Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

> Чудак, дело не в программулине. Дело в разработчиках генту. Эти криворукие уроды создают юзера без пароля с валидным шеллом. В самой mldonkey уязвимости нет (в других дистрибутивах). Пипец гентушники уроды. Я всегда знал, что это дистрибутив от идиотов и для идиотов.

Сынок, иди учи матчатьс man 5 passwd man 5 shadow.

Да уж, такого ещё не было, Генту впереди планеты всей!!!*THUMBS UP*

эмм, специально поставил "!" своему пользователю и даже PermitEmptyPasswords yes. Чего еще докрутить что-бы заработало? =]

Выпуск этой GLSA-это и есть баг.

>su рута в любого пользователя пустит. Попробуйте из обычного пользователя su сделать.

Естественно, su я не от рута делал. В одном случае оно не пустило (пароль не задан), в другом пустило (пустой пароль).

debian:/# su - man

man@debian:~$ cat /etc/debian_version

4.0

Выпуск этой GLSA-это и есть баг. anonymous (*) (26.10.2007 15:07:41)

а самый крутой баг - это выпуск тебя.

Стопудова происки Вантузников, дабы подмочить репутацию линукса в лице gentoo

>> Сынок, иди учи матчатьс man 5 passwd man 5 shadow.

Таким и матчасть учить не поможет, хули ему разбиратся (хотя-бы страницу дочитать), у него самоцель говном из разутой варежки поливать.

А аффтара на кол, за откровенный гон.

> Самая большая проблема, что вход без пароля разрешен. Даже ввиндусе это заблокировано. Пользуйтесь федора.

4.2. Я без пароля под XP прожил полгода. И федора -- не единственная, где будет требовать пароль, даже если его нет :)

> Дыра работает, проверено. Уже две машинки поимел :-)

Это не ты на днях в ирке рассказывал, как продал ЦРУ ботнет "за сто тысяч миллионов"?

>> Дыра работает, проверено. Уже две машинки поимел :-)

> Это не ты на днях в ирке рассказывал, как продал ЦРУ ботнет "за сто тысяч миллионов"?

Нет, это на днях рассказывали, как его дважды в ЦРУ поимели :)

Топик не читал, но судя по заголовку - мегажесть! :)))

Как видно из переписки, тот, кто доложил о баге (Ramin) стал как раз разбираться и говорил, что это скорее всего не баг. А автору ебилда очевидно было некогда разбираться, проще было поставить /bin/false в шелл, это видно еще и по описанию, в баге написано "passwordless login", а в GLSA "...a valid login shell and NO PASSWORD."
Всяко, если mldonkey не нужен шелл, то проще сделать /bin/false
Да и разрабы - тоже люди, когда сам начнешь работать сутками, поймешь.

>Топик не читал, но судя по заголовку - мегажесть! :)))

вот как раз заголовки последнее время лучше не читать :)

прежде чем читать посмотрите на автора... генератор глюков же...

>автор "бага" паникер и дятел.

скажите пожалуйста, а что в security team у генту тоже "паникеры и дятлы"?

http://www.gentoo.org/security/en/glsa/glsa-200710-25.xml

по-моему вы еще хуже опускаете генту, вам не кажется?

>Таким и матчасть учить не поможет, хули ему разбиратся (хотя-бы страницу дочитать), у него самоцель говном из разутой варежки поливать.

>А аффтара на кол, за откровенный гон.

так и запишем: gentoo security team не знают матчасти и откровенно гонят

советуете людям дальше генту пользоваться? ;)

Сам по себе enewuser не имеет параметров задания пароля.. если бы была бага в enewuser, то в остальных созданных юзверей также была бы эта бага... но ее нет... значит все это фуфло.. тролит кто-то в генту... обидно что сами маинтейнеры тупят... или просто не запарились..,

ps сам перешел в генту недавно с дебиана... или линь или бсд... генту помог остаться..

# ssh p2p@nnn.kkk.lll.mmm Password: Password:

впрочем я уверен что несмотря на это куча даунов и вонючек дистрофанов (непонимающих о чем речь, но рефлекторно среагировавших на раздражитель подобно животным) уже успели отметиться в этом топике на радость вантузятникам (без чьих провокаций тоже наверняка не обошлось)

>...если бы была бага...

речь не о баге. смущает security team :) дырявые не дистрибутивы, а головы :)

>советуете людям дальше генту пользоваться? ;)

милай, советую пользоваться мозгом. его качественная работа от дистриба не зависит. если родители уронили в детстве - и получился дистрофан - то конкретный дистр не причем. ну ты понял, да ;)

Всем привет! Из за чего весь сыр бор??? Во всех ОС есть дыры и косяки... В место того чтобы мерятся чей дистрибутив круче, внесли бы свою лепту в развитие любимого дистрибутива! Раздоры в opensource на руку только мелкосовтовцам и прочей нечисти.

>если родители уронили в детстве - и получился дистрофан - то конкретный дистр не причем. ну ты понял, да ;)

абсолютно. мои соболезнования. ;)

$ grep p2p /etc/passwd
p2p:x:110:419:added by portage for amule:/home/p2p:/usr/sbin/nologin

фанатичный бред)).. p2p законектится в систему никак не сможет даже при "PermitEmptyPasswords yes" так как его пароль отсуцтвует).. только что пробывал, всем афтарам -1 [прежде чем писать такое, следовало бы хоть проверить]

# cat /etc/passwd /etc/shadow | grep p2p p2p:x:106:100:added by portage for mldonkey:/home/p2p:/bin/bash p2p:!:13597:0:99999:7:::

# cat /etc/ssh/sshd_config | egrep "PermitEmpty|UsePAM" PermitEmptyPasswords yes UsePAM no

# ssh p2p@localhost Permission denied (publickey,keyboard-interactive).

вапроссы есть?.. иле что пофиксить чтоб зайти??

> милай, советую пользоваться мозгом. его качественная работа от дистриба не зависит. если родители уронили в детстве - и получился дистрофан - то конкретный дистр не причем. ну ты понял, да ;)

на ЛОРе нет дистрофанов как впринципе, есть только гентуфобы и гентуненавистники. так что... мы уже идём к вам 8)