URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124002
[ Назад ]
Исходное сообщение
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено opennews , 19-Апр-21 08:23 
Опубликован релиз OpenSSH 8.6, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске и позволяющей поднять уровень сбрасываемой в лог отладочной информации, в том числе реализовать возможность фильтрации по шаблонам, функциям и файлам, связанным с кодом, выполняемым со сброшенными привилегиями в процессе sshd, изолированном в sandbox-окружении...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54986

Содержание
Сообщения в этом обсуждении
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено КО , 19-Апр-21 08:24 
"настройка LogVerbose по умолчанию отключена и обычно используется только во время отладки"

N лет спустя..
Релиз OpenSSH X.X
LogVerbose по умолчанию включена

Nдцать лет спустя...
Релиз OpenSSH XX.X
Мы не ожидали, что данная атака произойдет из-за использования довольно старой уязвимости, поэтому решили её снова отключить.
Haha, classic.

"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 09:35 
Все же понимают что это жжжжж неспроста. Кто-то из определенной организации выдал команду включить, когда спалили выключи сказали: «Ой, а мы и не знали». Классика
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Qwerty , 19-Апр-21 10:56 
Из организации рептилоидов, видимо. Не забывайте пить таблеточки.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 11:15 
Из Ф...Б...Р. Эдвард Сноуден, кстати, передает вам привет из солнечного Подмосковья.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Michael Shigorin , 19-Апр-21 11:44 
Федеральное Бюро Ресследований? :}
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 13:30 
Фонд Борьбы с Расследованиями. Джулиана Асанжального.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено анончик , 19-Апр-21 09:37 
писали б на Rust не было бы такой фигни
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 09:46 
Не было бы никакого OpenSSH.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 09:52 
нет программы - нет уязвимостей в ней.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено acroobat , 19-Апр-21 11:06 
Если б на плюсах.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 11:15 
Там же умные указатели. Дырки они только сишные бывают.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено acroobat , 19-Апр-21 11:23 
> Там же умные указатели. Дырки они только сишные бывают.

А на D указателей вообще нет. Тройная защита.

"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 14:03 
Уверен? Видно ты их ещё там не откопал.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено acroobat , 19-Апр-21 14:17 
Не нужны, ибо автоматическое управление памятью.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 23:32 
Ну, может быть, в коде на pure D и не нужны. А вот для использования сишный библиотек, наверное, не обойтись.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено acroobat , 19-Апр-21 23:48 
> Ну, может быть, в коде на pure D и не нужны. А
> вот для использования сишный библиотек, наверное, не обойтись.

В extern (C) только.

"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 11:15 
Ваш rust уже избавился от самой главной уязвимости (самого программиста)?
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 14:14 
>писали б на Rust не было бы такой фигни

Юмор оценил. "устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске и позволяющей поднять уровень сбрасываемой в лог отладочной информации, в том числе реализовать возможность фильтрации по шаблонам, функциям и файлам, связанным с кодом, выполняемым со сброшенными привилегиями в процессе sshd, изолированном в sandbox-окружении." Что, как бы, намекает, что прблема в алгоритмах.

"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Zenitur , 19-Апр-21 11:49 
> Интерфейс для запроса пароля для GNOME разделён на два варианта, один для GNOME2

Рад, что  GNOME2 не забывают. Можно установить на RHEL6 и openSUSE 11.4 Evergreen

"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 19-Апр-21 14:17 
Только вот зачем гомо- ... тьфу, Гномокод пихать в прямо в OpenSSH?
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Zenitur , 20-Апр-21 11:17 
Думаю, что для GNOME Keyring.

Кстати, у меня забавная история произошла с obs. Это который система сборки, а не записи видео с экрана. Если запустить osc с ключом --help, то в числе прочего пишут "если вы пользуетесь GNOME Keyring для хранения паролей, мы вышлем вам dialup-модем".

"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено еманйам , 19-Апр-21 15:23 
>какой-то ещё не известной уязвимости

да переполнение какое-нибудь - как пить дать, с вашими дыренями

переписали б на D - небыло бы таких проблем.

"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 21-Апр-21 16:27 
Не надо ничего переписывать. Надо нормально собирать ядро и проги.
"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 20-Апр-21 00:17 
> добавлен мягкий запрет

А что это такое? Когда нельзя, но если очень хочется, то можно?

"Релиз OpenSSH 8.6 с устранением уязвимости"
Отправлено Аноним , 21-Апр-21 16:25 
> В новой версии устранена уязвимость в реализации директивы LogVerbose, появившейся в прошлом выпуске

А забить на эти обновления!