Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения только ответов первого уровня		[ Отслеживать ]

Удалённая уязвимость в IPv6-стеке OpenBSD, opennews (??), 28-Окт-20, (0) [смотреть все] Ha-ha, classic , Аноним (1), 22:17 , 28-Окт-20, (1) +8   // ку-ка-ре-ку in a heck of a long time ку-ка-ре-ку , Аноним123 (?), 22:56 , 28-Окт-20, (6) –1 Как ни странно, исправить баг на опасном си - быстрее и проще, чем написать на, Аноним (9), 23:07 , 28-Окт-20, (9) +1 // У тебя Си головного мозга Никто же не заикался про Си или Раст в ветке , Ненавижу SJW (?), 10:05 , 29-Окт-20, (33) +7 При чем тут си Просто сссупербезопасная ось в очередной раз оказалась просто н, Аноним (1), 10:07 , 29-Окт-20, (35) –3 // нет просто ipv6 еще долго будет всем отдаваться икотой от его проблем пока не в, анонимуслинус (?), 23:59 , 29-Окт-20, (57) +1 Только божественно одаренный мог сравнить трудоемкость исправления ошибки в одно, Аноним (37), 10:31 , 29-Окт-20, (37) // А ты ещё удивляешься, почему на расте не пишут , Аноним (9), 18:58 , 29-Окт-20, (51) +2 Fracta1L, залогинься , Аноним (34), 10:07 , 29-Окт-20, (34) +1 rust, приди порядок наведи , JL2001 (ok), 22:18 , 28-Окт-20, (2) –2   // С достаточным опытом в сишке никакой раст не нужен За следующие десять лет еще , Аноним (-), 22:24 , 28-Окт-20, (3) +12 // Я тут вчера покопался в коде утилитки которую написал 10 лет назад Свежий компи, Аноним (7), 22:58 , 28-Окт-20, (7) // Если сейчас погромисты на си путаются в указателях, то на расте будут путаться м, Аноним (9), 23:12 , 28-Окт-20, (10) +4 зато это будут наши a и c мои и индуса , а не васи-хацкера, JL2001 (ok), 06:44 , 29-Окт-20, (25) Вот погромисты, которые не знают о существовании оператора , громче всех про r, Аноним (13), 23:52 , 28-Окт-20, (13) +9 скоро начнут путать приоритеты и , Аноним (9), 23:59 , 28-Окт-20, (14) всегда путали в том числе и на Си, на асемблере тока не путали , JL2001 (ok), 15:42 , 29-Окт-20, (43) +1 Скорее всего наоборот те кто знают о существовании такого оператора и думают, ч, Аноним (7), 00:15 , 29-Окт-20, (16) –1 В итоге закономерно страдают Всё правильно , Онаним (?), 08:45 , 29-Окт-20, (29) +2 n - это прекрасно А никак нельзя было , Онаним (?), 08:44 , 29-Окт-20, (28) +4 Видимо писали ещё не выучив ни операции ни приоритеты PS я когда начинал учить , Аноним (49), 18:48 , 29-Окт-20, (49) +1 ну, это маловероятно, я всё же ставлю на неверно размещённую скобочку иначе бы , Аноним (7), 19:17 , 29-Окт-20, (52) +3 пс да, там где-то рядом было ещё в духе 8232 8232 8232 8232 8232 82, Аноним (7), 19:21 , 29-Окт-20, (53) +1 Более квалифицированные программисты за такой код лупят по заднице ремнём это U, Ordu (ok), 05:55 , 30-Окт-20, (59) +1 Видимо, 30 лет опыта разработчикам не хватило , Siborgium (ok), 05:34 , 29-Окт-20, (23) +2 Настолько тонко что даже толсто , Fracta1L (ok), 08:02 , 29-Окт-20, (26) // У Вас integer overflow , Michael Shigorin (ok), 22:55 , 29-Окт-20, (56) +1 Тоесть получается сишке нужно 58 лет учиться Но есть ли гарантии что через 10 пр, Аноньимъс (?), 10:36 , 31-Окт-20, (71) на расте такое сложно написать, ещё никто не смог, Аноним (9), 22:56 , 28-Окт-20, (5) +1 // хм, и правда, в redox ipv6 пока не завезлино ipv4 же есть и функционал сравним , JL2001 (ok), 06:42 , 29-Окт-20, (24) Братство свидетелей святого Rust , Аноним (34), 10:09 , 29-Окт-20, (36) –3 // Нет это весёлые тролли Не обращайте внимания Они сами исчезнут , Аноним (-), 16:25 , 31-Окт-20, (75) Отродясь такого не бывало, и опять то же самое , Аноним (4), 22:24 , 28-Окт-20, (4) +1   А что так Не хотят давать возможность для ловли лулзов Да ладно, мы уже привыкл, Аноним (-), 23:00 , 28-Окт-20, (8) +3   // Да там как обычно, надо сырцы эксплоита патчить под свою систему, компилять и за, Аноним (9), 23:14 , 28-Окт-20, (11) –4 Мда, ещё более бессодерждательно нежели недавняя новость про дыры в netbsd по, Дон Ягон (ok), 23:14 , 28-Окт-20, (12) +2   // Ну там outgoing IPv6 connections , а здесь, по сути, есть ненулевая вероятность, Аноним (15), 00:14 , 29-Окт-20, (15) +1 // Лучше может быть только безусловное выполнение от рута любой присланной извне ко, Аноним (7), 00:41 , 29-Окт-20, (18) +1 Ну и не такая большая вероятность RCE, на самом деле, зависит очень от многого Н, Дон Ягон (ok), 01:54 , 29-Окт-20, (19) –2 Немного повтыкал я в суть проблемы Ты прав, весьма похоже на CVE-2020-16898 Там, Дон Ягон (ok), 03:42 , 29-Окт-20, (21) +1 // Ядро OS должно очищать память перед освобождением https en m wikibooks org w i, Аноним (31), 08:56 , 29-Окт-20, (31) –5 О даа Тео ЛИЧНО запретил, мммм, не знаю, портировать KASAN из netbsd ради 1 пр, Дон Ягон (ok), 13:03 , 29-Окт-20, (42) –1 Для тебя персонально, в DAC необходимо также включать процессы в оперативке Пока, Аноним (63), 16:16 , 30-Окт-20, (63) uname ls -l procOpenBSDcolorls proc No such file or directory, Дон Ягон (ok), 17:02 , 30-Окт-20, (64) А, да, memory poisoning В ядре openbsd это есть и ЕМНИП появилось там это раньше, Дон Ягон (ok), 01:15 , 30-Окт-20, (58) +2 Нет В виде неофициальных патчей к ядру Linux была раньше По ссылкам правильная , Аноним (63), 16:08 , 30-Окт-20, (62) И именно поэтому всем на это начхать Нет, это костыльный и неправильный путь, си, Дон Ягон (ok), 18:15 , 30-Окт-20, (65) +2 Строгий контроль со стороны процессора и ядра OS -- единственное решение которое, Аноним (70), 10:27 , 31-Окт-20, (70) Строгий контроль граждан государством - единственный способ избежать революции Н, Аноньимъс (?), 10:56 , 31-Окт-20, (72) +1 В свободном ПО есть возможность независимой верификации Средства контроля прост, Аноним (80), 08:12 , 01-Ноя-20, (80) –1 И поэтому постоянно находят всё новые и новые ошибки, наберите воздуха, готовы , Аноньимъ (ok), 16:44 , 01-Ноя-20, (82) В твоих устах это больше похоже на религиозную мантру, чем на аргумент Баги и д, Дон Ягон (ok), 22:05 , 31-Окт-20, (78) +1 Компилятор с хорошими опциями компиляции укажет программисту на ошибки безопасно, Аноним (80), 08:35 , 01-Ноя-20, (81) Они - это кто Линус и Шпенглер Ничего, что Brad Spengler - это как раз из grse, Дон Ягон (ok), 18:10 , 01-Ноя-20, (84) _remote_ code exec, куда еще содержательней это local по сути - вызывается дейст, пох. (?), 09:31 , 29-Окт-20, (32) –1 // А это изначально из текста новости было неясно Ссылку на твиттер Вилларда в неё, Дон Ягон (ok), 12:54 , 29-Окт-20, (41) никогда не использовал ipv6, но в этот раз точно буду протокол от народа , б.б. (?), 03:31 , 29-Окт-20, (20) –2   // правильно, должен же кто-то за дефицитные ipv4 платить, всего 2 бакса в месяц , Аноним (87), 20:49 , 22-Ноя-20, (87) Only two remote holes in the default install, in a heck of a long time сайт, Аноним (22), 05:26 , 29-Окт-20, (22) +2   // Там просто речь всегда идет о двух последних найденных дырах А те, что до них, , Аноним (27), 08:09 , 29-Окт-20, (27) +3 // Наверняка список найденных дыр золотая рыбка обновляла , Онаним (?), 08:45 , 29-Окт-20, (30) +3 Надо устроить опрос, что, по мнению опеннетовских аналитиков, более эффективно п, Аноним (38), 10:44 , 29-Окт-20, (38) +1   // Неиспользование C более мощно Оно автоматически влечёт неиспользование IPv6 ,, Аноним (34), 16:00 , 29-Окт-20, (45) +2 Как хорошо, что я запрещаю ипв6 ещё при установке - , псевдонимус (?), 12:01 , 29-Окт-20, (39) +1   // А когда он появится у твоего провайдера, что делать будешь , Аноним (34), 15:55 , 29-Окт-20, (44) +1 // Попробую муравью хрен приделать - Он не появится, ибо бесполезен , псевдонимус (?), 16:41 , 29-Окт-20, (46) +1 Расскажи, сколько провайдеров в Штатах раздают белые IPv6 обладателям яойфонов , Аноним (9), 18:49 , 29-Окт-20, (50) +4 // Если обычного юзера с ведром или гейфоном, с хромобраузером на борту выпустить в, псевдонимус (?), 22:28 , 29-Окт-20, (54) +1 На гейфонах нет хромобраузера Если что , Аноним (61), 13:37 , 30-Окт-20, (61) +1 Будет Всё будет Алсо, белый опи v6 не так работает как v4 , Аноньимъс (?), 10:59 , 31-Окт-20, (73) +1 Его тоже прекрасно трахают И работает он также, псевдонимус (?), 18:51 , 31-Окт-20, (76) Так он и должен трахаться, в этом вся суть , Аноньимъ (ok), 17:02 , 01-Ноя-20, (83) ботнетом они и так становятся, наставив апкшек от неПети, а кирпич вообще пробле, Аноним (87), 20:52 , 22-Ноя-20, (88) Уважаемые Анонимные Эксперты Напоминаю Вам, что с каждой загрузкой в OpenBSD нов, Аноним (-), 17:43 , 29-Окт-20, (47) +1   // Уважаемый Разработчик Если система с опенбсд на борту используется в качестве ш, псевдонимус (?), 18:46 , 29-Окт-20, (48) // А если используется линукс, виндовс, или проприетарная ос, её падение не будет о, Аноньимъс (?), 11:02 , 31-Окт-20, (74) // Как это оправдывает опенбсд , псевдонимус (?), 18:53 , 31-Окт-20, (77) –1 От чего оправдывает Кто-то в чем-то обвиняет OpenBSD Мы тут на суде , Аноньимъ (ok), 23:22 , 31-Окт-20, (79) +1 Брутфорсить не обязательно, надо подождать когда найдут очередной способ обойти , Ordu (ok), 05:59 , 30-Окт-20, (60) +1 // Удалённо , Дон Ягон (ok), 18:16 , 30-Окт-20, (66) // Это по-разному бывает Дыры довольно непредсказуемые вещи Посмотри на современн, Ordu (ok), 19:13 , 30-Окт-20, (67) +1 Согласен Но всё же удалённая утечка инфы о структурах ядра - имхо, это что-то, , Дон Ягон (ok), 19:44 , 30-Окт-20, (68) Тео про еррату, степень опасности, слоган и пр We ve released the errata as se, Дон Ягон (ok), 22:13 , 30-Окт-20, (69)   ping of the death опять на чужих ошибках учиться не того почему это сейчас, а, Аноним (-), 20:45 , 21-Ноя-20, (86)   1,2,4,8,12,20,22,38,39,47,69,86

Сообщения

[Сортировка по времени | RSS]

1. "Удалённая уязвимость в IPv6-стеке OpenBSD"	+8 +/–
Сообщение от Аноним (1), 28-Окт-20, 22:17
Ha-ha, classic!
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

2. "Удалённая уязвимость в IPv6-стеке OpenBSD"	–2 +/–
Сообщение от JL2001 (ok), 28-Окт-20, 22:18
> использованию уже освобождённой области памяти mbuf (use-after-free) rust, приди!! порядок наведи!!!
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

4. "Удалённая уязвимость в IPv6-стеке OpenBSD"	+1 +/–
Сообщение от Аноним (4), 28-Окт-20, 22:24
Отродясь такого не бывало, и опять то же самое!
Ответить | Правка | Наверх | Cообщить модератору

8. "Удалённая уязвимость в IPv6-стеке OpenBSD"	+3 +/–
Сообщение от Аноним (-), 28-Окт-20, 23:00
> Степень опасности проблемы и возможность > создания эксплоита не уточняется. А что так? Не хотят давать возможность для ловли лулзов? Да ладно, мы уже привыкли...
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

12. "Удалённая уязвимость в IPv6-стеке OpenBSD"	+2 +/–
Сообщение от Дон Ягон (ok), 28-Окт-20, 23:14
Мда, ещё более бессодерждательно нежели недавняя новость про "дыры в netbsd" (по меньшей мере 3-4 из которых тот же исследователь тремя годами ранее нашёл в openbsd без какого либо дополнительного освещения). Про текущее: там даже в ссылках на еррату более вопиющее есть (например: Incorrect use of getpeername(2) storage for outgoing IPv6 connections corrupts stack memory), а если прошлые почитать, там похожего ещё вагон (как и примерно везде). В чём событие - не понятно, в общем. Как будто никогда такого не было )
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

20. "Удалённая уязвимость в IPv6-стеке OpenBSD"	–2 +/–
Сообщение от б.б. (?), 29-Окт-20, 03:31
никогда не использовал ipv6, но в этот раз точно буду. протокол от народа.
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

22. "Удалённая уязвимость в IPv6-стеке OpenBSD"	+2 +/–
Сообщение от Аноним (22), 29-Окт-20, 05:26
** Only two remote holes in the default install, in a heck of a long time! ** сайт забыли обновить, там уже давно не two )
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

38. "Удалённая уязвимость в IPv6-стеках OpenBSD и FreeBSD"	+1 +/–
Сообщение от Аноним (38), 29-Окт-20, 10:44
Надо устроить опрос, что, по мнению опеннетовских аналитиков, более эффективно против подобных уязвимостей: неиспользование ipv6 или неиспользование Си?
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

39. "Удалённая уязвимость в IPv6-стеках OpenBSD и FreeBSD"	+1 +/–
Сообщение от псевдонимус (?), 29-Окт-20, 12:01
Как хорошо, что я запрещаю ипв6 ещё при установке:-)
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

47. "Удалённая уязвимость в IPv6-стеках OpenBSD и FreeBSD"	+1 +/–
Сообщение от Аноним (-), 29-Окт-20, 17:43
Уважаемые Анонимные Эксперты! Напоминаю Вам, что с каждой загрузкой в OpenBSD новое уникальное ядро. И если цель не просто крэшнуть ядро, а получить рута нужно правильно вычислить memory layout ядра и лишь потом можно будет предпринять попытку захвата контроля. Ошибка на любом этапе приведёт к повреждению ядра и остановке системы. Реальное исполнение подобного без возможности "брутфорсить" aslr невозможно. Если только кто-то не будет заботливо поднимать систему до тех пор, пока у атакующего не наступит успех. Кстати, после перезагрузки ядро будет уже снова другое.
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

69. "Удалённая уязвимость в IPv6-стеке OpenBSD"	+/–
Сообщение от Дон Ягон (ok), 30-Окт-20, 22:13
Тео про еррату, степень опасности, слоган и пр.: "We've released the errata as security because it is possibly exploitable or could cause a crash, and we have a rapid fix release process.  It was released without even seeing any evidence of a remote crash, nor any evidence of a remote exploit.  Incorrect code gets fixed, and if we judge it important we release a fix to the public in expedited fashion, and apparently get judged for doing so. Now that the fix is released and deployed by most openbsd users, we quickly become uncurious and head back to other work.  The only conversations related to this are asking how we can harden the mbuf layer to avoid similar issues in the future. I guess many other operating systems would wait weeks or months to collect all the "facts" and make a fancy disclosure, but we shipped source and binary fixes in just over 24 hours. So, is it a remote crash?  Possibly, but we'd like to see a packet that causes it. Next after that, is it a remote exploit? I think it is fair to wait for facts." Запасаемся попкорном и ждём продолжения (эксплоита?).
Ответить | Правка | Наверх | Cообщить модератору

86. "Удалённые уязвимости в IPv6-стеках OpenBSD и FreeBSD"	+/–
Сообщение от Аноним (-), 21-Ноя-20, 20:45
ping of the death? опять? на чужих ошибках учиться не того? почему это сейчас, а не 10 лет назад то? это первый кто код ipv6 в bsd прочитал?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема