forum.opennet.ru

Составление сообщения

Исходное сообщение

"(offtopic) Debian, OpenSSL и нюансы общения"
Отправлено Michael Shigorin, 11-Май-12 00:30

> Нафига и что тут скрывать-то?
По данной проблеме -- возможно, стоило уходить с виду ASAP (всё-таки шансы отловить информацию в рассылке меньше шансов отловить там плюс в более релевантных местах вроде VCS).
По другим -- повторюсь, средства координации есть, было бы желание.
> Кроме того, не представляю как через *это* координировать мало-мальски большой проект.
Выделенными людьми на security@.

> Вы, видимо, предлагаете до загрузки пакетов исключить из public все:
Для некоторых видов дырок -- да, именно так.
> общаться между собою мейнтейнерам посредством голубиной почты?
Ваш покорный слуга несколько раз такие обновления готовил, ни один голубь не упарился.
> Все-равно вы никак не устраните лаг между выходом DSA и
> обновлением пакетов у конечных пользователей.
Конечно, но vulnerability window уменьшится.
> Так что лично я за то, чтобы о проблемах знали как можно скорее не только те
> "кому надо" - но и конечные пользователи (например, я).
Зачем именно?
>>> А еще там были пакеты, зависящие от openssl.
>> Да ладно, ещё бы ABI ему сломали вместе с RNG.
> А причем тут ABI? Там ключи слабые генерились
Вот и я говорю, что ни при чём и слово "зависящие" неудачно употребили.
> и для openssh, к примеру, был выпущен апдейт, чтобы все это дело вылечить.
Это не "зависящие от openssl". Конкретно по openssh -- не "вылечить", а влепить чёрный список (который потом, помнится, solardiz и ещё один человек из Owl Team нашли способ оптимизировать в более компактный вид).
А, вот: http://lists.altlinux.org/pipermail/sisyphus/2008-May/330763...
PS: и сюда же для аллергиков: http://openwall.com/lists/oss-security/2008/05/27/3

Исходное сообщение
"(offtopic) Debian, OpenSSL и нюансы общения" Отправлено Michael Shigorin, 11-Май-12 00:30
> Нафига и что тут скрывать-то? По данной проблеме -- возможно, стоило уходить с виду ASAP (всё-таки шансы отловить информацию в рассылке меньше шансов отловить там плюс в более релевантных местах вроде VCS). По другим -- повторюсь, средства координации есть, было бы желание. > Кроме того, не представляю как через это координировать мало-мальски большой проект. Выделенными людьми на security@. > Вы, видимо, предлагаете до загрузки пакетов исключить из public все: Для некоторых видов дырок -- да, именно так. > общаться между собою мейнтейнерам посредством голубиной почты? Ваш покорный слуга несколько раз такие обновления готовил, ни один голубь не упарился. > Все-равно вы никак не устраните лаг между выходом DSA и > обновлением пакетов у конечных пользователей. Конечно, но vulnerability window уменьшится. > Так что лично я за то, чтобы о проблемах знали как можно скорее не только те > "кому надо" - но и конечные пользователи (например, я). Зачем именно? >>> А еще там были пакеты, зависящие от openssl. >> Да ладно, ещё бы ABI ему сломали вместе с RNG. > А причем тут ABI? Там ключи слабые генерились Вот и я говорю, что ни при чём и слово "зависящие" неудачно употребили. > и для openssh, к примеру, был выпущен апдейт, чтобы все это дело вылечить. Это не "зависящие от openssl". Конкретно по openssh -- не "вылечить", а влепить чёрный список (который потом, помнится, solardiz и ещё один человек из Owl Team нашли способ оптимизировать в более компактный вид). А, вот: http://lists.altlinux.org/pipermail/sisyphus/2008-May/330763... PS: и сюда же для аллергиков: http://openwall.com/lists/oss-security/2008/05/27/3

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Нафига и что тут скрывать-то? > По данной проблеме -- возможно, стоило уходить с виду ASAP (всё-таки шансы > отловить информацию в рассылке меньше шансов отловить там плюс в более > релевантных местах вроде VCS). > По другим -- повторюсь, средства координации есть, было бы желание. >> Кроме того, не представляю как через это координировать мало-мальски большой проект. > Выделенными людьми на security@. >> Вы, видимо, предлагаете до загрузки пакетов исключить из public все: > Для некоторых видов дырок -- да, именно так. >> общаться между собою мейнтейнерам посредством голубиной почты? > Ваш покорный слуга несколько раз такие обновления готовил, ни один голубь не > упарился. >> Все-равно вы никак не устраните лаг между выходом DSA и >> обновлением пакетов у конечных пользователей. > Конечно, но vulnerability window уменьшится. >> Так что лично я за то, чтобы о проблемах знали как можно скорее не только те >> "кому надо" - но и конечные пользователи (например, я). > Зачем именно? >>>> А еще там были пакеты, зависящие от openssl. >>> Да ладно, ещё бы ABI ему сломали вместе с RNG. >> А причем тут ABI? Там ключи слабые генерились > Вот и я говорю, что ни при чём и слово "зависящие" неудачно > употребили. >> и для openssh, к примеру, был выпущен апдейт, чтобы все это дело вылечить. > Это не "зависящие от openssl". Конкретно по openssh -- не "вылечить", > а влепить чёрный список (который потом, помнится, solardiz и ещё один > человек из Owl Team нашли способ оптимизировать в более компактный вид). > А, вот: http://lists.altlinux.org/pipermail/sisyphus/2008-May/330763.html > PS: и сюда же для аллергиков: http://openwall.com/lists/oss-security/2008/05/27/3
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру