Обнаружена уязвимость SSL

Не понятно - если это уязвимость _протокола_, то какие могут быть заплатки?

И что это значит для нас, простых смертных? Linux небезопасен??

0.9.6i неуязвима

полные текст advisory Здесь: http://www.openssl.org/news/secadv_20030219.txt

1) ошибка не в протоколе
2) простым смертным ()вообще не стоит обращать внимание

> И что это значит для нас, простых смертных? Linux небезопасен??

Да, срочно формати винт, пока данные не стырили.

>> И что это значит для нас, простых смертных? Linux небезопасен??
Нет, это значит что конец света неизбежен ;-)))

Да, "ужасная" ошибка применимая исключительно когда отправляется
письмо.

Всё, перехожу на telnet
ssh себя окончательно исчерпал

>Всё, перехожу на telnet >ssh себя окончательно исчерпал

Причём тут ssh?

pro4itaite polu44e novost' i togda vy poimete v chem sut'

код патча пестрит goto :)

>Всё, перехожу на telnet

Ага переходи скорее и скажи мне где ты обитаешьь :)))

З последний год в openssh и openssl нашли больше десятка дыр
в безопасности. Пора создать им замену. Терпеть это безобразие
больше невозможно. Одна надежда на автора qmail'a. У него есть
заготовка, но он сейчас судится из-за крипто патентов и не
может выпустить софтину до решения суда.

> Одна надежда на автора qmail'a.

На этого идиота, не умеющего грамотно писать програмы? Ну найдейтесь, надежда умирает последней.

> У него есть заготовка, но он сейчас судится из-за крипто патентов и не может выпустить софтину до решения суда.

DJB вам покажет кузькину мать! Берегитесь, авторы ssh, НЕЧТО грядет!

Бредовые какие-то новости.
Кто их пропускает? Ни подпробностей, ничего. Одна массовая истерия.

> На этого идиота, не умеющего грамотно писать програмы?

Я полностью в курсе всех тонкостей относительно личности DJB.
Сам бы пристрелил его первый ;) Но... есть суровые факты. Его
программы не имеют дыр в принципе... Однажды написанные, они
работают бесконечно долго и премного облегчают жизнь сисадмину.
Все его программы до ужасы просты и элегантны. Легко наращиваются и вообще строятся как конструктор и интегрируются
во что угодно. Любые недостающие фичи вставляются легкими изящными патчиками в пять десять-строк. У него на редкость очень грамотная компоновка и дизайн. Практически ни у кого больше такого не встретишь. Я представляю примерно каким будет
пакет djb-ssh. Пяток прог размером 20-30 кил, абсолютно не пробиваемых. Один раз поставлю, и смогу ставить на свои серверные установки печать "гарантия бесперебойной работы 3 года". Я серьезно. В данный момент все секьюрити обновления,
которые мне приходится делать относятся либо к openssl, либо
к openssh. Честно говоря достало уже.

Для интересующихся. DJB-ssh будет основан на библиотеке nistp224. Вот выдержка из FAQ'a:

How secure is nistp224?
Breaking nistp224's cryptographic protection by current methods
is roughly 2^60 (a quintillion: a billion billion) times as
difficult as the ECC2K-108 computation carried out in 2000.

IMHO DJB часто (или всегда ?) добивается секьюрности урезая функциональность. Патч в несколько строк поможет, если требуется добавить что-то несложное. В противном случае все не так просто (например qmail-ldap).

>> У него на редкость очень грамотная компоновка и дизайн. >> Практически ни у кого больше такого не встретишь.

Меня очень удивляют его старания отмежеваться от средств стандартной библиотеки Си. Это правильно ?

>> Однажды написанные, они работают бесконечно долго и премного >> облегчают жизнь сисадмину

У меня были (есть?) проблемы с daemontools.

Думаю не нужно отождествлять качество всех его программ с qmail. Например в коде DJB-DNS черт ногу сломит.

Ну а для тех кто не определился со своим отношением к DJB (не имею Вас в виду) рекомендую прочитать отчет об его поездке в Россию . Он есть на его сайте.

> IMHO DJB часто (или всегда ?) добивается секьюрности урезая функциональность.

часто не нужную, да? ;)

> В противном случае все не так просто (например qmail-ldap).

Для pop3 патчик всего в несколько строчек.

> Меня очень удивляют его старания отмежеваться от средств стандартной библиотеки Си. Это правильно ?

Это не просто правильно, это супер правильно. Стандартная
libc как правило представляет собой полный crap и peace of
shit ;) А функций из нее нужно... на пальцах можно
пересчитать. Потому оказалось оптимальным переписать самые
монструозные.
Я помню как на openBSD-3.0 сделали подарочек в виде их
обновленной libc. DJB тогда вообще хотел отказаться от
поддержки этой ОС.

> У меня были (есть?) проблемы с daemontools.

Расскажи, если не лень. У меня не было и нет...

> Например в коде DJB-DNS черт ногу сломит.

Странно, у меня нет такого впечатления.

> рекомендую прочитать отчет об его поездке в Россию . Он есть на его сайте.

Дай ссылочку, плиз. Трудно у него что либо найти. Поисковика нет.

http://cr.yp.to/conferences/russia.html

kotofey

> рекомендую прочитать отчет об его поездке в Россию . Он есть на его сайте.

и какие выводы о djb из этого отчета мы должны сделать ?

kotofey

> Это не просто правильно, это супер правильно.

Угу, подобный подход наблюдаем в Windows очень часто. Приложение тащит с собой вагон системных dll-ей + типа MFC с которой собиралась + типа такие мелочи вида безусловно своего DirectX. В результате имеем помойку, которая конфликтует между собой с очень нетривиальными последствиями, типа того что работа программы зависит от того, что в каком порядке ставилось. Спасибо, не надо нам такого.

> Стандартная libc как правило представляет собой полный crap и peace of shit ;)

peace это вы с пацифистами путаете. Насчет crap - вполне приличный код, мне часто приходится в нем ковыряться. В общем, дело индивидуального вкуса. Вон вам код djb нравится :-))

> А функций из нее нужно... на пальцах можно пересчитать.

И сколько из этих функций libc содержало проблемы security? Вот то-то...

Я вообще не понимаю этого странного подхода - если завалят твою прогу из-за дырки в glibc, то ясно, кто виноват, и пинать тебя как автора проги никто не будет. Если же геморроиться насчет чтобы 100% не завалили, тогда непонятно, чего это libc мы переписываем и тащим с собой а ядру или каким-то левым драйверам безоговорочно доверяем. Тогда уж DJB OS надо поставлять в комплекте для надежности :-)

> рекомендую прочитать отчет об его поездке в Россию . Он есть на его сайте

Ну прочитал И что ? Кроме того что он врядли сюда поедет по второму разу без крайней необходимости.

> Думаю не нужно отождествлять качество всех его программ с qmail.

qmail тоже дерьмо изрядное. к тому же нарущающее rfc. и вообще неподдерживаемое в больших инсталляциях. и не надо приводить hotmail в пример - там тоже какой-то техногик сидел, видимо, и вопил "qmail - rulezz 4ever!". :)

> Приложение тащит с собой вагон системных dll-ей + типа MFC с которой собиралась + типа такие мелочи вида безусловно своего DirectX.

Ну, это абсолютно не корректное сравнение. Его программы
ничего с собой не тащут. Более того, они еще и от чужого
отказываются.У него нет ни одной программы, которая бы
тащила с собой dll'и. Ты спутал с чем-то.

> И сколько из этих функций libc содержало проблемы security?

Ну давай смотреть. Он по идее должен был использовать stdio
функции libc. Они имели и до сих пор имеют проблемы. Помнишь
эксплойты, основанные на format strings? Это раз. Потом dns функции. Тоже проблема была и до сих пор есть. Вот именно эти
вещи он и избегает в своих программах. Очень логично.

> если завалят твою прогу из-за дырки в glibc, то ясно, кто виноват, и пинать тебя как автора проги никто не будет.

Его понятие ответственности несколько отличается от твоего.
Лично я всецело разделяю его точку зрения. Если малой кровью
можно избежать потенциальных проблем в будущем, и ты четко
видишь эти проблемы, то почему бы их не обойти?

> огда уж DJB OS надо поставлять в комплекте для надежности :-)

Ты прав. Но ресурсы человека конечны. Я думаю он сделал бы
djb-OS если бы имел на это время.

Гостиница "Октябрьская" - редкое дерьмо. Сочувствую DJB. Судя по всему, у него не очень с аллергией...

>> Ну прочитал И что ? Кроме того что он врядли >> сюда поедет по второму разу без крайней >> необходимости

А то, что появляется основание согласится с теми, кто считает его Идиотом. Это не оскорбление т.к. это слово он и сам упторебляет по отношению к своим противникам).

> рекомендую прочитать отчет об его поездке в Россию .

Ага. я нашел эту статью. Ничего необычного. Если убрать имя
DJB и подписать эту статью "автор: Средний Оболваненный Пропагандой Америкос", то никто ничего не заметит. Меня умиляет
их тупость. Трижды (!) похвалил food и при этом коротко и прохладно отозвался о фонтанах, назвал здания на Невском "разваливающимися". Типичная американская свинья, бездуховная тварь, помешанная на фуде и коке, рассуждающая о цивильном обществе, но при этом сожалеющая о двух потраченных часах на
осмотре памятников архитектуры... Духовные инфалиды. Ну да хрен
с ними. Этот хоть программы писать может секьюрные. И на том
спасибо.

>>Гостиница "Октябрьская" - редкое дерьмо. >> Сочувствую DJB. Судя по всему, у него не очень с аллергией

Так ведь он все запивает колой.

> оявляется основание согласится с теми, кто считает его Идиотом

Он - дитя своей страны. Там все идиоты. Зря вы на этого парня
ополчились. Точно так же бы написал любой америкос на его месте.

>> Типичная американская свинья, >> бездуховная тварь, помешанная на фуде и коке, >> рассуждающая о цивильном обществе, но при этом >> сожалеющая о двух потраченных часах на >> осмотре памятников архитектуры... >> Духовные инфалиды. Ну да хрен с ними. >> Этот хоть программы писать может секьюрные. >> И на том спасибо.

И все это при том, что он называется "профессор математики" т.е. человек который должен обладать взвешенным подходом ко всему. Ну да ладно.

2ALL Кто-нибудь может прокомментировать заявления DJB о том, что программа работающая в background - следствие плохого дизайна.

> и вообще неподдерживаемое в больших инсталляциях

Все поддерживается. Просто руки надо иметь не под х..
заточенные и мозги не расплавленные.

> qmail - rulezz 4ever!

Не знаю, что такое рулез, но форева - это точно ;)
Один раз поставил - и форева! Люблю такие программы. Очень
жаль, что их по пальцам пересчитать можно, и почти все они от
одного автора.

Я так понял, что дыра в openssl, о которой речь идет в статье, закрыта в версии 0.9.7.а

> Я так понял, что дыра в openssl, о которой речь идет в статье, закрыта в версии 0.9.7.а

Ты просто гигант мысли.

> "профессор математики" т.е. человек который должен обладать взвешенным подходом ко всему.

Не согласен в корне. Математики - очень однобокие ребята.
И все немного с приветом. Кстати, это вообще большая редкость,
что математик пишет более-менее грамотный софт.

> программа работающая в background - следствие плохого дизайна.

Здесь все просто. Такой программой сложно управлять и
супервизировать ее. Нельзя стандартизировать управление ее логом.

> если завалят твою прогу из-за дырки в glibc, то ясно, кто виноват, >и пинать тебя как автора проги никто не будет. 

>>>Его понятие ответственности несколько отличается от твоего. 
>>>Лично я всецело разделяю его точку зрения. Если малой кровью 
>>>можно избежать потенциальных проблем в будущем, и ты четко 
>>>видишь эти проблемы, то почему бы их не обойти? 

Если следовать этому принципу, то начинать надо с компилятора.
Что толку от секьюрной реализации прогрммы и рантайма, если
это может скомпилироваться в неизвестно что и вся секьюрность
пойдет лесом. Мне кажется , что программы DJB скорее концепты
пригодные в своей узкой области применения. Конечно, можно набрать недостающую функциональность патчами, но будет ли тогда гарантированна секьюрность ? Скорее нет.

Зато о саморекламе этот субьект позаботился.
Одно доказательство #3 или #2 MTA on the NET чего стоит.

> Если следовать этому принципу, то начинать надо с компилятора.

В чем проблема? Он не раз заявлял, что ничего кроме gcc им не
поддерживается.

> Зато о саморекламе этот субьект позаботился.

Слабости человеческие есть у каждого. Не будем судить так
строго. Самое обячное тщеславие. Главное, чтоб не убивал никого ;)

>> программа работающая в background - следствие плохого дизайна. 

>Здесь все просто. Такой программой сложно управлять и 
>супервизировать ее. Нельзя стандартизировать управление ее логом. 

Сигналы ? Сокеты ? СисЛог ? (или его аналоги)
Кстати, а почему использование сислога плохо ?
Понятно, что он иногда теряет сообщения.
Но почему это происходит ?

> Он не раз заявлял, что ничего кроме gcc им не поддерживается.

И что он за код генерируемый gcc 100% поручится?

>> Если следовать этому принципу, то начинать надо с компилятора. 

>В чем проблема? Он не раз заявлял, что ничего кроме gcc им не 
>поддерживается

Во 1-х gcc разное бывает. Но это не главное.
Важнее то, что разработчики (или программисты кому как больше нравится) пытаются решать проблему секьюрности интуитивно/ эмпирически.Увы, (почти ?) без привлечения формальных методов.
Если бы все было в порядке с математическим доказательством правильности программы (о чем давно говорил VSL, если я правильно его понял) жить было бы легче.

2anonymous (*) (2003-02-25 12:15:46.34)
Сигналы кому? Его еще найти надо ;) Сокеты здесь не при чем.
Сислог теряет мессаги при большой нагрузке и крайне ненадежен.
Почему? Лучше спросить у его писателей.

Здания на Невском действительно разваливаются. Если до революции капитальный ремонт тех зданий (вдоль Невского, Литейного, Фонтанки и т.д.) производился максимум через 40 лет после постройки, то все эти здания не видели ремонта с 1917 года. Вообще, пора уже начать водить экскурсии по Питерским коммуналкам (старого жилого фонда), в которых, кстати, живёт 1000000 (один миллион) петербуржцев.

Что касается Фонтанов, то он заметил, что не является очень уж туристом в этом смысле. Меня, например тоже не привлекает стиль древних царских дворцовых строений.

А вообще, нынешняя Россия представляется для приезжающих из цивилизованных стран имено в таком обличии (вне зависимости от интеллектуального уровня приезжих) -- страна третьего мира, с плебейским населением, убогим сервисом и организацией, грязью, разлагающейся культурой, беззаконием и нищетой. Во время СССР, кстати, была какая-то изюминка в здешних местах... А сейчас -- увы.

Видите, что получается если только начать усреднять российскую действительность :) Так что нЕчего пенять на американцев с их культурой и (якобы) тупостью. Верно он все описал.

Нда, после описания "героической поездки в дикую страну" я был просто потрясён их неприспособленностью к жизни. То, что он получил в $40-вом номере вполне адекватно стоимости. Собственно, об этом он так и пишет, дескать, "организаторы могли бы учесть, что некоторые участники приезжают из цивилизованного мира".

А в походы они что, совсем не ходят? В смысле, не пикники с сэндвичами и колой, а полноценные трёшки, четвёрки?

А над эпизодом, где он дышал через мокрое полотенце я вообще от души посмеялся. "Пойзон газ", мля :)

А мне вообще его доменное имя нравится - cr.yp.to

Не знаю как насчет Qmail, а Postfix - это рулез!

2anonymous (*) (2003-02-25 12:27:10.245)
Выходит, что так. Видимо доверяет он gcc. Наверное проверял.

2anonymous (*) (2003-02-25 12:27:21.659)
> пытаются решать проблему секьюрности интуитивно/ эмпирически.Увы, (почти ?) без привлечения формальных методов.

Почему ты так решил? Я почти уверен, что секьюрность djb-прог
легко доказуема. Причем снизу доверху, начиная от его собственных библиотек, заменяющих stdio, stdlib. Там все очень
прозрачно. Это подтвердит любой эксперт.

> Здания на Невском действительно разваливаются.

Не знаю. Я жил однажды в таком здании и не заметил особых разрушений.

> Что касается Фонтанов

Проблема в том, что так называемый "цивилизованный человек"
будучи в красивом старом городе увидел одну лишь чернуху.
Зато трижды похвалил фуд ;) Это в Питере-то... Ну о чем это
говороит?

ЗЫ. А гостинницы в Питере действительно дерьмовые. Самое
смешное, что те, что за $30-40 почти не отличаются от тех, что
за $10-20. Разница только в удаленности от центра.

За "чурнухой" как раз красоту очень схожно увидеть...

Кстати, что за poison gas был, я так и не понял?

Перднул кто-то

2anonymous (*) (2003-02-25 14:30:19.618)

Хлорка, надо думать, по его описанию.

>>Кстати, что за poison gas был, я так и не понял? Пре-релиз "страшного газа" из Норд-Оста imho ;)

> За "чурнухой" как раз красоту очень схожно увидеть...

Особенно если не пытаться ее увидеть. Человек шел по Невскому и
единственное, что он заметил - ширину улицы и плохо
заасфальтированную пешеходную часть. Это ж каким децелом надо быть! Нет слов. Эти люди однозначно зазобмированы. Бернштейн
судя по его возрасту застал еще кусочек холодной войны и
пропаганда промыла ему мозги основательно. Прочтите начало.
Он еще только собирался ехать, но уже имел данные, что в
Питере все такси контроллируются преступными бандами. Типа
кто-то сказал ему об этом. Наверняка он наводил справки о
городе, в который он ехал, но не упомянул ничего, кроме
чернухи, и то, основанной на слухах. Короче, изначальная
психологическая установка - увидеть все так, как говорила
пропаганда двадцатилетней давности и не верить глазам своим.

Спору нет, как личность этот дегенерат и духовный урод кроме
брезгливости ничего не вызывает, но надо признать, что как
программер и специалист по безопасности он представляет
довольно большой интерес.