Определены победители ежегодной премии Pwnie Awards 2020, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54243
Кто же лучший генератор шаблонных комментариев?
про djb улыбнуло.
Он почти как lbt с DirtyCow
> Fedora 31 через переполнение буфера в telnetdрудхат, прудашкн, огрызки, кукареку...
> про djb улыбнуло.И на старуху бывает проруха.
Вроде бы, разнос его по этому поводу был давно. Почему только в этом году премию дали?
Видимо, пошел как замена реальному факапу какой-нибудь мозиллы, мс, ораклу или тупо Поттеринга. Для отвлечения так сказать
Я конечно могу ошибаться, но емнип в 2005м это нельзя было эксплуатировать, потому что дефолты ограничивали ресурсы qmail-smtpd. Сейчас же проблему переоткрыли под другим углом: оказалось, что аналогичный дефект есть в qmail-local, а он уже не ограничен по ресурсам. Ну то бишь это на самом деле другая проблема, которая вскрылась недавно. И той же её можно считать только при поверхностном рассмотрении.Я также не уверен, что в данном случае это будет рассмотрено как проблема кода, поскольку Дэниел может вполне себе воспользоваться тем же приёмом, что и в прошлый раз: мол, если не выставили ограничения ресурсов -- то сами себе буратины. В принципе позиция djb понятна: qmail -- это знаковый проект Дэниела, презентующий его как специалиста в области ИБ. Отсутствие критических ошибок в нём с 1997го года -- это его пиар. =)
Но хочу отметить, что за новостями по Бернштейну и его творчеству не слежу, так что могу чего-то не знать. Имхо, если он сейчас выйдет и скажет "да, если бы я предусмотрел это в коде, не надо было бы ресурсы ограничивать", то всё равно за ним уже 23 года "идеального" кода будет. Но пиар есть пиар. )
Идеального?!
Почти все продукты профессора - tаxi-бе, а уж ку-мыло то - точно уберОНО! :)
Награда нашла героя.
Да с djb-то как раз всё понятно. Ну не получится прислать ему письмо, где одна строка конверта будет четыре гигабайта. Или кто-то в здравом уме на почтовом сервере не устанавливает ограничения по памяти на процесс?
А вот интересно, минусуют те, кто предпочитает дождаться, пока oom killer убьет невиновного, или по каким-то другим мотивам?Я ведь хорошо помню первый разбор этой «уязвимости», которой невозможно воспользоваться на реальном почтовом сервере. Работает только в лабораторных условиях и локально.
Говнокомпания - Майкрософт. Говнопродукт - Google Chrome. Туда им и дорога.
> Говнокомпания - Майкрософт. Говнопродукт - Google Chrome. Туда им и дорога.Вот, правильный раб! Старание ему причиняет хромог, но компания зла по-прежнему - microsoft! Ни на секунду не усомнился.
"Самая ламерская реакция производителя (Lamest Vendor Response)."Ламерский тут перевод. Lamest - Глупейшая\Тупейшая реакция
Скорее, "убогий", "калеченный".
Наиболее левая отмазка вендора
Ламер не видит границ собственной компетенции, строит из себя специалиста, тогда как таковым не является. http://www.jargon.net/jargonfile/l/lamer.htmlТак что перевели верно (насколько корректно присвоена номинация -- это другой вопрос; учтите, она касается реакции, а не личности). Наиболее близкое по смыслу слово -- шарлатан, но его традиционно применяют к продавцам ослиной мочи под видом эликсира бессмертия (то есть шарлатан осознаёт, что обманывает).
Ты бы сперва узнал про то, что слова могут заимствоваться из одного языка в другой, а потом хамил автору перевода в следующий раз.
> Ты бы сперва узнал про то, что слова могут заимствоваться из одного
> языка в другой, а потом хамил автору перевода в следующий раз.Это вы про "заимствования" вроде "преферать слайсить над целым писом" ? Нет спасибо.
Ну так не юзай заимствования, раз так их хейтишь. А другим позволь выражаться так, как им угодно.>> преферать слайсить над целым писом
Во-первых: ничего не понятно.
Во-вторых: это нельзя считать заимствованиями в русском языке, т.к. широта их расспространения очень невелика, и используется либо совсем уж узким кругом лиц, либо же вообще только тобой и в рамках этого комментарии. Иностранное слово можно считать заимствованием только когда большинство носителей языка, заимствующего слово, понимают его значение. Т.е. "компьютер", "хейтить", "трек", "стикер" - заимствования. А всякие "переферы", "скейлы", "писы" и "нэйберхуды" - нет."Ламер" попадает под иную категорию - это профессиональный сленг. И его вполне уместно использовать в кругу лиц, которые этот сленг понимают. Мамины опеннетеры, я полагаю, входят в их число, так что никакого криминала тут нет.
Но энивэй, хейтерс гонна хейт.
Чет странно, что systemd в этом году не взяло хотя бы несколько номинаций.
В соседней новости отмечено гуглом как критически важный проект. trollface.webp
> Чет странно, что systemd в этом году не взяло хотя бы несколько номинаций.Бернштейн ничем не хуже Поттеринга.
- встраиваемые устройства
- с прошивкой на базе Fedora 31
- в telnetdЭто скорее номинант на "самая ненужная уязвимость".
> Это скорее номинант на "самая ненужная уязвимость".Да вот не скажи - поскольку про все остальные можно махнуть рукой и забыть (вендоры попатчили сто лет как, или никем нигде давно не используется, или "опять хромог") а тут как-то остается осадочек - какая ж это именно индусская макака и в каком ненужном(ли?) гаджете ухитрилась ЭТО сделать одновременно (и еще, небось, привычным жестом отключив selinux) ?
Вот что это вообще могло бы такое быть?! 8-O
> Вот что это вообще могло бы такое быть?! 8-OMost WTF award! Xтобы это взломать, сперва придется это у себя установить, потому что врядли удастся это найти где-нибудь еще.
Где бы взять твоей уверенности в том, что китайско-индусский коллектив уже не понаустанавливал :-(Вот откуда вообще взялась такая комбинация? Точно-точно не в дикой природе изловлено?
> Где бы взять твоей уверенности в том, что китайско-индусский коллектив уже не понаустанавливал :-(Ни разу не встречалось. Удачи в поиске.
> Вот откуда вообще взялась такая комбинация? Точно-точно не в дикой природе изловлено?
Вопрос в количестве этого добра, не похоже что сильно массовое.
железок, управляемых телнетом тебе ни разу не встречалось?
А про все остальное - к сожалению, можно только пытаться угадать.Мож у китайцев звер-CD ходит по рукам с доходчивой инструкцией по установке в каждый холодильник и шибкоумную лампочку...
То ись я на измене не из-за телнета, а как раз из-за того, что, похоже, нашелся ненормальный, всунувший одноразовый дистрибутив в эмбедовку. И, возможно, тыщи их.
> железок, управляемых телнетом тебе ни разу не встречалось?Сейчас ssh уже как правило - даже в совсем китайских мыльнцах за 20 у.е..
> Мож у китайцев звер-CD ходит по рукам с доходчивой инструкцией по установке
> в каждый холодильник и шибкоумную лампочку...Для такого комбо проца и памяти надо сильно больше чем китайская жаба позволяет.
> того, что, похоже, нашелся ненормальный, всунувший одноразовый дистрибутив в эмбедовку.
> И, возможно, тыщи их.Дистров может быть. А железок должно быть не сильно много. Особенно на федоре, которая для этого подходит чуть лучше чем фекалии для пуль
А в американских - далеко не всегда, особенно поставляемых в эрефию.
Законы аднака.
- Самый большой провал (Most Epic FAIL)
- компании Microsoft
- CVE-2020-0601
- позволяющую сгенеровать закрытые ключи на основе открытых ключейЭто номинант на категорию "внезапно спалившаяся фича".
Стали бы гиганты IT-индустрии форсировать переход на HTTPS, если бы оно ограничивало им (и дружественному им майору) доступ к данным пользователей? Вряд ли.
Ключевое слово здесь IT-ИНДУСтрия.
вообще все асиметричные алгоритмы позволяют это сделать. сюрприз ?.. вопрос только в сложности - достаточно чуть чуть ошибиться, как все становится очень легко.
> легендарный Дэниел БернштейнО, вот это в кассу. Будет чем троллить его фанатов из числа малолетних свидетелей tor, VPN, IM с e2e-шифрованием и прочих криптоништяков для рванья системы.
Вообще охренеть, 1 ошибку за чертову кучу времени влепил. Может быть, стоит сравнить сколько ошибок за то же время эти самые тролли понаделали? :)А криптоништяки что, они свое дело делают. И пользуются ими именно поэтому. Кстати, большинство крипто там использует вовсе не DJBшные либы, а какой-нибудь libsodium или что там еще, от совершенно посторонних людей. Но чтобы троллить в такой ерунде можно и не разбираться :)
Одну? Навскидку, CVE-2012-1191, CVE-2009-0858, CVE-2008-4392 — и это только djbdns.
Только. Хм. А что если сравнить с другими программами этого типа?
Там, кажется, есть два вида всего:
- В десятки раз хуже.
- Нахрен не впершиеся, а потому необследованные.Так то поставить васянднс можно и его даже может и не хакнут конечно - но только потому что пыхтеть с исследованием васяноподелки у 10 человек на всю планету хакерам было совсем уж неинтересно, какой с этой возни профит?
Важно уточнить, что на защиту через незнание расчитывать не стоит. Всегда найдётся кто-то, кто будет атаковать не васянднс, а то, за чем он стоит
> Важно уточнить, что на защиту через незнание расчитывать не стоит. Всегда найдётся
> кто-то, кто будет атаковать не васянднс, а то, за чем он стоитНу так при этом не так уж и важно какой там днс тогда. Все-равно скорее всего вот оно - сильно дырявее.
> Одну? Навскидку, CVE-2012-1191, CVE-2009-0858, CVE-2008-4392 — и это только djbdns.1) Как это относится к DJBшному крипто
2) можешь MSовским крипто пользоваться, из номинации пониже, если так тебе безопаснее.
libsodium - это форк nacl, а nacl - как раз либа, созданная djb.
> libsodium - это форк nacl, а nacl - как раз либа, созданная djb.Это такой весьма условный форк - перепахавший все вдоль и поперек, оптимизированный и все такое. И кстати вот там уже вопрос сравнимо ли это с кодом DJB и сколько новых багов в этом процессе там влепили.
А так DJBшное добро влезает в tweetnacl, который можно по сути наизусть выучить. Покажите мне в ЭТО бэкдор? Там кода мизер и его можно самому прочитать от и до.
> А криптоништяки что, они свое дело делают.Ога. Сноуден подтверждаэ.
> Ога. Сноуден подтверждаэ.Ну так давай пруфлинк где там хоть звук про DJB и его крипто в его сливах. А то там почему-то только про NIST'овские "стандартные" кривые и прочие хайтечные игрушки NSA.
А я разве упомянул Сноудена применительно к Бернштейну? Речь шла о криптоништяках, которые "свое дело делают". А то, что свидетели криптоништяков одновременно с этим являются фанатами Бернштейна и легко ведутся на троллинг, если затронут их кумир - это как раз ты и показал.
>> легендарный Дэниел Бернштейн
> О, вот это в кассу. Будет чем троллить его фанатов из числа малолетних свидетелей tor, VPN, IM с e2e-шифрованием и прочих криптоништяков для рванья системы.Ой да ладно. Сомнительно как-то pwned. Но ДАЖЕ если признать новую обнаруженное поведение qmail-local как pwned -- то всё равно, 23 года в зачёт Даниелю. Это уже нереально долгий срок. =)
> встраиваемые устройства с прошивкой на базе Fedora 31
> через переполнение буфера в telnetd.Это в порядке глума над хакерами? Типа, попробуйте вообще это где-нибудь найти, кроме своего тестового сетапа?! Trololo awards!
уязвимость в федоре, но вот почему то патчи и фиксы распространяются в виде пакетов для дебианов... :)
> уязвимость в федоре, но вот почему то патчи и фиксы распространяются в
> виде пакетов для дебианов... :)Может быть, они все-таки не смогли найти такое именно с федорой? Или они заодно решили троллануть на тему alien :)
> получить права администратора в
> контроллере домена Windows или Samba.Astrologists proclaim week of Comodohackers. Comodohackers population DOUBLED!
Насчёт qmail: а в самом деле, нахрена почте 64 бита? Что это за почта такая?
Это такой троллинг 2**64 уровня.
Это чтобы ты дорогой мог прислать мне эмодзи и свой большой HTML
Если мне не изменяет память, на тело письма как раз ограничений нет, ошибка возникает при обработке строки конверта длиннее четырех гигабайт. Да раньше система процесс прибьет, поскольку лимиты обычно стоят разумные, а не «побольше, побольше».
Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft...."Не баг, а фича!" - дружно вскричали сотрудники СпецСлужб. ^_^
>> "Не баг, а фича!" - дружно вскричали сотрудники СпецСлужб. ^_^Они там небось ставки делают и соревнуются кто лучше "спрячет" на виду у всех очередную такую фичу.
Немного обидно, когда твою работу десятилитями никто не замечает, ну, кроме нескольких сотрудников.
безопасность для всех, неполная проверка ecdsa сертов на основе публичного ключа в одной криптолибе могла подставить другие летсдекрипт инициативы при проверках на бордерах, например.
> Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенеровать закрытые ключи на основе открытых ключей.Неудачно замаскированная стандартная заказная фича. Все так делают, но попался в этом году Microsoft.
Первые версии Internet Explorer имели логотип с земным шаром, который крутился в обратную сторону.Ты точно уверен, что Майкрософт тупо не лажанулся?
Звучит страшно.
My Little Pwnie: Lamership is tragic.
> My Little iPwnie.//fix
>> My Little iPwnie.Я его ждал )
Microsoft Most Epic FAIL Backdoor
>> Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.А как она эксплуатируется? Этим может воспользоваться какой-то "левый процесс" на атакуемой машине? Или - зловред на стороне ISP?
Как узнать уязвима ли моя система?
Уязвима.
в P=kG G-не уточнялся