж
    > в ядре их вообще немеряно (стоит только вспомнить CVE-2016-7117). Так что
    > единственно эффективное лечение удалением - это rm -rf /*

    Уж кто бы заикался про rm -rf
    https://github.com/systemd/systemd/issues/5644
    > tmpfiles: R! /dir/.* destroys root

    https://www.opennet.dev/opennews/art.shtml?num=43795
    > Выполнение rm -rf / может привести к неработоспособности UEFI-прошивки ноутбука

     
     
  • 5.91, Аноним (-), 13:08, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > tmpfiles: R! /dir/.* destroys root

    systemd - на страже вашей безопасности!
    Автоматическое удаление уязвимых компонентов из системы (жаль, что эту фичу убрали).

     
  • 2.109, freehck (ok), 22:43, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > сейчас опять начнется про "поцтера и его уё..ищный системд"...а клоуны нарушающие стандарты(типа нетфликс) - они молодцы, чо.

    А с другой стороны посмотрите, какое у системд-шников раздолье, как сразу набросились-то: "смотриииитеееее, лёня не виновааааааат".

    Интересная реакция.

     

  • 1.3, Аноним (-), 11:15, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    notabug (c)
     
  • 1.4, Аноним (-), 11:20, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Как бы плохо я не относился к systemd, ошибка всё же в libidn2, а не в systemd
     
     
  • 2.7, Аноним (-), 11:32, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не согласен, во-первых они вызывали IDN-фильтр для всех доменов, а не только для "xn--". Во-вторых они вызывали его с дефолтовыми опциями толком не ознакомившись, что они там фильтруют. Нужно было явно указать  "IDN2_NFC_INPUT | IDN2_NONTRANSITIONAL", а не приплетать в фильтр IDN2_USE_STD3_ASCII_RULES.
     
     
  • 3.11, J.L. (?), 11:56, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не согласен, во-первых они вызывали IDN-фильтр для всех доменов, а не только
    > для "xn--". Во-вторых они вызывали его с дефолтовыми опциями толком не
    > ознакомившись, что они там фильтруют. Нужно было явно указать  "IDN2_NFC_INPUT
    > | IDN2_NONTRANSITIONAL", а не приплетать в фильтр IDN2_USE_STD3_ASCII_RULES.

    но "ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net" стандарт же нарушает ?

     
     
  • 4.17, Аноним (-), 12:54, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > но "ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net" стандарт же нарушает ?

    Только если используется запись "A", с  SRV и подобным такое имя вполне допустимо. systemd-resolver фильтровал независимо от типа записи на стадии начальной фильтрации, т.е. какой-нибудь вполне валидный "_domainkey.ebay.com", который "IN TXT", а не IN A", отфильтровывался и резолвился уже как несуществующий "domainkey.example.com".

     
     
  • 5.29, Аноним (-), 14:11, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > systemd-resolver фильтровал независимо от типа записи

    Не он, а libidn2. Кстати, ее использование в resolved находится на стадии "technology preview", и чтобы ее включить, нужно пересобирать systemd со специальной опцией.

     
     
  • 6.38, RobotsCantPoop (?), 16:51, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    systemd реализует свой функционал используя libidn2, значит он.
     
     
  • 7.58, Аноним (-), 21:28, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > systemd реализует свой функционал

    Приятно поговорить с грамотным человеком, знающим смысл слова "функционал".

     
  • 6.64, Аноним (-), 22:02, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Не он, а libidn2

    Не libidn2, а systemd-resolver. libidn2 это библиотека, она сама ничего не делает.

     
     
  • 7.70, Аноним (-), 23:07, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > это библиотека, она сама ничего не делает.

    Ну офигенно же. Как говорили лет 10 назад, "олoло, на башорг!"

     
  • 7.73, Аноним (-), 23:14, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не libidn2, а systemd-resolver.

    Просмотрел весь systemd, никакого systemd-resolver не нашел. У вас методичка неправильная.

     
     
  • 8.89, Andrey Mitrofanov (?), 10:26, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То ли они ему ужк клоакинг http www opennet ru opennews art shtml num 46771 за... текст свёрнут, показать
     
     
  • 9.92, Аноним (-), 13:10, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там про systemd-resolved Повторяю у вас методичка неправильная Обратитесь к с... текст свёрнут, показать
     
     
  • 10.106, Andrey Mitrofanov (?), 13:55, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато у тебя правильная, война это мир, чёрное это белое, тебя ждёт победа -- раз... текст свёрнут, показать
     
  • 5.41, Аноним (-), 17:19, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там там и есть "A" запись:

    ; <<>> DiG 9.11.1-P3 <<>> ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2554
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 4096
    ;; QUESTION SECTION:
    ;ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net. IN A

    ;; ANSWER SECTION:
    ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net. 3600 IN A 37.77.187.142


    И об этом в новости написано.

     

  • 1.6, gogo (?), 11:27, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да это звездец просто!
    Эти ушлепки просто разрешили использовать подчеркивание в именах доменов. Это называется решение проблемы...
    На RFC всем пох, имя хоста у Федоры, конечно же, важнее, его не сменишь ведь. Пришлось, бедным, под федору и нетфликс прогнуться...
     
     
  • 2.8, Аноним (-), 11:35, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Эти ушлепки просто разрешили использовать подчеркивание в именах доменов. Это называется
    > решение проблемы...
    > На RFC всем пох,

    Перечитайте второй абзац новости подчёркивание можно использовать в именах доменов, но только которых не отдаются по записи "A". У Fedora хост как раз по назначению используется:


    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14362
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;_443._tcp.fedoraproject.org. IN ANY

    ;; ANSWER SECTION:
    _443._tcp.fedoraproject.org. 86400 IN NSEC _kerberos._tcp.fedoraproject.org. RRSIG NSEC TLSA
    _443._tcp.fedoraproject.org. 86400 IN RRSIG NSEC 5 4 86400 20170819222008 20170720222008 7725 fedoraproject.org. R...k=
    _443._tcp.fedoraproject.org. 300 IN TLSA 0 0 1 19400BE5B7A31FB733917700789D2F0A2471C0C9D506C0E504C06C16 D7CB17C0
    _443._tcp.fedoraproject.org. 300 IN RRSIG TLSA 5 4 300 20170819222008 20170720222008 7725 fedoraproject.org. X...Yo=

     
     
  • 3.10, Аноним (-), 11:38, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    А вот Netfix сам виноват:

    ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net. 157 IN A 37.77.187.142
    ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net. 157 IN AAAA 2a00:86c0:5:5::142

     
     
  • 4.51, лютый жабист__ (?), 19:48, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >А вот Netfix сам виноват:

    Помню обсуждение тут, где я сказал что БЗДы в Netflix не знак того, что БЗДишный стек круто видео раздаёт, а лишь знак того что архитектор дубинушка. Ещё один признак второго. Сколько ещё надо? :)

     
     
  • 5.60, Аноним (-), 21:33, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Помню обсуждение тут, где я сказал что БЗДы в Netflix не знак
    > того, что БЗДишный стек круто видео раздаёт, а лишь знак того
    > что архитектор дубинушка.

    Ну зачем дубинушка? Может, он просто знает толк в извращениях (настоящие фанаты BSD, как известно, за любовью ходят на кладбище).

     
  • 2.14, А (??), 12:50, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –9 +/
    А что такое RFC? Просьба присылать комментарии, это не ГОСТ, формально если.
     
     
  • 3.52, XoRe (ok), 19:58, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А что такое RFC? Просьба присылать комментарии, это не ГОСТ, формально если.

    За пределами СНГ никто не следует ГОСТ'ам. Правда, в России тоже - их заменили на ТУ.
    Слава богу, хоть RFC все уважают.

     
     
  • 4.74, Аноним (-), 23:17, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > За пределами СНГ никто не следует ГОСТ'ам. Правда, в России тоже -
    > их заменили на ТУ.
    > Слава богу, хоть RFC все уважают.

    ГОСТ никто не отменял. ТУ - для тех, кто выпускает некритичную к качеству хрень.

     
     
  • 5.79, Аноним (-), 00:23, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    еду например
     
     
  • 6.93, Аноним (-), 13:12, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > еду например

    От еды в наше время требуется только то, чтобы потребитель от нее не умирал (по крайней мере, сразу). Иначе бы макдаки едой не были.

     
  • 3.82, qsdg (ok), 01:01, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А что такое RFC? Просьба присылать комментарии, это не ГОСТ, формально если.

    Формально -- да, RFC не формален. А если неформально, то таки вполне формален.

     
  • 2.22, Andrey Mitrofanov (?), 13:10, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да это звездец просто!
    > Эти ушлепки просто разрешили использовать подчеркивание в именах доменов. Это называется
    > решение проблемы...
    > На RFC всем пох, имя хоста у Федоры, конечно же, важнее, его
    > не сменишь ведь. Пришлось, бедным, под федору и нетфликс прогнуться...

    Даки всё путём. Вы не понимаете! _Теперь_ на их таки Request for Comments обнаружились таки комментс.  Процесс идёт.  >>?<<

     

  • 1.12, Аноним (-), 12:09, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Ульриха Дреппера на вас нет!
     
     
  • 2.24, Аноним (-), 13:18, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Stop reopening!
     
     
  • 3.62, Аноним (-), 21:38, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Stop reopening!

    Да, очень жаль, что Ленька так не разговаривает. Было бы гораздо веселее.

     
     
  • 4.83, Аноним (-), 01:18, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это ссыкло просто отключает комментарии к багу.
     
     
  • 5.94, Аноним (-), 13:14, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это ссыкло просто отключает комментарии к багу.

    Так да, лучше бы он в ответ на любую критику писал "stop reopening, idiot" и "fuck you". Тогда бы он быстро превратился в кумира труЪ-линуксоидов.

     
  • 2.39, Аноним (-), 17:09, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И Ганса Райзера.
     

  • 1.13, YetAnotherOnanym (ok), 12:46, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Тот редкий случай, когда авторам systemd хочется пожать руку.
    Если какие-то долбодятлы из netflix или fedora нарушили RFC, то последствия этого шага - их проблемы.
     
     
  • 2.16, 1 (??), 12:52, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    статью не читай, Поттера защищай
     
     
  • 3.30, Аноним (-), 14:12, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > статью не читай, Поттера защищай

    Прочитал статью, убедился, что Поттер прав. Лучше бы не читал.

     
  • 2.48, Аноним (-), 19:04, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    systemd тут не при делах, libidn - проект GNU
     
     
  • 3.57, Аноним (-), 21:26, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > systemd тут не при делах, libidn - проект GNU

    Но GNU - агенты редхата, а лидер редхата - Поттер, все сходится.

     
  • 2.110, freehck (ok), 11:38, 26/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Тот редкий случай, когда авторам systemd хочется пожать руку.

    Редкий, а я бы даже сказал исключительный, случай -- это не повод жать руку таким людям.

     

  • 1.18, noname.htm (ok), 13:00, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > 500
    > Bad Request

    Скажите мне, что это опечатка

     
     
  • 2.26, username (??), 13:54, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> 500
    >> Bad Request
    > Скажите мне, что это опечатка

    Проиграл в голос, чудесно.

     
  • 2.63, Аноним (-), 21:43, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> 500
    >> Bad Request
    > Скажите мне, что это опечатка

    Это новый стандарт протокола HTTP.
    Клиент: GET / HTTP/0.9
    Сервер: 500 Bad Request
    Клиент: 400 You Idiot

     
  • 2.68, Аноним (-), 23:04, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Опечатка. В RedHat Errata ( https://rhn.redhat.com/errata/RHSA-2017-1721.html ):

    Note: The fix for the CVE-2016-8743 issue causes httpd to return "400 Bad Request" error to HTTP clients which do not strictly follow HTTP protocol specification. A newly introduced configuration directive "HttpProtocolOptions Unsafe" can be used to re-enable the old less strict parsing. However, such setting also re-introduces the CVE-2016-8743 issue.

     

  • 1.19, Аноним (-), 13:04, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Какой-то упырь насовал подчёркиваний в имена хостов, а виноват поцтер. Этак умело оперируя конфликтами и бинарным мышлением обывателей, можно превратить весь окружающий мир в дерьмо.
     
     
  • 2.28, Аноним (-), 14:08, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Этак умело оперируя конфликтами и бинарным мышлением обывателей, можно превратить весь окружающий мир в дерьмо.

    У моего брата в стране так революцию устроили :-/


     
  • 2.67, Димон (??), 22:31, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ага-ага. named что-то в новости не упоминается. А Лёнька - звезда всех передовиц газет в колонке "светские рукожопы".
     
     
  • 3.72, Аноним (-), 23:12, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ага-ага. named что-то в новости не упоминается. А Лёнька - звезда всех
    > передовиц газет в колонке "светские рукожопы".

    Ой, почему-то в каждом релизе named фиксят пачку дыр, а чтобы воспользоваться "рукожопостью Леньки", нужно
    1. Установить экспериментальную версию библиотеки.
    2. Пересобрать systemd с поддержкой этой версии.
    3. Настроить resolved в качестве единственного резолвера.
    4. Запросить имя хоста, составленное с нарушением RFC.

    It's super easy!

     
     
  • 4.86, Michael Shigorin (ok), 08:52, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > It's super easy!

    Как там, говорите, наступили?  Ай-яй-яй, кто-то взял и сделал пп. 1--3 прям в федоре?..

     
     
  • 5.97, Аноним (-), 13:26, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Неа. К федоре относится только багрепорт по libidn2.

    А связку libidn2+systemd собрал (видимо, вручную задав USE-флаги) некий гентушник https://github.com/systemd/systemd/issues/6426
    (причем, учитывая, что v234 пока в тестинге https://packages.gentoo.org/packages/sys-apps/systemd , он ее специально размаскировал).
    В общем, обычные будни любителей bleeding edge.

     
     
  • 6.100, Аноним (-), 13:31, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А связку libidn2+systemd собрал (видимо, вручную задав USE-флаги)

    Не флаги, а флаг https://packages.gentoo.org/useflags/libidn2
    (кстати, dnsmasq тоже affected, но так как автор не поттер, то всем пофиг).

     
  • 3.75, Аноним (-), 23:22, 24/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ага-ага. named что-то в новости не упоминается. А Лёнька - звезда всех
    > передовиц газет в колонке "светские рукожопы".

    Сравнил жалкие 15 дырок https://security-tracker.debian.org/tracker/source-package/systemd
    с сотней https://security-tracker.debian.org/tracker/source-package/bind9

    Стало обидно за Леньку. Сколько бы версии он не крутил, настоящих профессионалов по дырявости и рукожопию он никогда не догонит.

     
     
  • 4.87, Michael Shigorin (ok), 08:55, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Ага-ага. named что-то в новости не упоминается.

    В смысле тамошних войн с подчёркиванием?

    > Стало обидно за Леньку. Сколько бы версии он не крутил, настоящих профессионалов
    > по дырявости и рукожопию он никогда не догонит.

    Вот вкрутит DNS-сервер, тогда будет смысл сравнивать и в этом плане (хотя с bind8 было ещё веселей).

     
     
  • 5.95, Аноним (-), 13:17, 25/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот вкрутит DNS-сервер, тогда будет смысл сравнивать и в этом плане (хотя
    > с bind8 было ещё веселей).

    bind9: 1 функция, сотня дыр
    systemd: 20..30 функций, десяток дыр.

    Вряд ли добавление одной функции в systemd поменяет картину.

     
     
  • 6.115, www2 (ok), 18:52, 11/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Вот вкрутит DNS-сервер, тогда будет смысл сравнивать и в этом плане (хотя
    >> с bind8 было ещё веселей).
    > bind9: 1 функция, сотня дыр
    > systemd: 20..30 функций, десяток дыр.
    > Вряд ли добавление одной функции в systemd поменяет картину.

    Сколько лет вашему любимому поделию? Какой дыркой оно светит в интернет? Не надо сравнивать жопу с пальцем.

     

  • 1.23, анонимоус (?), 13:11, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Linus: user does not care
     
  • 1.50, Baz (?), 19:19, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    ССЗБ "стандарт плох, но он стандарт" перефразируя.
     
  • 1.107, Аноним (-), 13:59, 25/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Netflix, конечно, дятлы. Но ведь какой интересный момент: все остальное ПО как в линуксе, так и в других операционках, чхать хотело на этот RFC
     
     
  • 2.116, www2 (ok), 18:55, 11/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Netflix, конечно, дятлы. Но ведь какой интересный момент: все остальное ПО как
    > в линуксе, так и в других операционках, чхать хотело на этот
    > RFC

    RFC предписывает быть требовательным к себе, но терпимым к другим. Другое ПО соответствует RFC, т.к. терпит чужие ошибки. А вот Netflix RFC не соответствует, т.к. не требовательны к себе. В общем, то, что кто-то может спокойно в ресторане жрать руками и ему никто ничего не скажет, ещё не значит, что нет никаких правил.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру