Lynn megegyezett a Cisco-val

Nem adok egy hónapot, s SCO alkalmazott lesz...

ugy erted Cisco

Szegyen es gyalazat - nem beszelni arrol ami halozatok nagy reszenek biztonsagat erinti. Persze megertem Lynn-t (nem akar egy pert a nyakaba). De a cisco-t nem.

Delfin vagy eszkimó, nem mindegy? Hal-hal :D (By Eric Cartman)

Ha most nyilvánosságra kerül egy fontos hiba, ami (jobb esetben) megbéníthatja a fél világot, akkor inkább javítsák ki, frissítsenek mindenhol, és utána mondják el mi volt. Ha nem erről van szó, akkor én sem értem :)

Ha igaz, amit a slashdoton mondanak (lehet, hogy nem), akkor mar 4 honappal ezelott ertesitettek a cisco-t, es Lynn azert dontott ugy, nyilvanossagra hozza, mert a cisco sumakolta az ugyet.

Most, hogy Lynn megegyezett veluk, ezzel amugy is csak a polgari pert kerulte el, az FBI ugyanis buntetopert indit ellene.

fasizmus b+

Sztem soha nem dolgoztal meg cisc*val, legalabbis nem probaltal megfeleloen stabil es feature listaban is megfelelo I*S verziot rakni egy hw-ra. Nem biztos hogy hasznal, ha egy ilyen elterjedsegu oprendszer hibait kiteregetik, nem elrejteni kell persze, de nem is lekozolni a lapokban. Azok lassak kikre tartozik. Ez meg akkor sem valtoztat semmin a fent emlitett ceg sw-i a kalap ***** kategoriaba tartoznak.

az eloadas nem uj hibarol szolt, hanem arrol, hogy altalaban hogyan lehet kihasznalni egy bizonyos fajta memoria kezelesi hibat (heap overflow). tehat kb. semmi 'uj' nem volt benne, max azok szamara, akik eddig strucc modjara azt gondoltak, hogy ha nincs exploit egy cisco heap overflow hibara, akkor bizonyara az azert van, mert nem lehet. hat most csalodniuk kellett, es ugy latszik nem mindenkinek esett jol a hidegzuhany ;-). amugy meg a trukk, amirol meselt, legalabb 5 eves (kb. akkor kerult ki eloszor IOS forraskod az underground vilagban).

Fingom nincs mirol beszelt, nem voltam ott.... Nem is igazan erdekel mi volt az inditeka, a tenyen nem valtoztat, akarmilyen koros lehet a bug /bar a kikerult kod ota volt eleg sok valtozas/ (11.x kerult ki) ettol ezek a verziok sok helyen futkosnak, sok helyen csunyan neznenek rad, ha az epp aktualis verzio lecsereleset kivannad kezdemenyezni.

Egyrészről nem csak a 11.x kerult ki [hup.hu.], m

ásrészről amit mondasz, az megegyezik a Security through obscurity [en.wikipedia.org] szemlélettel...

Attól, hogy eltakarod a szemed, még látnak téged.

Most mar ertem, miert mondjak azt, hogy a Cisco egyre inkabb Microsoftosodik.

Sztem pedig nem. (orulok neha ha kioktatnak olyan bonyolultsagu dolgokrol mint pl ez a kerek azert alma mert en annak latom). Meg kell vizsgalni mi a jobb, egy hibat nyilvanossagra hozni, vagy pedig kijavitani, es jelezni. Az I*S esetben en azon az elven vagyok hogy az artas merteke nagyobb lehet a nyilvanos hibalistakkal mint a "hibak eltitkolasaval". Orultseg es fanatizmus megyozodesesen allitani hogy az egyik vagy a masik modszer jobb. Miert nem indit a cisc* ellen valami erdekvedelmi szervezet hanyagsagbol elkovetett biztonsagi veszelyeztetes elven pert? Miert van az, hogy a hibakat felfedezok egy olyan vekony reteg amellyel igazan veszelytenyezokent csak akkor foglalkoznak, ha publikaljak a felfedezeseiket? A problema az etikai szint. A SbO feltetelezi minden resztvevorol, hogy ha tudtara jut a hiba, akkor kihasznalja. A masik nezet szerint, vegulis, ha hiba akkor ki kell javitani, az nem szamit ez mennyire lehetseges, es a javitas idotartama mekkora intervallum es igy mekkora karok keletkeznek. Vagy talan az interneten torteno 3-4 napos szunet az elfogadhato minden ilyen esetben?

Masreszt, tudok rola hogy volt _hir_ a 12.x el kapcsolatban, viszont ha megnezed az elozo ket hozzaszollast es nem vagy write only a hibat 5 evre visszavezetve az a 11.x -es era.

Mindegy.

De a delfin okos, hasznos és szép!

Hasznos, hasznos két szelet kenyér közt majonézzel!

By úgyszintén EC. SP rlz ;P

huh, najó fussunk neki még1x.

Lynn _nem_ hozott nyilvánosságra semmiféle bugot, hanem csak egy eljárást, amelyel lehetővé válik bizonyos bugok kihasználása, ha valaki talál olyan bugokat amelyeknél ez az eljárás működik... Egyébként meg ha valaki IOS bugokat kezd el vadászni és talál, akkor biztos lehetsz benne, hogy megtalálja a módját a kihasználához. Már csak azért is, mert - mint előző Cisco-s cikknél már mondtam - publikusan elérhető dokumentációk vannak erről már 3 éve. Elég beütni a googlebe, hogy "cisco ios warez" és az első találat máris leírja, hogy hogyan kell debugolni azt.

Beírod, hogy "cisco ios memory layout" vagy "cisco ios writing exploit" és a harmadik találat máris egy phrack leírás, amely jóval részletesebben taglalja az IOS felépítését és a bugok kihasználását, mint amennyit Lynn erről elmondott.

Kicsit ferdített példával élve olyan ez, mint ha te elmondanád egy kisgyereknek, hogy hogyan kell puskával lőni (vállához kell szorítani a tust, az irányzék segítségével be kell fogni a célpontot, ki kell biztosítani és meghúzni a ravaszt), de ettől te még nem adsz puskát a kezébe... Ennek ellenére meghurcolnak, hogy fegyverrel ruháztál fel valakit és az egészben a vicces az, hogy a gyereknek a könyvespolcán ott figyel jónéhány könyv amiben mindez amit elmondtál le is van írva, csak nem szeret olvasni...

Isten hozott a szép új világban!