forum.opennet.ru - "Релиз OpenSSH 8.6 с устранением уязвимости" (25)

"Релиз OpenSSH 8.6 с устранением уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 8.6 с устранением уязвимости"	+/–
Сообщение от opennews (?), 19-Апр-21, 08:23
Опубликован релиз OpenSSH 8.6, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске и позволяющей поднять уровень сбрасываемой в лог отладочной информации, в том числе реализовать возможность фильтрации по шаблонам, функциям и файлам, связанным с кодом, выполняемым со сброшенными привилегиями в процессе sshd, изолированном в sandbox-окружении... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54986
Ответить \| Правка \| Cообщить модератору

Оглавление

настройка LogVerbose по умолчанию отключена и обычно используется только во вре, КО (?), 08:24 , 19-Апр-21, (2) –8

Все же понимают что это жжжжж неспроста Кто-то из определенной организации выда, Аноним (4), 09:35 , 19-Апр-21, (4) –10

Из организации рептилоидов, видимо Не забывайте пить таблеточки , Qwerty (??), 10:56 , 19-Апр-21, (12) +4

Из Ф Б Р Эдвард Сноуден, кстати, передает вам привет из солнечного Подмоско, Аноним (17), 11:15 , 19-Апр-21, (17) +1

Федеральное Бюро Ресследований , Michael Shigorin (ok), 11:44 , 19-Апр-21, (21) –1

Фонд Борьбы с Расследованиями Джулиана Асанжального , Аноним (23), 13:30 , 19-Апр-21, (23) +2

писали б на Rust не было бы такой фигни, анончик (?), 09:37 , 19-Апр-21, (5) –10

Не было бы никакого OpenSSH , Аноним (4), 09:46 , 19-Апр-21, (6) +12

нет программы - нет уязвимостей в ней , Аноним (7), 09:52 , 19-Апр-21, (7) +8

Если б на плюсах , acroobat (ok), 11:06 , 19-Апр-21, (15) –1

Там же умные указатели Дырки они только сишные бывают , Аноним (17), 11:15 , 19-Апр-21, (19) –1

А на D указателей вообще нет Тройная защита , acroobat (ok), 11:23 , 19-Апр-21, (20) –1

Уверен Видно ты их ещё там не откопал , Аноним (25), 14:03 , 19-Апр-21, (25)

Не нужны, ибо автоматическое управление памятью , acroobat (ok), 14:17 , 19-Апр-21, (28)

Ну, может быть, в коде на pure D и не нужны А вот для использования сишный библ, Аноним (30), 23:32 , 19-Апр-21, (30)

В extern C только , acroobat (ok), 23:48 , 19-Апр-21, (33)

Ваш rust уже избавился от самой главной уязвимости самого программиста , Аноним (18), 11:15 , 19-Апр-21, (18) +1
Юмор оценил устранена уязвимость в реализации директивы LogVerbose, появившейс, Аноним (25), 14:14 , 19-Апр-21, (26)

Рад, что GNOME2 не забывают Можно установить на RHEL6 и openSUSE 11 4 Evergree, Zenitur (ok), 11:49 , 19-Апр-21, (22) +1

Только вот зачем гомо- тьфу, Гномокод пихать в прямо в OpenSSH , Аноним (25), 14:17 , 19-Апр-21, (27)

Думаю, что для GNOME Keyring Кстати, у меня забавная история произошла с obs Эт, Zenitur (ok), 11:17 , 20-Апр-21, (36)

да переполнение какое-нибудь - как пить дать, с вашими дыренямипереписали б на D, еманйам (?), 15:23 , 19-Апр-21, (29)

Не надо ничего переписывать Надо нормально собирать ядро и проги , Аноним (38), 16:27 , 21-Апр-21, (38)

А что это такое Когда нельзя, но если очень хочется, то можно , Аноним (34), 00:17 , 20-Апр-21, (34) +2
А забить на эти обновления , Аноним (38), 16:25 , 21-Апр-21, (37)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от КО (?), 19-Апр-21, 08:24 –8 +/–

"настройка LogVerbose по умолчанию отключена и обычно используется только во время отладки"
N лет спустя..
Релиз OpenSSH X.X
LogVerbose по умолчанию включена
Nдцать лет спустя...
Релиз OpenSSH XX.X
Мы не ожидали, что данная атака произойдет из-за использования довольно старой уязвимости, поэтому решили её снова отключить.
Haha, classic.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 19-Апр-21, 09:35 –10 +/–

Все же понимают что это жжжжж неспроста. Кто-то из определенной организации выдал команду включить, когда спалили выключи сказали: «Ой, а мы и не знали». Классика

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

5. Сообщение от анончик (?), 19-Апр-21, 09:37 –10 +/–

писали б на Rust не было бы такой фигни

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #15, #18, #26

6. Сообщение от Аноним (4), 19-Апр-21, 09:46 +12 +/–

Не было бы никакого OpenSSH.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от Аноним (7), 19-Апр-21, 09:52 +8 +/–

нет программы - нет уязвимостей в ней.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от Qwerty (??), 19-Апр-21, 10:56 +4 +/–

Из организации рептилоидов, видимо. Не забывайте пить таблеточки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17

15. Сообщение от acroobat (ok), 19-Апр-21, 11:06 –1 +/–

Если б на плюсах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #19

17. Сообщение от Аноним (17), 19-Апр-21, 11:15 +1 +/–

Из Ф...Б...Р. Эдвард Сноуден, кстати, передает вам привет из солнечного Подмосковья.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21

18. Сообщение от Аноним (18), 19-Апр-21, 11:15 +1 +/–

Ваш rust уже избавился от самой главной уязвимости (самого программиста)?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (17), 19-Апр-21, 11:15 –1 +/–

Там же умные указатели. Дырки они только сишные бывают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

20. Сообщение от acroobat (ok), 19-Апр-21, 11:23 –1 +/–

> Там же умные указатели. Дырки они только сишные бывают.
А на D указателей вообще нет. Тройная защита.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

21. Сообщение от Michael Shigorin (ok), 19-Апр-21, 11:44 –1 +/–

Федеральное Бюро Ресследований? :}

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #23

22. Сообщение от Zenitur (ok), 19-Апр-21, 11:49 +1 +/–

> Интерфейс для запроса пароля для GNOME разделён на два варианта, один для GNOME2
Рад, что GNOME2 не забывают. Можно установить на RHEL6 и openSUSE 11.4 Evergreen

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

23. Сообщение от Аноним (23), 19-Апр-21, 13:30 +2 +/–

Фонд Борьбы с Расследованиями. Джулиана Асанжального.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Аноним (25), 19-Апр-21, 14:03 +/–

Уверен? Видно ты их ещё там не откопал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #28

26. Сообщение от Аноним (25), 19-Апр-21, 14:14 +/–

>писали б на Rust не было бы такой фигни
Юмор оценил. "устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске и позволяющей поднять уровень сбрасываемой в лог отладочной информации, в том числе реализовать возможность фильтрации по шаблонам, функциям и файлам, связанным с кодом, выполняемым со сброшенными привилегиями в процессе sshd, изолированном в sandbox-окружении." Что, как бы, намекает, что прблема в алгоритмах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

27. Сообщение от Аноним (25), 19-Апр-21, 14:17 +/–

Только вот зачем гомо- ... тьфу, Гномокод пихать в прямо в OpenSSH?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #36

28. Сообщение от acroobat (ok), 19-Апр-21, 14:17 +/–

Не нужны, ибо автоматическое управление памятью.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #30

29. Сообщение от еманйам (?), 19-Апр-21, 15:23 +/–

>какой-то ещё не известной уязвимости
да переполнение какое-нибудь - как пить дать, с вашими дыренями
переписали б на D - небыло бы таких проблем.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

30. Сообщение от Аноним (30), 19-Апр-21, 23:32 +/–

Ну, может быть, в коде на pure D и не нужны. А вот для использования сишный библиотек, наверное, не обойтись.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #33

33. Сообщение от acroobat (ok), 19-Апр-21, 23:48 +/–

> Ну, может быть, в коде на pure D и не нужны. А
> вот для использования сишный библиотек, наверное, не обойтись.
В extern (C) только.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (34), 20-Апр-21, 00:17 +2 +/–

> добавлен мягкий запрет
А что это такое? Когда нельзя, но если очень хочется, то можно?

Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Zenitur (ok), 20-Апр-21, 11:17 +/–

Думаю, что для GNOME Keyring.
Кстати, у меня забавная история произошла с obs. Это который система сборки, а не записи видео с экрана. Если запустить osc с ключом --help, то в числе прочего пишут "если вы пользуетесь GNOME Keyring для хранения паролей, мы вышлем вам dialup-модем".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

37. Сообщение от Аноним (38), 21-Апр-21, 16:25 +/–

> В новой версии устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске
А забить на эти обновления!

Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Аноним (38), 21-Апр-21, 16:27 +/–

Не надо ничего переписывать. Надо нормально собирать ядро и проги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от КО (?), 19-Апр-21, 08:24	–8 +/–
"настройка LogVerbose по умолчанию отключена и обычно используется только во время отладки" N лет спустя.. Релиз OpenSSH X.X LogVerbose по умолчанию включена Nдцать лет спустя... Релиз OpenSSH XX.X Мы не ожидали, что данная атака произойдет из-за использования довольно старой уязвимости, поэтому решили её снова отключить. Haha, classic.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 19-Апр-21, 09:35	–10 +/–
Все же понимают что это жжжжж неспроста. Кто-то из определенной организации выдал команду включить, когда спалили выключи сказали: «Ой, а мы и не знали». Классика
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #12

5. Сообщение от анончик (?), 19-Апр-21, 09:37	–10 +/–
писали б на Rust не было бы такой фигни
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #15, #18, #26

6. Сообщение от Аноним (4), 19-Апр-21, 09:46	+12 +/–
Не было бы никакого OpenSSH.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от Аноним (7), 19-Апр-21, 09:52	+8 +/–
нет программы - нет уязвимостей в ней.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

12. Сообщение от Qwerty (??), 19-Апр-21, 10:56	+4 +/–
Из организации рептилоидов, видимо. Не забывайте пить таблеточки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #17

15. Сообщение от acroobat (ok), 19-Апр-21, 11:06	–1 +/–
Если б на плюсах.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #19

17. Сообщение от Аноним (17), 19-Апр-21, 11:15	+1 +/–
Из Ф...Б...Р. Эдвард Сноуден, кстати, передает вам привет из солнечного Подмосковья.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #21

18. Сообщение от Аноним (18), 19-Апр-21, 11:15	+1 +/–
Ваш rust уже избавился от самой главной уязвимости (самого программиста)?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

19. Сообщение от Аноним (17), 19-Апр-21, 11:15	–1 +/–
Там же умные указатели. Дырки они только сишные бывают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #20

20. Сообщение от acroobat (ok), 19-Апр-21, 11:23	–1 +/–
> Там же умные указатели. Дырки они только сишные бывают. А на D указателей вообще нет. Тройная защита.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #25

21. Сообщение от Michael Shigorin (ok), 19-Апр-21, 11:44	–1 +/–
Федеральное Бюро Ресследований? :}
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #23

22. Сообщение от Zenitur (ok), 19-Апр-21, 11:49	+1 +/–
> Интерфейс для запроса пароля для GNOME разделён на два варианта, один для GNOME2 Рад, что GNOME2 не забывают. Можно установить на RHEL6 и openSUSE 11.4 Evergreen
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27

23. Сообщение от Аноним (23), 19-Апр-21, 13:30	+2 +/–
Фонд Борьбы с Расследованиями. Джулиана Асанжального.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

25. Сообщение от Аноним (25), 19-Апр-21, 14:03	+/–
Уверен? Видно ты их ещё там не откопал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #28

26. Сообщение от Аноним (25), 19-Апр-21, 14:14	+/–
>писали б на Rust не было бы такой фигни Юмор оценил. "устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске и позволяющей поднять уровень сбрасываемой в лог отладочной информации, в том числе реализовать возможность фильтрации по шаблонам, функциям и файлам, связанным с кодом, выполняемым со сброшенными привилегиями в процессе sshd, изолированном в sandbox-окружении." Что, как бы, намекает, что прблема в алгоритмах.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

27. Сообщение от Аноним (25), 19-Апр-21, 14:17	+/–
Только вот зачем гомо- ... тьфу, Гномокод пихать в прямо в OpenSSH?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #36

28. Сообщение от acroobat (ok), 19-Апр-21, 14:17	+/–
Не нужны, ибо автоматическое управление памятью.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #30

29. Сообщение от еманйам (?), 19-Апр-21, 15:23	+/–
>какой-то ещё не известной уязвимости да переполнение какое-нибудь - как пить дать, с вашими дыренями переписали б на D - небыло бы таких проблем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #38

30. Сообщение от Аноним (30), 19-Апр-21, 23:32	+/–
Ну, может быть, в коде на pure D и не нужны. А вот для использования сишный библиотек, наверное, не обойтись.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #33

33. Сообщение от acroobat (ok), 19-Апр-21, 23:48	+/–
> Ну, может быть, в коде на pure D и не нужны. А > вот для использования сишный библиотек, наверное, не обойтись. В extern (C) только.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (34), 20-Апр-21, 00:17	+2 +/–
> добавлен мягкий запрет А что это такое? Когда нельзя, но если очень хочется, то можно?
Ответить \| Правка \| Наверх \| Cообщить модератору

36. Сообщение от Zenitur (ok), 20-Апр-21, 11:17	+/–
Думаю, что для GNOME Keyring. Кстати, у меня забавная история произошла с obs. Это который система сборки, а не записи видео с экрана. Если запустить osc с ключом --help, то в числе прочего пишут "если вы пользуетесь GNOME Keyring для хранения паролей, мы вышлем вам dialup-модем".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27

37. Сообщение от Аноним (38), 21-Апр-21, 16:25	+/–
> В новой версии устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске А забить на эти обновления!
Ответить \| Правка \| Наверх \| Cообщить модератору

38. Сообщение от Аноним (38), 21-Апр-21, 16:27	+/–
Не надо ничего переписывать. Надо нормально собирать ядро и проги.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29