LINUX.ORG.RU

Решето

 


0

2

Пока вы тут ох да ах про двухсотый системд, в постгресе нашли дырку. Причем настолько страшную, что на всякий пожарный законопатили доступ к репозиториям всем, окромя коммитеров, пока не починят.

Так-то.

Пруфлинк: http://www.postgresql.org/message-id/14040.1364490185@sss.pgh.pa.us

★★★★★

не совсем понял, как связано наличие дыры и внезапного запрета на доступ к исходникам?

zgen ★★★★★ ()
Ответ на: комментарий от zgen

не совсем понял, как связано наличие дыры и внезапного запрета на доступ к исходникам?

Может нашли дырку в лицензии постгрес?

Siado ★★★★★ ()
Ответ на: комментарий от zgen

Что непонятного-то?

one of the security issues due to be fixed next week is sufficiently bad that we need to take extra measures to prevent it from becoming public before packages containing the fix are available

tailgunner ★★★★★ ()
Ответ на: комментарий от zgen

не совсем понял, как связано наличие дыры и внезапного запрета на доступ к исходникам?

Вероятно нашли бекдор. :)

winddos ★★★ ()

Дырка настолько страшна что даже хакеры бояться ее использовать?

subwoofer ★★★★★ ()

может они это, попиариться хотят и внимание привлечь )

Harald ★★★★★ ()

А вдруг все кульхацкеры-эксплойтописатели резко кинутся искать эту дырку, и таки найдут до релиза патчей? Не лучше было бы тихо выпустить патч, ничего не объявляя

Harald ★★★★★ ()
Ответ на: комментарий от Harald

Не лучше было бы тихо выпустить патч, ничего не объявляя

Тогда бы многие остались на прежних версиях с дырами, ибо не было бы бекпортирования патчей (как секурных), плюс лень и всё такое.

Spirit_of_Stallman ★★★ ()
Ответ на: комментарий от tailgunner

Все равно не понятно, каким образом это избавляет от уязвимости? Или её внесли в код недавно и она не успела распространиться? O_O

zgen ★★★★★ ()
Ответ на: комментарий от winddos

От запрета выкачивать исходники бекдор пропадает?

zgen ★★★★★ ()
Ответ на: комментарий от zgen

каким образом это избавляет от уязвимости?

А где-то написано, что это избавляет от уязвимости?

tailgunner ★★★★★ ()
Ответ на: комментарий от zgen

каким образом это избавляет от уязвимости?

Не избавляет, конечно, но не позволит раньше времени увидеть коммиты, её исправляющие.

GAMer ★★★★★ ()
Ответ на: комментарий от Spirit_of_Stallman

ну объявлять надо потом, когда обновления готовы

Harald ★★★★★ ()
Ответ на: комментарий от tailgunner

Т.е. security through obscurity за которую так ненавидят проприетарщиков вообще и ms в частности мы на самом деле тоже любим использовать? ну-ну.

zgen ★★★★★ ()
Ответ на: комментарий от Harald

Ну, даже не знаю что сказать.
Если подумать хорошенько - и ваш и их путь имеет право на жизнь.
Но их всё же я бы принял более живо, ибо если бы у меня были какие-то важные данные в постгрессе, и она бы была доступна из вне - скорее всего бы потушил её до патчей.

Spirit_of_Stallman ★★★ ()
Ответ на: комментарий от Spirit_of_Stallman

и она бы была доступна из вне - скорее всего бы потушил её до патчей.

Хорошо говорить «потушил бы», а если это бизнес-критикал продакшн?

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Т.е. security through obscurity

WAT.

«This will prevent the commits that fix and document the bug from becoming visible to anyone except Postgres committers».

tailgunner ★★★★★ ()
Ответ на: комментарий от zgen

Хорошо говорить «потушил бы», а если это бизнес-критикал продакшн?

Хотел было делать на это поправку, но с таким не сталкивался, что бы в продакшенах она смотрела в наружу; а за не имением такого опыта - решил что поправка была бы слишком академической.

Spirit_of_Stallman ★★★ ()
Ответ на: комментарий от Spirit_of_Stallman

Это еще вопрос, remote ли это уязвимость. А то может какой-то фатальный баг, для эксплуатации которого можно даже application работающий с ним через socket/localhost использовать.

zgen ★★★★★ ()
Ответ на: комментарий от Spirit_of_Stallman

важные данные в постгрессе

она бы была доступна из вне

Wut?

Legioner ★★★★★ ()
Ответ на: комментарий от zgen

Это оно и есть

Во-первых, это не оно; во-вторых, предложи другое решение.

tailgunner ★★★★★ ()

Все тлен и прах. Потом кулхацкеры прогонят дифф и все и так выяснится. Через месяц на хабре будет перевод поста про то, как кто-то это сделал и пол-интернета оказались в говне по уши.

cdshines ★★★★ ()
Последнее исправление: cdshines (всего исправлений: 1)
Ответ на: комментарий от cdshines

Кто не накатывает обновлений безопасности, тот погорит обязательно. У меня к таким людям не может быть жалости, тупо неоткуда взять.

shimon ★★★★★ ()
Ответ на: комментарий от Spirit_of_Stallman

Не, я могу придумать варианты. В одной системе аутентификация и авторизация пользователей сделана ораклом, клиент работает с базой напрямую, поэтому теоретически никто не мешает запускать оракл-клиент какой-нибудь и делать любые запросы, тут бы уязвимость была некстати. Еще я не знаю, как на шаред хостингах устроено, наверняка тоже один инстанс базы на всех делится, поэтому тоже могут быть проблемы. Но это настолько редкие случаи, что объявлять какое-то военное положение из-за этого странно.

Или там insert into foo values('string-that-crashes-postgres') нашли? Если так, то да, но такую багу пропустить почти нереально.

А вообще, имхо, зря эту бучу подняли. Написали бы главным коммитерам про багу и в обычном режиме работали бы дальше, пока они фиксят багу, и потом с коммитом-фиксом сразу новость.

Legioner ★★★★★ ()
Ответ на: комментарий от tailgunner

Во-первых, это не оно;

Угу. Когда меня грабят - это преступление. А когда я - это справедливость.

zgen ★★★★★ ()
Ответ на: комментарий от ratvier

Во-первых, это не оно; во-вторых, предложи другое решение.

https://en.wikipedia.org/wiki/Full_disclosure

Ты сам-то читал, что там написано?

«Even among those who believe in disclosure there are differing policies about when, to whom, and how much to disclose.

Some believe that in the absence of any public exploits for the problem, full and public disclosure should be preceded by disclosure of the vulnerability to the vendors or authors of the system. This private advance disclosure allows the vendor time to produce a fix or workaround».

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Это «Various interpretations» и «This philosophy is sometimes called responsible disclosure.»

Я имел ввиду «The theory behind full disclosure is that releasing vulnerability information immediately results in quicker fixes and better security.»

ratvier ()
Ответ на: комментарий от ratvier

Я имел ввиду «The theory behind full disclosure is that releasing vulnerability information immediately results in quicker fixes and better security.»

А я имел в виду, что тебе следовало прочитать всю статью, а не один абзац. В частности, определение того, что есть full disclosure:

«full disclosure is the disclosure of all the details of a security problem which are known».

tailgunner ★★★★★ ()
Ответ на: комментарий от zgen

Очень просто. Между появлением коммитов в гите и сборкой исправлений есть промежуток времени за который могут успеть кого-нибудь поиметь. Если скрыть код до выпуска исправлений, то это усложнит жизнь злоумышленникам. Если дыра совсем страшная, то надо открывать гит через месяц после публикации бинарей и тарбола.

Reset ★★★★★ ()
Ответ на: комментарий от Reset

а как быть тем, кто из исходников собирал постгрескьюэл, генту-юзерам, например?

Harald ★★★★★ ()
Последнее исправление: Harald (всего исправлений: 1)
Ответ на: комментарий от Reset

дифф конечно трудно сделать и найти исправление бага, даа :)

Harald ★★★★★ ()

в постгресе

зачем он нужен, если есть мускул от оракла?

xtraeft ★★☆☆ ()
Ответ на: комментарий от xtraeft

Как говорил один мой знакомый разработчик postgres'а, MySQL — не база данных, а сервер электронных таблиц :)

Reset ★★★★★ ()
Ответ на: комментарий от takino

diff == все изменения с Release-X до Release-Y

diff == все изменения с любого опубликованного коммита до Release-Y.

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Я ровно про то и говорю.
Комментарии от коммита в тарболл не попадут.
Думаю, до релиза закоммитят не только этот фикс.

takino ★★★★ ()
Ответ на: комментарий от shimon

Кто не накатывает обновлений безопасности, тот погорит обязательно. У меня к таким людям не может быть жалости, тупо неоткуда взять.

Такие «ненужнисты» всплывают в каждой теме про андроид, когда начинаешь этих бакланов тыкать в факт что апдейтов - даже секурити фиксов - нету впринципе, кроме как купить новый андроидофон со следующей минорной версией аднроида.

TowTruck ()
Ответ на: комментарий от takino

Я ровно про то и говорю.

Нет. Ты даже не понял, в чем я тебя пытался поправить.

Комментарии от коммита в тарболл не попадут.

Еще раз: не нужно делать diff между Release-X и Release-Y. Достаточно взять diff между $LAST_PUBLISHED_REPO_VERSION и Release-Y. Этот diff будет на порядок меньше diff между ревизиями, и багфикс (а, следовательно, и баг) будет найти на порядок проще.

tailgunner ★★★★★ ()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от tailgunner

Что, тем не менее, на порядок сложнее,чем найти багфикс между commit-a и commit-a+1, о чем я тебе третее сообщение уже подряд говорю.

takino ★★★★ ()
Ответ на: комментарий от takino

Что, тем не менее, на порядок сложнее,чем найти багфикс между commit-a и commit-a+1, о чем я тебе третее сообщение уже подряд говорю.

Объяснять мне эту очевидную вещь ты не пытался.

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

*facepalm*
«ты не понял » - синоним «собеседник не пытался»?)

takino ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.