напомнить smbv1 баги (причем не просто баги, а remote code execution баги), которые тянулись начиная с winnt4 (а скорее - даже с nt3.5 но никто эту некрофилию не проверял) и аж до win10? после самых ярких из которых майкрософт сначала перестали писать в списках ОС, подверженным уязвимостям, EOL системы, а потом - и вообще отключили smbv1 в одном из апдейтов с концами, "порадовав" этим админов сетей со старыми компами под ХР/2003?
да-да, я про те дыры, через которые, в частности, и "петя" ходил, и его предшественники... дырам 20+ лет.
Отправлено спустя 3 минуты 36 секунд:
Scoffer: ↑
23.07.2024 21:14
SergiusTheBest
Бекдор стабільні дистри не зачепив виключно через випадковий збіг обставин, а не тому що вони якось краще перевіряються. Мейнтейнер дуже спішив і наробив тупих помилок, котрі призвели до нестабільної роботи пакету по основному його функціоналу, а рандомний программер з МС, котрому дуже нудно жилось вирішив в вільний час покопатись в пакеті і знайти проблему. Якби мейнтейнер не накосячив або програмер пішов бухать в п'ятницю, то ця не просто діра, а ціла дірища галактичного масштабу автоматом розповсюдилась би по більшості дистрибутивів.
нет. на стабильных дистрах версии пакетов в принципе зафризены. и из новых версий только бэкпортятся багфиксы. потому никого бы не зацепило, кроме пользователей бета-версий дистров (всякие debian-testing и возможно fedora).
не говоря уже о том, что удаленно заюзать бекдор в архиваторе - нужно сильно постараться))) в отличие от багов в logon shell например, или в smb...
Отправлено спустя 9 минут 49 секунд:
S: ↑
23.07.2024 15:07
Это все сказочки для мечтателей, опенсорсные решения требуют в разы большего внимания со стороны IT team чем зрелые коммерческие продукты. И на опенсорсе не бывает так что бы сапорт производителя за сутки срочно что то допилил по запросу.
расскажите это клиентам оракла например - что зря они ораклу большие бабки платят за опенсорс решения, надо было все на виндах строить)))
угу. ага. а те, кто от бага crowdstrike прилег на несколько суток - это мелкие компании, недостойные называться энтерпрайзом, да
и да, для crowdstrike 99% что эта история закончится банкротством - никто больше не захочет повторить этот экспириенс. пушо убытки, уверен, оказались больше стоимости годовой подписки. возможно - на порядки. а все бабки, потраченные на интеграцию crowdstrike в инфраструктуру - оказались выброшенными вникуда.
не бесплатно, да. но если проблема есть - всегда можно найти того, кто ее пофиксит. в отличие от closed-source, где в принципе ничего пофиксить невозможно, только ждать пока вендор разродится фиксом. а на это может уйти и полгода, и больше...