Távolról kihasználható, súlyos sebezhetőséget találtál a systemd-ben. Hogy hoznád nyilvánosságra?

 ( Hiena | 2015. január 17., szombat - 13:35 )
Azonnal nyilvánosságra hoznám.
8% (30 szavazat)
Értesíteném a fejlesztőket és nyilvánosságra hoznám, azonnal.
4% (16 szavazat)
Értesíteném a fejlesztőket és 90 napot várnék a nyilvánosságra hozással.
16% (59 szavazat)
Értesíteném a fejlesztőket, a főbb disztribúciókat és 90 napot várnék a nyilvánosságra hozással.
37% (141 szavazat)
Értesíteném a fejlesztőket és hallgatnék mint a sír, a javításig.
7% (27 szavazat)
Értesíteném a fejlesztőket, a főbb disztribúciókat és hallgatnék mint a sír, a javításig.
7% (26 szavazat)
Eladnám a sebezhetőség leírását.
8% (31 szavazat)
Egyéb / NSA dolgozó vagyok / stb.
13% (50 szavazat)
Összes szavazat: 380

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

>Távolról kihasználható, súlyos sebezhetőség
>systemd

tautológia

Azt állítod ironikusan, hogy a systemd nem nyit TCP socketet? Vagy hogy a systemd maga egy sebezhetőség? :)

--

De tényleg, a kérdésben miért pont a systemd szerepel?
Mert mostanság közutálatnak örvend?
A systemdnél sokkal fontosabb részek is vannak egy disztribúcióban, amikkel sokkal nagyobb károkat lehetne okozni.
Csak néhány példa: kernel, bash, openssl, openssh, bármelyik netes szolgáltatás (named, ftpd, smtpd stb.) stb.

--

nTOMasz
"The hardest thing in this world is to live in it!"

Tényleg. Végül is lehetett volna a discoveryd is.

--
trey @ gépház

legkésőbb másnap lenne kész a javítás, így majdnem mindegy is.

+1

Hány ilyen jellegű hiba kijavításában, tesztelésében és kiadásában vettél részt? Mert bőven nem egy nap egy komplexebb hiba javítása.

Annál nincs rosszabb, mint kiadni egy javítást 1 nap múlva, majd 2 nap múlva kiderül, hogy nem sikerült a hibát jól javítani.

Debiant e láttál már? ;-)

lol

>> majdnem mindegy is. <<

felteve, hogy bejelentem, es/vagy mas is megtalalta.

a következő szavazás témája: vajon lesznek a hupperek még a mostaninál is hülyébbek, vagy trey évtizedes munkája már most megkoronáztatott?

vadász, vadász, már sejtem miért jársz ide a hup-ra...

a Gabudetektorodat frissiteni kene :)

Eladnám. :)

+1
:-)
A google fizet érte, aztán 90 nap múlva nyilvánosságra hozzák.
Úgyis a 90 napra szavaztam, akkor meg miért ne keressek rajta?

A google nem csak a saját termékeiben talált hibákért fizet?
Csak mert a systemd nem google termék...

--

nTOMasz
"The hardest thing in this world is to live in it!"

A Google és a Microsoft is fizet a SAJÁT termékekben talált hibákért. A szavazásban található Eladás nem ilyenre vonatkozik.

Kém szoftverekkel foglalkozó cégek vásárolnak ilyet vagy hacker-ek (Legyen az akármilyen kalapos).

Legyen az akármilyen mondjuk: "vas".

Hackerek biztosan nem. Esetleg crackerek.
De hagyjuk is, mert ez a téma is lerágott csont, és még mindig nem tudjátok mi a különbség... :(

--

nTOMasz
"The hardest thing in this world is to live in it!"

... és a Microsoft termékekben található hibákért.:)

ja, azt hittem, mert belefér a kebelezzünk be mindent koncepcióba :-)

Na de melyik kebelezi be a másikat? :)
---
Régóta vágyok én, az androidok mezonkincsére már!

+1
.
egyszer felfedeztem egy biztonsagi hibat.
kesobb kiderult, hogy feature.

Jelezném a fejlesztőknek és ha addig nem javítják akkor egy hét múlva bejelenteném a Googl-nek. Figyelgessék ők és 90 nap múlva jelentsék ők, ha akarják!
Tehát egyéb, leírom a hozzászólásban. :-)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

(x) Lesz*rom

Feltolnám a hibát a hupmeme-re :-)

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

Tartom magam a doktrínához.
Sőt, még erősebben, hiszen a systemd-ről tudjuk, hogy rossz, használhatatlan, problémás, stb. Tehát tűzre velük.

Rejtett subscribe.

A doktrínához: mi van, ha pl. egy RHEL-specifikus bugot találsz mondjuk a bash-ben? Az ugye open szósz, de az RH azért az a kategória, mint az MS/Apple, tehát... vagy hasonlóan: mi van, ha a .NET-ben találsz? Nyílt forráskódú, de MS-hez köthető. Melyik szabály a magasabb prioritású?

[a szokásos jó-e a systemd vitát hagyjuk, most nem vagyok flame baitre ugró kedvemben :) ]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

unalmas.
--
ne terelj

Értesteném a fejlesztőket, és 43 napot várnék a nyilvánosságra hozatallal.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

Észre sem venném, hogy megtaláltam, mert nem értek hozzá, majd innék egy kakaót.

:)

Észre sem venném, hogy megtaláltam, mert azt hinném a normális működés része. :)
---
Régóta vágyok én, az androidok mezonkincsére már!

Kisebb szabad szofteres projektekbe mar vettem eszre aprobb sebezhetosegeket es a bejelentessel egyutt patcheltem is. Termeszetesen mar eleve kitesztelve erdemes az ilyet bekuldeni. Viszont egyszer egy kereskedelmi szoftvergyartoval (UbiSoft) is volt tapasztalatom ahova barmennyire szerettem volna patchelni ugye nem volt ra lehetoseg (zart kod).

A dolog 2011-ben tortent. Az egyik altaluk kiadott, de mar nem tamogatott, jatekhoz csinaltam egy ACL-t ami az adminok szamara lehetove tette hogy eltero jogosultsagokkal legyenek felruhazva (osszevissza banolgattak), ekozben hajmereszto dolgokat talaltam:

Meg mielott a user eljutna oda hogy belepjen adminkent, elotte be kell jelenkezni a UbiSoft accountjaba a jatekkliensbol. Na itt volt az elso bibi: _mindez cleartextben tortent_ es ugye html URL-ben. Ugyanez a usernev/jelszo paros egyebkent a ubi.com webaccount-on is mukodott, persze ott mar elegansan SSL-en keresztul (csak hat akkor mar minek az SSL masutt?). A session hash az termeszetesen minden alkalommal ugyanaz volt igy trivialis volt generalni is. Csak random user nev kellet aztan mehetett a moka, gyonyoruen le lehetett kerdezni barmely account-bol adatokat.

Aztan, a Ubi megoldasa szerint ha ezutan valaki admin jogokat akart akkor siman beirta a jelszot a konzolba, sikeres beleptetes utan azt a kliens oldal pedig eltarolta. Termeszetesen, elegansan cleartextben, "ahogy kell" es egy olyan konyvtarba amely (szervertol fuggoen) webrol is olvashato. Az igazi agyrem viszont ezutan jott: minden alkalommal mikor a jatekos bejelentkezet _teljesen mingyegy hogy milyen idegen szerverre_ a kliens oldal elkulde a az admin jelszot hogy ellenorizze vajon az ominozus user admin-e az adott szerveren.

Ennyi eleg is volt. Ezutan egy oran at kerestem egy nyamvadt email cimet ahol bejelenthetem es posztolhatom a reszleteket. Nem talaltam. A forumukon nyitottam egy uj topikot ahol jeleztem hogy szeretnek reszleteket megosztani a sebezhetosegrol amit talaltam. A moderator nehany percen belul reagalt is, felvette a nevemet egy privat csoportba, csatolta a topikomat majd ket vezeto beosztasu szakembert hozzadadott es ertesitette oket.

Remenykedtem. Megosztottam a fenti reszleteket, exploitokat es felhivtam ra a figyelmuket hogy ahol ilyen ovatlanul van egy belepteto rendszer megtervezve ott atfogo vizsgalatot kell vegezni es surgosen felul kell vizsgalni azt is hogy ez milyen kockazatokat jelenthet a felhasznaloi adatokra nezve. Aztan vartam a valaszukra. Aztan vartam, vartam es meg honapokkal kesobb is vartam, vegul pedig hagytam a fenebe az egeszet.

A konkluziom annyi a jelen topik kapcsan, hogy nemely gyarto pedig egyenesen tesz ra hogy milyen sebezhetosegek vannak a meregdraga sz-jaiban. A penz doljon, a tobbi nem erdekes!

Ja egyebken kb. 2 ev mulva ilyenhez hasonlo hirekbe botlottam szanaszet a neten:
http://www.bbc.co.uk/news/technology-23159997
http://www.theguardian.com/technology/2013/jul/03/ubisoft-hack-users-warned

Meglepett ez engem?

Ha valaki csupasz s*ggel, egy celtablaval a hatan "Lojj ide!" felirattal futkaroz egy csatateren azt elobb utobb lelovik. A hulyesegnek ara van.

A linkekre... pff, big deal:

Idézet:
A Ubisoft website has been hacked exposing customer data including names and encrypted passwords.

NovaLogic-ék (/NovaWorld) annó két-három éve kiküldték a beállított jelszavad e-mailben ha kértél egy jelszóemlékeztetőt... azóta nem néztem, tippre még ma is megkapnám.

Szerk.: Megtaláltam a levelet: 2012 február 29

Idézet:
Hi,
You have requested for your lost password at Novaworld Community - Beta.
NW Login: XXXXXXXX
Password: ********

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Sok helyen ez a helyzet, többek közt az egyik ingyenes webtárhelyen is. Piszkosul meglepődtem, mikor az elfelejtett jelszó opcióra megkaptam e-mail-ben a jelszavam..

Van egy mendemonda, hogy az itthoni elektronikus ügyintézésekhez köthető oldal(ak) is csináltak ilyet. Nagyon mendemonda, fixme++, bizonyítékom nincs rá, de.. el tudom képzelni.

Nekem pár éve a C?B Bank telefonos ügyfélszolgálata diktálta be a jelszavamat, amit elfelejtettem :) (felhívtam őket, hogy utalnék, de nem megy, elfelejtettem a jelszót, reseteljék - azt mondta a néni, hogy ja, azt? Hát azt lediktálom. És lediktálta).

Ja, hála az égnek manapság már 2FA van ott is.

Komoly cég 2 faktoros auth. Jelszócsere de sajna a biztonsági kérdésre nem emlékeztem csak a válaszra. Reset, meg is beszéljük ssl-es chat felett. Majd a végén megkaptam a beszélgetést plaintext mail-ben. Az új jelszóval, új kérdéssel mindennel együtt.