Távolról kihasználható, súlyos sebezhetőséget találtál a systemd-ben. Hogy hoznád nyilvánosságra?

Linux

Azonnal nyilvánosságra hoznám.
8% (30 szavazat)
Értesíteném a fejlesztőket és nyilvánosságra hoznám, azonnal.
4% (16 szavazat)
Értesíteném a fejlesztőket és 90 napot várnék a nyilvánosságra hozással.
16% (59 szavazat)
Értesíteném a fejlesztőket, a főbb disztribúciókat és 90 napot várnék a nyilvánosságra hozással.
37% (141 szavazat)
Értesíteném a fejlesztőket és hallgatnék mint a sír, a javításig.
7% (27 szavazat)
Értesíteném a fejlesztőket, a főbb disztribúciókat és hallgatnék mint a sír, a javításig.
7% (26 szavazat)
Eladnám a sebezhetőség leírását.
8% (31 szavazat)
Egyéb / NSA dolgozó vagyok / stb.
13% (50 szavazat)
Összes szavazat: 380

( gmoore | 2015. 01. 17., szo – 13:41 )

>Távolról kihasználható, súlyos sebezhetőség
>systemd

tautológia

De tényleg, a kérdésben miért pont a systemd szerepel?
Mert mostanság közutálatnak örvend?
A systemdnél sokkal fontosabb részek is vannak egy disztribúcióban, amikkel sokkal nagyobb károkat lehetne okozni.
Csak néhány példa: kernel, bash, openssl, openssh, bármelyik netes szolgáltatás (named, ftpd, smtpd stb.) stb.

--

nTOMasz
"The hardest thing in this world is to live in it!"

( dikki | 2015. 01. 17., szo – 13:47 )

legkésőbb másnap lenne kész a javítás, így majdnem mindegy is.

( dejo v | 2015. 01. 17., szo – 15:22 )

Jelezném a fejlesztőknek és ha addig nem javítják akkor egy hét múlva bejelenteném a Googl-nek. Figyelgessék ők és 90 nap múlva jelentsék ők, ha akarják!
Tehát egyéb, leírom a hozzászólásban. :-)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( Polesz v | 2015. 01. 17., szo – 15:47 )

Feltolnám a hibát a hupmeme-re :-)

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

( wachag | 2015. 01. 17., szo – 17:23 )

Tartom magam a doktrínához.
Sőt, még erősebben, hiszen a systemd-ről tudjuk, hogy rossz, használhatatlan, problémás, stb. Tehát tűzre velük.

Rejtett subscribe.

A doktrínához: mi van, ha pl. egy RHEL-specifikus bugot találsz mondjuk a bash-ben? Az ugye open szósz, de az RH azért az a kategória, mint az MS/Apple, tehát... vagy hasonlóan: mi van, ha a .NET-ben találsz? Nyílt forráskódú, de MS-hez köthető. Melyik szabály a magasabb prioritású?

[a szokásos jó-e a systemd vitát hagyjuk, most nem vagyok flame baitre ugró kedvemben :) ]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( sigellef | 2015. 01. 17., szo – 22:09 )

Értesteném a fejlesztőket, és 43 napot várnék a nyilvánosságra hozatallal.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

( bolond | 2015. 01. 18., v – 14:50 )

Észre sem venném, hogy megtaláltam, mert nem értek hozzá, majd innék egy kakaót.

:)

( rigidus | 2015. 01. 18., v – 16:42 )

Kisebb szabad szofteres projektekbe mar vettem eszre aprobb sebezhetosegeket es a bejelentessel egyutt patcheltem is. Termeszetesen mar eleve kitesztelve erdemes az ilyet bekuldeni. Viszont egyszer egy kereskedelmi szoftvergyartoval (UbiSoft) is volt tapasztalatom ahova barmennyire szerettem volna patchelni ugye nem volt ra lehetoseg (zart kod).

A dolog 2011-ben tortent. Az egyik altaluk kiadott, de mar nem tamogatott, jatekhoz csinaltam egy ACL-t ami az adminok szamara lehetove tette hogy eltero jogosultsagokkal legyenek felruhazva (osszevissza banolgattak), ekozben hajmereszto dolgokat talaltam:

Meg mielott a user eljutna oda hogy belepjen adminkent, elotte be kell jelenkezni a UbiSoft accountjaba a jatekkliensbol. Na itt volt az elso bibi: _mindez cleartextben tortent_ es ugye html URL-ben. Ugyanez a usernev/jelszo paros egyebkent a ubi.com webaccount-on is mukodott, persze ott mar elegansan SSL-en keresztul (csak hat akkor mar minek az SSL masutt?). A session hash az termeszetesen minden alkalommal ugyanaz volt igy trivialis volt generalni is. Csak random user nev kellet aztan mehetett a moka, gyonyoruen le lehetett kerdezni barmely account-bol adatokat.

Aztan, a Ubi megoldasa szerint ha ezutan valaki admin jogokat akart akkor siman beirta a jelszot a konzolba, sikeres beleptetes utan azt a kliens oldal pedig eltarolta. Termeszetesen, elegansan cleartextben, "ahogy kell" es egy olyan konyvtarba amely (szervertol fuggoen) webrol is olvashato. Az igazi agyrem viszont ezutan jott: minden alkalommal mikor a jatekos bejelentkezet _teljesen mingyegy hogy milyen idegen szerverre_ a kliens oldal elkulde a az admin jelszot hogy ellenorizze vajon az ominozus user admin-e az adott szerveren.

Ennyi eleg is volt. Ezutan egy oran at kerestem egy nyamvadt email cimet ahol bejelenthetem es posztolhatom a reszleteket. Nem talaltam. A forumukon nyitottam egy uj topikot ahol jeleztem hogy szeretnek reszleteket megosztani a sebezhetosegrol amit talaltam. A moderator nehany percen belul reagalt is, felvette a nevemet egy privat csoportba, csatolta a topikomat majd ket vezeto beosztasu szakembert hozzadadott es ertesitette oket.

Remenykedtem. Megosztottam a fenti reszleteket, exploitokat es felhivtam ra a figyelmuket hogy ahol ilyen ovatlanul van egy belepteto rendszer megtervezve ott atfogo vizsgalatot kell vegezni es surgosen felul kell vizsgalni azt is hogy ez milyen kockazatokat jelenthet a felhasznaloi adatokra nezve. Aztan vartam a valaszukra. Aztan vartam, vartam es meg honapokkal kesobb is vartam, vegul pedig hagytam a fenebe az egeszet.

A konkluziom annyi a jelen topik kapcsan, hogy nemely gyarto pedig egyenesen tesz ra hogy milyen sebezhetosegek vannak a meregdraga sz-jaiban. A penz doljon, a tobbi nem erdekes!

Ja egyebken kb. 2 ev mulva ilyenhez hasonlo hirekbe botlottam szanaszet a neten:
http://www.bbc.co.uk/news/technology-23159997
http://www.theguardian.com/technology/2013/jul/03/ubisoft-hack-users-wa…

Meglepett ez engem?

Ha valaki csupasz s*ggel, egy celtablaval a hatan "Lojj ide!" felirattal futkaroz egy csatateren azt elobb utobb lelovik. A hulyesegnek ara van.

A linkekre... pff, big deal:

A Ubisoft website has been hacked exposing customer data including names and encrypted passwords.

NovaLogic-ék (/NovaWorld) annó két-három éve kiküldték a beállított jelszavad e-mailben ha kértél egy jelszóemlékeztetőt... azóta nem néztem, tippre még ma is megkapnám.

Szerk.: Megtaláltam a levelet: 2012 február 29

Hi,
You have requested for your lost password at Novaworld Community - Beta.
NW Login: XXXXXXXX
Password: ********

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Sok helyen ez a helyzet, többek közt az egyik ingyenes webtárhelyen is. Piszkosul meglepődtem, mikor az elfelejtett jelszó opcióra megkaptam e-mail-ben a jelszavam..

Van egy mendemonda, hogy az itthoni elektronikus ügyintézésekhez köthető oldal(ak) is csináltak ilyet. Nagyon mendemonda, fixme++, bizonyítékom nincs rá, de.. el tudom képzelni.