Бывает, но таких продуктов мало.И на опенсорсе не бывает так что бы сапорт производителя за сутки срочно что то допилил по запросу.
Истина.мелочевка всякая даже сапорт нормально часто обеспечить не может своим продуктам
Истина.Открою великую тайну - этого толком никто бесплатно не делает.
У гугл є спеціальна команда, яка цим займаються. Також різні університети над цим працюють, пишуть всякі аналізатори для пошуку вразливостей в ядрі Linux та в іншому опенсорсі - це для них наукова робота.S: ↑ 23.07.2024 15:07Открою великую тайну - этого толком никто бесплатно не делает.SergiusTheBest: ↑ 23.07.2024 13:07 В Linux їх менше, бо код відкритий, і будь-хто може його подивитися, проаналізувати, знайти і виправити проблему.
block_stupid: ↑ 23.07.2024 13:35 Тут не погоджусь, нема достовірного порівняння.
Є ж база даних вразливостей. Для прикладу, дивимося вразливості рівня "виконання коду" за 2023 рік:mrbaranovskiy: ↑ 23.07.2024 14:06 Нещодавно бачив інфографіку по наявним CVE по системах і там, так всім ненависна вінда, шось не дуже відрізнялась від лінухи.
В мене є така, 7-ме видання. Книжка must have.mrbaranovskiy: ↑ 23.07.2024 14:06 Більше, якщо би Ви взяли книжечку Марка Русcіновича (Windows Internals), то би ще і дізналися шо там не так і багато різниці між системами. Два тома, дуже рекомендую.
Один бекдор в XZ чого вартує. І скільки там ще таких непомічених включених спеціально навченими китайцями залишилось не знають мабуть і самі китайці. А так дійсно, немає сенсу ламати паркан, якщо ворота відкриті.Всі стабільні дистрибутиви бекдор XZ не зачепив. А тепер уявіть скільки таких бекдорів в закритому коді.Scoffer: ↑ 23.07.2024 20:09 Вразливості рівня виконання коду 0 звучить дуже вмішно враховуючи що на лінуксі стандартною практикою є купити або просунути свого мейнтейнера в якийсь популярний пакет, і розповсюдити пакет з дірою прямо з оф репи
Ага, заграница нам поможет. (с)SergiusTheBest: ↑ 23.07.2024 18:57У гугл є спеціальна команда, яка цим займаються. Також різні університети над цим працюють, пишуть всякі аналізатори для пошуку вразливостей в ядрі Linux та в іншому опенсорсі - це для них наукова робота.
Ага, особливо в корпорації «Київстар». Ото владачі «в спеціалістів» від богаVictor Butko: ↑ 23.07.2024 11:49Чому тоді ті корпорації які замість використання якогось "корпоративного рішення" гроші вкладають в спеціалістів, які самі створюють умови безпеки, не страждають від помилок цих рішень? Може тому що вони розрарували, що це надійніше і іноді дешевше?Scoffer: ↑ 23.07.2024 11:39 Victor Butko
Це ти вдома у себе можеш хош голою дупою в вікно світити, а в корпоративі є загальноприйняті стандарти, котрим необхідно слідувати незалежно від того подобається це тобі чи ні. І стандарти ці не на пустому місці виникли.
напомнить smbv1 баги (причем не просто баги, а remote code execution баги), которые тянулись начиная с winnt4 (а скорее - даже с nt3.5 но никто эту некрофилию не проверял) и аж до win10? после самых ярких из которых майкрософт сначала перестали писать в списках ОС, подверженным уязвимостям, EOL системы, а потом - и вообще отключили smbv1 в одном из апдейтов с концами, "порадовав" этим админов сетей со старыми компами под ХР/2003?block_stupid: ↑ 23.07.2024 13:35 Я прекрасно бачив вже дуже багато дірок, які були в ядрі лінухи чи бсд по 4-5-10-15 років.
да-да, я про те дыры, через которые, в частности, и "петя" ходил, и его предшественники... дырам 20+ лет.нет. на стабильных дистрах версии пакетов в принципе зафризены. и из новых версий только бэкпортятся багфиксы. потому никого бы не зацепило, кроме пользователей бета-версий дистров (всякие debian-testing и возможно fedora).Scoffer: ↑ 23.07.2024 21:14 SergiusTheBest
Бекдор стабільні дистри не зачепив виключно через випадковий збіг обставин, а не тому що вони якось краще перевіряються. Мейнтейнер дуже спішив і наробив тупих помилок, котрі призвели до нестабільної роботи пакету по основному його функціоналу, а рандомний программер з МС, котрому дуже нудно жилось вирішив в вільний час покопатись в пакеті і знайти проблему. Якби мейнтейнер не накосячив або програмер пішов бухать в п'ятницю, то ця не просто діра, а ціла дірища галактичного масштабу автоматом розповсюдилась би по більшості дистрибутивів.
расскажите это клиентам оракла например - что зря они ораклу большие бабки платят за опенсорс решения, надо было все на виндах строить)))S: ↑ 23.07.2024 15:07 Это все сказочки для мечтателей, опенсорсные решения требуют в разы большего внимания со стороны IT team чем зрелые коммерческие продукты. И на опенсорсе не бывает так что бы сапорт производителя за сутки срочно что то допилил по запросу.
угу. ага. а те, кто от бага crowdstrike прилег на несколько суток - это мелкие компании, недостойные называться энтерпрайзом, даS: ↑ 23.07.2024 15:07У крупных компаний так не бывает практически никогда.SergiusTheBest: ↑ 23.07.2024 12:25Аналогічно Crowdstrike збанкротував - і де ви, які вбухали в його продукти сотні тисяч $?
не бесплатно, да. но если проблема есть - всегда можно найти того, кто ее пофиксит. в отличие от closed-source, где в принципе ничего пофиксить невозможно, только ждать пока вендор разродится фиксом. а на это может уйти и полгода, и больше...S: ↑ 23.07.2024 15:07Открою великую тайну - этого толком никто бесплатно не делает.SergiusTheBest: ↑ 23.07.2024 13:07 В Linux їх менше, бо код відкритий, і будь-хто може його подивитися, проаналізувати, знайти і виправити проблему.
Функції з цієї ліби юзав OpenSSH з усіма відповідними наслідками. Атака була направлена саме на SSH, а не на розпакування якихось лівих архівів. Більш того, атака через архіви в принці не була передбачена.NiTr0: ↑ 24.07.2024 10:34не говоря уже о том, что удаленно заюзать бекдор в архиваторе - нужно сильно постараться)
Бекдор і позиціонувався баг-фіксом, а не новим функціоналом. Спочатку нестабільні, потім успішно бекпортувалось би в стабільні. Я все таки рекомендую ознайомитись з тою епопеєю, якби засланець не наробив косяків і не сповільнив роботу пакету, діра залишилась непоміченою, і під вразливість потрапило б все що з OpenSSH. Заділо б навіть *BSD. Віндові вася з петєю просто відпочивають в порівнянні з прямою авторизацією в більшості ніксів світу.NiTr0: ↑ 24.07.2024 10:34и из новых версий только бэкпортятся багфиксы
Крупные компаниии производители софта, и хоть Crowdstrike вроде как по капиталу не сильно мелкие но на рынке всего с 2011 года.NiTr0: ↑ 24.07.2024 10:34угу. ага. а те, кто от бага crowdstrike прилег на несколько суток - это мелкие компании, недостойные называться энтерпрайзом, да
ти тут знатно маніпулюєш.Scoffer: ↑ 23.07.2024 12:56 SergiusTheBest
Ні, це дуже вузьке поняття. Це корпоративне прикладне програмне забезпечення.
Ти б текст новини хоч прочитав. Не постраждала контора, котра сидить на він 3.1. А тому що корпорації в принципі не переписують софт якщо він працює і якщо софтописання не є основним напрямом роботи контори. Делфі-клієнт з 2000х це за корпоративними мірками просто свіжак і ще років 30 має попрацювати. Для цього вінда забезпечує наскрізну сумісність біс знає з яких років. Для цього Java EE забезпечувала таку ж сумісність, поки існувала в вигляді Java EE, для цього Domino робило те і щось старе дуже навіть можна. було б бажання.ж саме поки в IBM на нього не забили, а залишки не продали, котрі тепер не сумісні зі старим, і, відповідно, нафіг нікому не всрались.
Так само нікому в цьому сегменті не всрались твої веб мордочки з лінуксними бекендами бо їх неможливо підтримувати десятиліттями.
У меня чёт флешбеки по нашим ж/д кассам.Southwest Airline використовувала застарілий Windows 3.1
Это вы рофлите так?..Так, це був саме той випадок, коли новіше, ще не значить краще.
Далеко не всі OpenSSH: "openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma. Arch does not directly link openssh to liblzma, and thus this attack vector is not possible." На скільки я знаю, то тільки Debian та RedHat. Проте, це не виправдовує наявний supply chain attack, і все могло б бути значно гірше.Scoffer: ↑ 24.07.2024 10:44 під вразливість потрапило б все що з OpenSSH. Заділо б навіть *BSD
Vanilla upstream OpenSSH isn't affected unless one of its dependencies links liblzma.Scoffer: ↑ 24.07.2024 10:44 Функції з цієї ліби юзав OpenSSH з усіма відповідними наслідками.
и? что такое freezed version - в курсе?Scoffer: ↑ 24.07.2024 10:44 Бекдор і позиціонувався баг-фіксом, а не новим функціоналом.
повторюсь, вы не представляете как мэйнтейнятся дистрибутивы. это ж не майкрософтовское "х*як-х*як - и в продакшн", когда новые service packs приносят внезапные изменения в system API (!!!!).Scoffer: ↑ 24.07.2024 10:44 Спочатку нестабільні, потім успішно бекпортувалось би в стабільні.
дадада, дыра позволяющая remote code execution простой отправкой пакета в сокет на ВСЕХ WinNT начиная с NT4 (или NT3.5?), т.е. существовавшая добрых 2 десятка лет (!!!!!), в протоколе в котором выявлялись десятки (!!!!) подобных дыр (да-да, почти все виндовые червячки юзали дыры SMBv1, хотя некоторые еще и RPC) - сравнивается с бэкдором в либе, который в процессе бэкпортирования на старые версии все равно бы выявили...Scoffer: ↑ 24.07.2024 10:44Віндові вася з петєю просто відпочивають в порівнянні з прямою авторизацією в більшості ніксів світу.
угу, ага. берем RAS API. на ХР - один синтаксис вызова функции поиска соединений, на висте/7-ке - совершенно другой, иначе надо заполнять переменные. иначе - не работает, вообще. и нигде (!!!!) в мануале об этом не сказано. и приходится городить такие вот костыли:Scoffer: ↑ 24.07.2024 12:57 Подивись на сумісність ПЗ. Якщо воно не юзає недокументовані функції, то ще досові 16-бітні програми працюють по він сервер 2008 включно, або по десятку до якогось там глобального оновлення на клієнтах. А 32-бітні і досі.
Код: Виділити все
LPRASENTRYNAME lpRasEntryName = NULL;
// Call RasEnumEntries with lpRasEntryName = NULL. dwCb is returned with the required buffer size and
// a return code of ERROR_BUFFER_TOO_SMALL
dwRet = RasEnumEntries(NULL, NULL, lpRasEntryName, &dwCb, &dwEntries);
if (dwRet == ERROR_INVALID_SIZE){
lpRasEntryName = (LPRASENTRYNAME) HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, sizeof(LPRASENTRYNAME));
lpRasEntryName[0].dwSize = sizeof(RASENTRYNAME);
dwRet = RasEnumEntries(NULL, NULL, lpRasEntryName, &dwCb, &dwEntries);
HeapFree(GetProcessHeap(), 0, lpRasEntryName);
}
В даному випадку мейнтейнерів пакету було аж два. Один засланець, а інший "NiTr0: ↑ 24.07.2024 21:29с code review
бись воно все конем, у мене депресія". Хто мав зробити код ревью? и опять вы путаете авторов приложения/библиотеки и мэйнтейнеров пакета дистрибутива... открою секрет - автор приложения практически никогда не причастен к сборке (а тем более - бэкпортированию патчей) пакета конкретного дистрибутива.Scoffer: ↑ 24.07.2024 21:50 В даному випадку мейнтейнерів пакету було аж два.