- A hozzászóláshoz be kell jelentkezni
Hozzászólások
>Távolról kihasználható, súlyos sebezhetőség
>systemd
tautológia
- A hozzászóláshoz be kell jelentkezni
Azt állítod ironikusan, hogy a systemd nem nyit TCP socketet? Vagy hogy a systemd maga egy sebezhetőség? :)
- A hozzászóláshoz be kell jelentkezni
De tényleg, a kérdésben miért pont a systemd szerepel?
Mert mostanság közutálatnak örvend?
A systemdnél sokkal fontosabb részek is vannak egy disztribúcióban, amikkel sokkal nagyobb károkat lehetne okozni.
Csak néhány példa: kernel, bash, openssl, openssh, bármelyik netes szolgáltatás (named, ftpd, smtpd stb.) stb.
--
nTOMasz
"The hardest thing in this world is to live in it!"
- A hozzászóláshoz be kell jelentkezni
Tényleg. Végül is lehetett volna a discoveryd is.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
legkésőbb másnap lenne kész a javítás, így majdnem mindegy is.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Hány ilyen jellegű hiba kijavításában, tesztelésében és kiadásában vettél részt? Mert bőven nem egy nap egy komplexebb hiba javítása.
Annál nincs rosszabb, mint kiadni egy javítást 1 nap múlva, majd 2 nap múlva kiderül, hogy nem sikerült a hibát jól javítani.
- A hozzászóláshoz be kell jelentkezni
Debiant e láttál már? ;-)
- A hozzászóláshoz be kell jelentkezni
lol
- A hozzászóláshoz be kell jelentkezni
>> majdnem mindegy is. <<
felteve, hogy bejelentem, es/vagy mas is megtalalta.
- A hozzászóláshoz be kell jelentkezni
a következő szavazás témája: vajon lesznek a hupperek még a mostaninál is hülyébbek, vagy trey évtizedes munkája már most megkoronáztatott?
- A hozzászóláshoz be kell jelentkezni
vadász, vadász, már sejtem miért jársz ide a hup-ra...
- A hozzászóláshoz be kell jelentkezni
a Gabudetektorodat frissiteni kene :)
- A hozzászóláshoz be kell jelentkezni
Eladnám. :)
- A hozzászóláshoz be kell jelentkezni
+1
:-)
A google fizet érte, aztán 90 nap múlva nyilvánosságra hozzák.
Úgyis a 90 napra szavaztam, akkor meg miért ne keressek rajta?
- A hozzászóláshoz be kell jelentkezni
A google nem csak a saját termékeiben talált hibákért fizet?
Csak mert a systemd nem google termék...
--
nTOMasz
"The hardest thing in this world is to live in it!"
- A hozzászóláshoz be kell jelentkezni
A Google és a Microsoft is fizet a SAJÁT termékekben talált hibákért. A szavazásban található Eladás nem ilyenre vonatkozik.
Kém szoftverekkel foglalkozó cégek vásárolnak ilyet vagy hacker-ek (Legyen az akármilyen kalapos).
- A hozzászóláshoz be kell jelentkezni
Legyen az akármilyen mondjuk: "vas".
- A hozzászóláshoz be kell jelentkezni
Hackerek biztosan nem. Esetleg crackerek.
De hagyjuk is, mert ez a téma is lerágott csont, és még mindig nem tudjátok mi a különbség... :(
--
nTOMasz
"The hardest thing in this world is to live in it!"
- A hozzászóláshoz be kell jelentkezni
... és a Microsoft termékekben található hibákért.:)
- A hozzászóláshoz be kell jelentkezni
ja, azt hittem, mert belefér a kebelezzünk be mindent koncepcióba :-)
- A hozzászóláshoz be kell jelentkezni
Na de melyik kebelezi be a másikat? :)
---
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
+1
.
egyszer felfedeztem egy biztonsagi hibat.
kesobb kiderult, hogy feature.
- A hozzászóláshoz be kell jelentkezni
Jelezném a fejlesztőknek és ha addig nem javítják akkor egy hét múlva bejelenteném a Googl-nek. Figyelgessék ők és 90 nap múlva jelentsék ők, ha akarják!
Tehát egyéb, leírom a hozzászólásban. :-)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
- A hozzászóláshoz be kell jelentkezni
(x) Lesz*rom
- A hozzászóláshoz be kell jelentkezni
Feltolnám a hibát a hupmeme-re :-)
--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!
- A hozzászóláshoz be kell jelentkezni
Tartom magam a doktrínához.
Sőt, még erősebben, hiszen a systemd-ről tudjuk, hogy rossz, használhatatlan, problémás, stb. Tehát tűzre velük.
- A hozzászóláshoz be kell jelentkezni
Rejtett subscribe.
A doktrínához: mi van, ha pl. egy RHEL-specifikus bugot találsz mondjuk a bash-ben? Az ugye open szósz, de az RH azért az a kategória, mint az MS/Apple, tehát... vagy hasonlóan: mi van, ha a .NET-ben találsz? Nyílt forráskódú, de MS-hez köthető. Melyik szabály a magasabb prioritású?
[a szokásos jó-e a systemd vitát hagyjuk, most nem vagyok flame baitre ugró kedvemben :) ]
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
unalmas.
--
ne terelj
- A hozzászóláshoz be kell jelentkezni
+1
--
♙♘♗♖♕♔
- A hozzászóláshoz be kell jelentkezni
Értesteném a fejlesztőket, és 43 napot várnék a nyilvánosságra hozatallal.
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba
- A hozzászóláshoz be kell jelentkezni
Észre sem venném, hogy megtaláltam, mert nem értek hozzá, majd innék egy kakaót.
:)
- A hozzászóláshoz be kell jelentkezni
Észre sem venném, hogy megtaláltam, mert azt hinném a normális működés része. :)
---
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Kisebb szabad szofteres projektekbe mar vettem eszre aprobb sebezhetosegeket es a bejelentessel egyutt patcheltem is. Termeszetesen mar eleve kitesztelve erdemes az ilyet bekuldeni. Viszont egyszer egy kereskedelmi szoftvergyartoval (UbiSoft) is volt tapasztalatom ahova barmennyire szerettem volna patchelni ugye nem volt ra lehetoseg (zart kod).
A dolog 2011-ben tortent. Az egyik altaluk kiadott, de mar nem tamogatott, jatekhoz csinaltam egy ACL-t ami az adminok szamara lehetove tette hogy eltero jogosultsagokkal legyenek felruhazva (osszevissza banolgattak), ekozben hajmereszto dolgokat talaltam:
Meg mielott a user eljutna oda hogy belepjen adminkent, elotte be kell jelenkezni a UbiSoft accountjaba a jatekkliensbol. Na itt volt az elso bibi: _mindez cleartextben tortent_ es ugye html URL-ben. Ugyanez a usernev/jelszo paros egyebkent a ubi.com webaccount-on is mukodott, persze ott mar elegansan SSL-en keresztul (csak hat akkor mar minek az SSL masutt?). A session hash az termeszetesen minden alkalommal ugyanaz volt igy trivialis volt generalni is. Csak random user nev kellet aztan mehetett a moka, gyonyoruen le lehetett kerdezni barmely account-bol adatokat.
Aztan, a Ubi megoldasa szerint ha ezutan valaki admin jogokat akart akkor siman beirta a jelszot a konzolba, sikeres beleptetes utan azt a kliens oldal pedig eltarolta. Termeszetesen, elegansan cleartextben, "ahogy kell" es egy olyan konyvtarba amely (szervertol fuggoen) webrol is olvashato. Az igazi agyrem viszont ezutan jott: minden alkalommal mikor a jatekos bejelentkezet _teljesen mingyegy hogy milyen idegen szerverre_ a kliens oldal elkulde a az admin jelszot hogy ellenorizze vajon az ominozus user admin-e az adott szerveren.
Ennyi eleg is volt. Ezutan egy oran at kerestem egy nyamvadt email cimet ahol bejelenthetem es posztolhatom a reszleteket. Nem talaltam. A forumukon nyitottam egy uj topikot ahol jeleztem hogy szeretnek reszleteket megosztani a sebezhetosegrol amit talaltam. A moderator nehany percen belul reagalt is, felvette a nevemet egy privat csoportba, csatolta a topikomat majd ket vezeto beosztasu szakembert hozzadadott es ertesitette oket.
Remenykedtem. Megosztottam a fenti reszleteket, exploitokat es felhivtam ra a figyelmuket hogy ahol ilyen ovatlanul van egy belepteto rendszer megtervezve ott atfogo vizsgalatot kell vegezni es surgosen felul kell vizsgalni azt is hogy ez milyen kockazatokat jelenthet a felhasznaloi adatokra nezve. Aztan vartam a valaszukra. Aztan vartam, vartam es meg honapokkal kesobb is vartam, vegul pedig hagytam a fenebe az egeszet.
A konkluziom annyi a jelen topik kapcsan, hogy nemely gyarto pedig egyenesen tesz ra hogy milyen sebezhetosegek vannak a meregdraga sz-jaiban. A penz doljon, a tobbi nem erdekes!
Ja egyebken kb. 2 ev mulva ilyenhez hasonlo hirekbe botlottam szanaszet a neten:
http://www.bbc.co.uk/news/technology-23159997
http://www.theguardian.com/technology/2013/jul/03/ubisoft-hack-users-wa…
Meglepett ez engem?
Ha valaki csupasz s*ggel, egy celtablaval a hatan "Lojj ide!" felirattal futkaroz egy csatateren azt elobb utobb lelovik. A hulyesegnek ara van.
- A hozzászóláshoz be kell jelentkezni
A linkekre... pff, big deal:
A Ubisoft website has been hacked exposing customer data including names and encrypted passwords.
NovaLogic-ék (/NovaWorld) annó két-három éve kiküldték a beállított jelszavad e-mailben ha kértél egy jelszóemlékeztetőt... azóta nem néztem, tippre még ma is megkapnám.
Szerk.: Megtaláltam a levelet: 2012 február 29
Hi,
You have requested for your lost password at Novaworld Community - Beta.
NW Login: XXXXXXXX
Password: ********
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni
Sok helyen ez a helyzet, többek közt az egyik ingyenes webtárhelyen is. Piszkosul meglepődtem, mikor az elfelejtett jelszó opcióra megkaptam e-mail-ben a jelszavam..
Van egy mendemonda, hogy az itthoni elektronikus ügyintézésekhez köthető oldal(ak) is csináltak ilyet. Nagyon mendemonda, fixme++, bizonyítékom nincs rá, de.. el tudom képzelni.
- A hozzászóláshoz be kell jelentkezni
Nekem pár éve a C?B Bank telefonos ügyfélszolgálata diktálta be a jelszavamat, amit elfelejtettem :) (felhívtam őket, hogy utalnék, de nem megy, elfelejtettem a jelszót, reseteljék - azt mondta a néni, hogy ja, azt? Hát azt lediktálom. És lediktálta).
- A hozzászóláshoz be kell jelentkezni
Ja, hála az égnek manapság már 2FA van ott is.
- A hozzászóláshoz be kell jelentkezni
Komoly cég 2 faktoros auth. Jelszócsere de sajna a biztonsági kérdésre nem emlékeztem csak a válaszra. Reset, meg is beszéljük ssl-es chat felett. Majd a végén megkaptam a beszélgetést plaintext mail-ben. Az új jelszóval, új kérdéssel mindennel együtt.
- A hozzászóláshoz be kell jelentkezni