Критическая уязвимость в glibc (CVE-2015-0235)

В альте еще 11-го исправили.

11 января 2014. Год назад. Они знали!!!!111

Да, кстати, на год в changelog не посмотрел :)

./CVE-2015-0235

not vulnerable

(Debian EGLIBC 2.13-38+deb7u6) 2.13

Crunchbang.

Все ОК. Систему не обновлял больше месяца.

А, наверно, все потому, что EGLIBC?

Вон, тут тоже пишут 2.13-38+deb7u6

Я оттуда и взял ссылку.

Единственный уязвимый в треде!

Кстати CVE-2015-0235

Source Package	  Release	  Version 	  Status
eglibc (PTS)	squeeze (lts)	2.11.3-4+deb6u4	   fixed

Сегодня была обнаружена и успешно исправлена
Проблема была исправлена коммитом еще в 2013-м году

Хм...

Во-первых, почти весь GNU софт — трудно читаемый и очень долго компилируемый. Может, по-другому не умеют.

Ну уж куда им до таких мастодонтов программирования как Вы! У Вас ведь есть что нам показать (проектик какой-нибудь), чтобы просветить наше дремучее существование.

11 января 2014. Год назад. Они знали!!

Справедливости ради надо заметить, что glibc 2.17-alt8 в стабильные p7/t7 попал только 23/01/15, хотя в Сизифе, действительно, лежит уже больше года.

p6 ? p5 ?

А для танкистов...

Как оно в теории то хоть удаленно работает???

Что должно наружу торчать чтоб была опасность?

Не совсем понятно как этим поломать вэб сервер...

p6 ? p5 ?

Поддержка по ним давно прекращена. Хотя bash обновляли.

exim ломали.

см опеннет. или ты хотел здесь технически грамотное объяснение увидеть?

Красава)

«открывая исходники, разработчик в том числе говорит: «Ребзя, мне нечего скрывать! Я ничего против вас не замышляю!»»

Хомячки так думают, и поэтому бэкдоры АНБ и МИ6 никто не находит годами. Ведь это опенсорц, и тысячи зорких глаз, фигли.

«по сравнению с закрытым софтом код обычно на порядок лучше.»

Сколько раз «халва» не говори, слаще не станет. Прошло 23 года, а в ОС как не было нормального софта, так и нет. Зато «код на порядок лучше».

В отличии от их хотя бы находят (:

ну ладно пусть exim стоит. Но откуда он получит это ip не правильно сформированный ?

Каким боком они вполне рядовой пипл? Откуда такие навыки в audit & exploit?

Рядовой не по навыкам, а относительно разработки glibc. В комменте, на который я отвечал, утверждалось, что «ОШИБКИ находятся правятся только разработчиками проектов». Или я чего-то не знаю, а Qualys занимаются разработкой glibc?

не было нормального софта

http://risovach.ru/upload/2013/05/mem/nu-davay-rasskazhi_19473027_orig_.jpeg

Тогда и поставлю на работе гентушечку.

Вот тебе на работе заняться нечем.

Поддержка по ним давно прекращена

ну фиг с p5 он протух давно, но разве близнец p6 не поддерживается (СПТ) ?

а планируют? а то тоже пару серваков под squeeze осталось.

Критическая уязвимость в glibc (CVE-2015-0235) (комментарий)

не ip, а хостнейм, который парсится как ip. в ehlo, вестимо.

Было бы нечем заняться, уже бы развернул генту!

А так — боязно. Если "вдруг срочно" понадобится что-то, а придется настройки ковырять... да и этот чертов apache2 — не жрет же, собака, старые настройки, а в новых разбираться долго.

Ну, а т.к. у генты лишь одна альтернатива — слака, то только гента и остается! Больше дистрибутивов линукс не осталось, к сожалению.

Больше дистрибутивов линукс не осталось, к сожалению.

Куда же они подевались?

Хотя, чего удивляться, если я не обновляюсь с конца 2012-го года?
Жду, пока совсем сдохнет мой арчик.

Так обновись же, он и сдохнет.

спасибо

а можно ссылку?

https://security-tracker.debian.org/tracker/CVE-2015-0235

Хомячки так думают, и поэтому бэкдоры АНБ и МИ6 никто не находит годами. Ведь это опенсорц, и тысячи зорких глаз, фигли.

С этого можно сделать вывод, что проприетарщина состоит из бэкдоров АНБ и МИ6 чуть менее чем полностью.

Ткните меня носом в пример, когда в багзилле пипл (рядовой) открыл тикет с описанием CVE и примером кода

subj. багу нашли «сторонние» люди.

Поцтеризовались и сдохли.

Если бы я хотел, чтобы мой рачик покончил жизнь самоубийством, обновился бы еще 2 года назад =D

Поцтеризовались

Не понял.

и сдохли.

А с чего я пишу сейчас?

Сегодня была обнаружена
Проблема была исправлена коммитом еще в 2013-м году в glibc 2.18

так когда все-таки была обнаружена?

Не понял

Леню поца знаешь? Этот урод загадил уже много дистрибутивов своим шлаком вроде avahi, pulseaudio и (тадам!) systemd. И если первый поцтерошлак не был обязателен (разве что тупые мелкорылые придурки в последнем скайпе забульбенили зависимость от PA, но хорошие люди написали эмуляцию этого говна), то ненужноD стали активно пихать во все хомяческие дистрибутивы.

Хомячки в восторге. Линуксокапец не за горами.

pulseaudio нужно, такие вот дела.

но разве близнец p6 не поддерживается (СПТ)

Он несовсем близнец, обновления для него делаются отдельно, а не берутся из p6 (хотя некоторые, наверное, берутся). И имеет место коллизия - даже критическое обновление поставить нельзя без его сертификации. На сколько я всю эту кухню с СПТ понимаю.

Кому нужно?

Мне не нужно.

PS: в gnu-софте нет персональной ответственности, нет разборок: кто вёл проект, кто залил, кто проверял-одобрял commit.

Вообще-то все изменения от персон отражены в логах коммитов.

Насчёт ответственности: практически во всех проектах недвусмысленно разжевано про ответственность, обычно в текстах лицензий. Кто-то персонально отвечает за баги например IE, Adobe Flash, ActiveX, COM/DCOM/OLE/VBS/DOC, кнопку пуск и тому подобное? Где эти герои? Уже есть случаи показательной порки за баги? Кому-то уже выплатили компенсации за дырки и некачественный софт? Кто-то в здравом уме подпишется под такими контрактами?

Мечтать не вредно о мирах, где ответственность реализуется посредством палочной системы и угрозами. Вот тогда заживём! Виновные найдены. Главное найти виноватых стрелочников. Причины не существенны. Нет человека - нет проблемы?

Код программы слишком хрупкая вещь чтобы кто-то взял ответственность. Никто ничего не гарантирует. Да и невозможно это. Если только повесить ответственность или сделать человека виновным или должником...

Можно только реализовывать более-менее безопасные подходы и концепции. Повышать культурку и сознательность.

Баги и дырки неизбежны. Другой вопрос об открытости этого. Если на предприятии есть служебный чёрный ход, то конечно его не закроют пока общественность молчит... Так и с закрытым кодом - что там под капотом лишь можно догадываться...

avahi

Так это тоже его поделие???

Прямо как из рога изобилия эти чудные технологии...

Паникер

Проблема была исправлена коммитом еще в 2013-м году в glibc 2.18, однако многие дистрибутивы еще не успели перейти на эту версию.

не успели перейти на эту версию

Э... Я правда не знаю, зачем задерживать обновление. Кто объяснит?

Это дзен, всему свое время =)

Отнюдь. Линукс и так уже в говно скатился почти. Раньше все элементарно можно было сделать, а сейчас запаришься настраивать!

А уж что с GUI сделали, так вообще жесть!

Может, поц не успел ненужноD отладить с новым glibc? =D

Я понятия не имею что он там делает со своим... системд, не пользуюсь, не интересуюсь.

Хотя если уж развивать такую мысль(остальное даже я не воспринимаю всерьёз), может ему было выгодно задерживать glibc с уязвимостью?