Компания Cisco выпустила (https://tools.cisco.com/security/center/content/CiscoSecurit...) обновление прошивки, в котором устранена критическая уязвимость (CVE-2017-3881), позволяющая получить доступ к коммутаторам на базе Cisco IOS и Cisco IOS XE, поддерживающим протокол CMP (Cluster Management Protocol). Атакующий может получить полный контроль над коммутатором, передав специфичный набор опций CMP при обращении к устройству через telnet. В том числе уязвимости подвержены популярные модели коммутаторов Cisco Catalyst 29xx, 35xx, 37xx, 45xx, 49xx.
Уязвимость подтверждена в 318 моделях коммутаторов Cisco и позволяет без аутентификации выполнить любые команды в интерфейсе командной строки, при наличии у атакующего доступа к коммутатору по протоколу telnet. Проблема вызвана ошибкой в реализации протокола CMP, предназначенного для построения кластеров коммутаторов, и связана с тем, что опции CMP могли использоваться не только для локально подключенных между собой устройств, но и при внешнем запросе по сети.
В качестве обходного пути защиты можно ограничить доступ к 23 сетевому порту (telnet) или отключить обработку опций CMP. Информация об уязвимости была выявлена в ходе разбора мартовской (https://www.opennet.me/opennews/art.shtml?num=46157) утечки документов ЦРУ.URL: https://arstechnica.com/security/2017/05/cisco-kills-leaked-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=46522
Компания Cisco выпустила обновление прошивки, которое вы можете скачать с сайта производителя за 9.85$ при условии действующей гарантии и подтверждения подписки на ежечасный сборник ссылок "Wise housewife".
Предпочитаете чтобы было как с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?Любая тех. поддержка стоит денег.
Серьезно? Вы считаете, что даже патчи для таких серьезных дыр можно распространять за деньги?Если такая "поддержка" стоит денег, то пусть открывают исходники, за них поработают другие люди. Дыр меньше будет.
Чтобы патч написать нужно потратить время разработчика. Это стоит денег.> Если такая "поддержка" стоит денег, то пусть открывают исходники
Не вижу логической связи между двумя частями предложения. У вас есть возможность использовать другие продукты других разработчиков, если считаете что у них больше/лучше.
Поддержка везде стоит денег. Просто эти деньги иногда платите вы лично, а иногда АНБ. Знаете, кто платит, тот и заказывает музыку. Предпочитаю платить сам.
> Чтобы патч написать нужно потратить время разработчика. Это стоит денег.Принимать надо профессионалов, а не по блату или с улицы. И если компания пытается сэкономить на стоимости разработки, то все издержки должен оплачивать производитель, а покупатель. Например, ты покупаешь машину, а в ней какой-то заводской недочет. Ты в сервис, а с тебя "бабки" трясут. Ты согласишься и отдашь за то, что должны сделать бесплатно?
> У вас есть возможность использовать другие продукты других разработчиков
Так может тогда производитель деньги вернет, а не наживается на потребителях еще раз?
Предложи Google монетизировать поддержку своих продуктов и люди перейдут на обычные телефоны.
* а не покупатель.
Если уж ты упомянул автомобиль, не подскажешь в каком сервисе выполняют бесплатное тех. обслуживание? А сколько автомобилей ты уже вернул потому что тебе отказали в бесплатном тех. обслуживании после первых 3 лет эксплуатации?
Могу послать в гугл за данными о том, как часто отзывают автомобили из-за потенциального критического дефекта. Это происходит довольно часто. Тут ситуация абсолютно та же.Пойми, никто не требует новых фишечек бесплатно. Тут можно согласиться, что подобные обновления можно получать за деньги. Но то, за что ты изначально платил, должно функционировать железно. Без уязвимостей. Simple as that.
Автопроизводитель даёт гарантию и отзывает только в пределах гарантийного (= заранее оплаченного и включённого в стоимость при покупке) срока. Обычно предлагают доплатить чтобы продлить этот срок ещё на несколько лет. За пределами срока - за свой счёт.С патчами ситуация аналогичная: в стоимость продукта обычно включено несколько лет бесплатных обновлений, дальше за деньги.
> Без уязвимостей
Пока нет возможности математически доказать отсутствие ошибок в коде, под таким никто не подпишется.
> Но то, за что ты изначально платил
Там обычно написано что-то вроде такого (далее п.15 лицензии GPL в переводе с оф.сайта):
НА ПРОГРАММУ НЕ ПРЕДОСТАВЛЯЕТСЯ НИКАКИХ ГАРАНТИЙ ЗА ИСКЛЮЧЕНИЕМ ПРЕДУСМОТРЕННЫХ
ДЕЙСТВУЮЩИМ ЗАКОНОДАТЕЛЬСТВОМ. ЕСЛИ ИНОЕ НЕ УКАЗАНО В ПИСЬМЕННОЙ ФОРМЕ,
ПРАВООБЛАДАТЕЛИ И (ИЛИ) ТРЕТЬИ ЛИЦА ПРЕДОСТАВЛЯЮТ ПРОГРАММУ "КАК ЕСТЬ", БЕЗ
КАКИХ-ЛИБО ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ, ВКЛЮЧАЯ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ
КОНКРЕТНЫХ ЦЕЛЕЙ, НО НЕ ОГРАНИЧИВАЯСЬ ИМИ. ВЕСЬ РИСК, СВЯЗАННЫЙ С КАЧЕСТВОМ И
ПРОИЗВОДИТЕЛЬНОСТЬЮ ПРОГРАММЫ, ВОЗЛАГАЕТСЯ НА ВАС. ЕСЛИ В ПРОГРАММЕ БУДУТ
ВЫЯВЛЕНЫ НЕДОСТАТКИ, ВЫ ПРИНИМАЕТЕ НА СЕБЯ СТОИМОСТЬ ВСЕГО НЕОБХОДИМОГО
ОБСЛУЖИВАНИЯ, РЕМОНТА ИЛИ ИСПРАВЛЕНИЯ.Читать умеешь? "Весь риск возлагается на вас", "вы принимаете на себя стоимость необходимого обслуживания или исправления".
> только в пределах гарантийногоhttp://www.mercedes-benz.ru/content/russia/mpc/mpc_russia_we...
Гарантийное и послегарантийное обслуживание не только выгодно ограждает от груза забот и проблем владельца автомобиля, но и оправдывает его первоначальные вложения.
Лень ковырять, но европах на машины начала прошлого века можно купить оригинальные запчасти на заводе изготовителе.
Сравнивать автопром и ИТ не совсем корректно, в ИТ нет факта износа, по крайней мере такого как у ДВС. Но даже с учетом этого, с учетом отсутствия транспортной составляющей на доставку запчастей (патчей), эти "люди" берут деньги.
Наверное, правильно сравнивать с самолетостроением. Упал самолет, весь модельный ряд в ангар до выяснения. Гарантия?. Неет, самолет будет летать пока его починка будет дешевле покупки нового, а самолет стоит как самолет, крыло дешевле приварить новое, если старое сгнило, и ведь летают и 40ка летние развалюхи, и не падают. Может потому, что законодательство жестко регламентирует, потому что кровью писано, а не писульки на туалетной бумаге, где от всех последствий производитель себя освобождает, самолеты тоже математически не просчитаны и 100% гарантии нет, однако же авиастроение не последняя отрасль.
А цисковцы просто му..ки, и пользователей за скот считают, который и так схавает, ну.. приятного аппетита.
> Чтобы патч написать нужно потратить время разработчика. Это стоит денег.Логика просто бомба: чем хуже разработчика наймёшь, тем больше бабла срубишь.
Конкуренция не позволит. А так да, ты прав.Аналогично в других областях. Напр. непрофессиональный врач может лечить больного годами пока тот не умрёт. Или не поймёт что нужно найти другого врача.
Может этот врач познал дзен ?
А непрофессионал убил бы больного за месяц.
Как шутят хирурги: у одного 2-3 неудачных операции в месяц, а у другого 2-3 удачные.
> Чтобы патч написать нужно потратить время разработчика. Это стоит денег.Я когда оборудование покупал то таких дыр не заказывал. И это не мои половые трудности что для того чтобы их заделывать вендору надо какие-то деньги тратить еще.
Если вы купите матерую дверь с замком под гарантии "все супир", и назавтра выясните что он открывается отверткой, то вы вправе потребовать чтобы вендор вам его исправил бесплатно, или вернул деньги и пускай забирает свой шрот обратно.
Совершенно прямая аналогия.
> Совершенно прямая аналогия."все аналогии сосут", но эта - совершенно кривая.
Вы не дверь купили, а технологический шкаф - с кучей крепежа (чтоб ураганом с мачты не сорвало), климатической установкой в двери, системой влагозащиты и т д.
Теперь выясняется, что замок на двери, ну надо же, в принципе могут взломать - ЦРУ растеряло описание, по которому отмычку изготовит любой слесарь (что шкафы эти чаще всего воруют вместе с куском стойки, к которой были прикручены, и всем содержимым, среди которого самое дорогое - та самая дверь, вы, в силу слабого знания предмета, вообще не в курсе).кстати, по таким багам, обычно, можно получить поддержку и без контракта - если ты достаточно убедительно рассказываешь TAC, как именно ты так криво спроектировал сеть, что у тебя телнет торчит на улицу. Серийник, учтите, проверят.
пофиксите мне LG P950... там до сих пор 4.4.2 и куча дыр..
> с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?Список устройств назвать можешь или "работодатель" еще не ознакомил?
>> с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?
> Список устройств назвать можешь или "работодатель" еще не ознакомил?ASUS zenphone 2. дальше перечислить ?
чувак, ты не в теме - совсем.
1. никакая "гарантия" не дает тебе права скачивать прошивки с цискокома. Ни задаром, ни за деньги. Гарантия - на сборку и компоненты (и она там такая унылая, что не знаю, кто ей вообще пользуется - из серии "два месяца с момента прихода сдохшей железки на наш склад в Штатах, за твой счет и с твоей растаможкой" - тебе она вообще еще нужна будет?)
2. это право дается на любую железку, на которую у тебя открыт саппорт-контракт. Бесплатно.
Сам контракт - от стольника на офисную херню до 10-20% цены на новые-модные железяки ценой дороже самолета, но, на минуточку, он включает замену железки на месте, если вдруг что-то всерьез отвалилось, и разбирательство с твоими конкретными глюками и багами вполне живым цискоиндусом (прошивку, кстати, бывает что и вовсе под тебя, любимого, собирают). Если оно тебе не надо - ты просто зачем-то приперся в салон по продаже лексусов, имея целью возить дерьмо от дачи до огорода. Тебе в садовый магазин, за тачкой.правда, как обычно "есть нюанс"... но тебе оно явно никогда в жизни не встретится.
P.S. хоть какая-то польза с ЦРУ...
Шикарный троллинг про подписку "Мудрая домохозяйка".
Трудно назвать уязвимость "критическая" - telnet давно ограничен для доступа служебной сетью, где все знают пароль от enable :)
зы. вот в свое время, когда утек "инженерный" пароль, а 23порт листелся для всех - вот было весело - traceroute и все киски твои :D
ну-ка, ну-ка... это когда на _циски_ утекал инженерный пароль?
> ну-ка, ну-ка... это когда на _циски_ утекал инженерный пароль?С вами, цискофилами, разговор короткий: сначала деньги (много) - потом вопросы.
"Информация об уязвимости была выявлена в ходе разбора мартовской утечки документов ЦРУ." - не уязвимость устранили, а закрыди бекдор, пишите правильно.
Не закрыли бекдор, а изменили условия его активации. Пишите правильно.
А что, в этих моделях циски только телнет был?
телнет во всех есть, а вот для ssh нужен IOS с шифрованием.
АНБ попрсило обновить бэкдор для продолжения совместоного контракта по глобальному нанесению ущерба.
дайте эксплойт
А волшебное слово где?
> А волшебное слово где?sudo !! ему
убунтёнок без капабилитесов