LINUX.ORG.RU

Леннарт Поттеринг удостоен премии Pwnie Awards 2017

 , , , ,


7

3

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности



Проверено: jollheef ()

Pwnie for Lamest Vendor Response

Awarded to the vendor who mis-handled a security vulnerability most spectacularly.

SystemD bugs 5998, 6225, 6214, 5144, 6237

Credit: Lennart Poettering

Where you are dereferencing null pointers, or writing out of bounds, or not supporting fully qualified domain names, or giving root privileges to any user whose name begins with a number, there's no chance that the CVE number will referenced in either the change log or the commit message. But CVEs aren't really our currency any more, and only the lamest of vendors gets a Pwnie!

jollheef ★★☆☆☆ ()

Это должно быть подтверждено! :D

Предугадываю реакцию Леннарта: скоро он вторую часть community is full of assholes в своём бложике, название которого прямо намекает об его самомнении. :)

a1batross ★★★★★ ()

HTTPSafe Browser

Credit: Kaspersky

As cited in CVE-2016-6231, the Kaspersky «Safe» Browser for iOS failed to validate SSL certificates for any site other than the sites on the known phishing or malware list. This makes sense, of course, because we already know we can trust the good sites, but you never know about the certificates on those shady URLs, you gotta keep an eye on that shit!

anonymous ()

Ура товарищи! Поздравляю Лёшку ))

Так, попутно вопрос этот логический баг фиксят патчами на уровне дистрибутивов? Премия премией, но ...

Dron ★★★★★ ()
Последнее исправление: Dron (всего исправлений: 1)
Ответ на: комментарий от Khnazile

Да какой расстрельной. Максимум только лишь натравить толпу его фанатиков. Которые всем будут рассказывать, какой же Леня на самом деле не мудак, а это всё вы врёте, уязвимостей нет, это фичи!

a1batross ★★★★★ ()

за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

Если пройти по ссылкам..

хотя о чем я опять, это же ЛОР.

alpha ★★★★★ ()
Ответ на: комментарий от a1batross

Все знают, что у Шапки есть подразделение боевиков, которые врываются в дома к независимым разработчиком и под дулами 200мм минометов заставляют их интегрировать systemd в свои продукты.

Khnazile ★★★ ()
Ответ на: комментарий от Ford_Focus

1) Все перечисленные ссылки - это не «многочисленные случаи», а одна и та же тема.

Summary здесь https://github.com/systemd/systemd/pull/6225#issuecomment-315122022

2) Документирование CVE (в плане тегов в git-комментах) никто не убирал.

Леннарт сказал, что не из каждого CVE стоит делать новость (NEWS), а не документацию, поскольку по его мнению владельцы CVE базы не всегда адекватно оценивают баги.

После чего эти самые владельцы ему малость грязно ответили с этой премией.

Хотя бы потому что Леннарт не является вендором.

alpha ★★★★★ ()

Держим кулаки, чтобы Леонид получил премию Дарвина, он заслужил её как минимум трижды (avahi, pulseadio и естественно systemГ).

anonymous ()
Ответ на: комментарий от Harald

Жюри очевидно же состоит из хейтеров и ретроградов!

некоторая доля правды в этом есть. Я вот посмотрел заведенные CVE, у них у всех чрезмерно завышенный скор, для примера в CVE-2017-1000082 скор посчитали вот так: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, однако, откуда там AV:N, PR:N, AC:L и UI:N взялись непонятно вообще - вроде юниты из-под рута нужно создавать, соответственно считать нужно так: AV:L, PR:H, AC:H, UI:R, и скор тогда будет 6.3, а не 9.8 как заявлено (вообще в MITRE бардак еще тот творится, поэтому неудивительно что всякую фигню пропускают, а Леннарт, соответсвенно, возмущается)

borisych ★★★★★ ()
Ответ на: комментарий от Odalist

Жизнь без systemd прекрасна!

Вы как старообрядцы, которые электричеством не пользуются.
Каждый дрочит, как он хочет, конечно. Но не надо брызгать на прохожих.

pekmop1024 ★★★★★ ()

«Самая дурацкая реакция разработчика»

Как-то низковато для его кривых рук.

Надо было как минимум «Самый дебильный разработчик в мире».

slamd64 ★★ ()
Ответ на: комментарий от a1batross

У вас, глуповатых хейтеров, какой-то свой, особый мирок, где везде находятся люди, которые обожают Леннарта. На деле в каждой теме по системди видно только истошные визги в его сторону, обозлённые оскорбления и так далее. И хоть бы старались, чтобы выглядело это не как трешак из уст школьников на каникулах, нет, адекватной критики ноль.

Anakros ★★★★ ()
Ответ на: комментарий от alpha

кто-то из нас не перешёл по ссылке или у кого-то плохо с английским.

причём тут CVE? премию дали за, скажем так, забавное поведение и типичное леннартовское «NOTABUG WONTFIX», которое мы все имеем неудовольствие наблюдать уже в который раз.

Ford_Focus ★★★★★ ()
Ответ на: комментарий от Ford_Focus

кто-то из нас не перешёл по ссылке или у кого-то плохо с английским.

не у вас случаем? На github по всем запросам один и тот же паттерн:

  • заводят баг и пишут что у бага есть некий security impact (на самом деле такие вещи обычно в приватной переписке обсуждаются ну или нужно было через красную шляпу или убунту эскалировать)
  • Леннарт говорит: вот я тут никакого особого security impact не вижу или не понимаю каким образом можно эксплуатировать (ну а что ему видеть и понимать, если он не эксперт по безопасности), если вы видите и знаете, то укажите в каком месте и как
  • ему в ответ: ах ты мразь, вот лови CVE
borisych ★★★★★ ()
Ответ на: комментарий от alpha

все поздравляют Лёню с заслуженной победой, всё очень даже так.

лично я напрямую именно с этими багами не сталкивался, но то что Леннарт отвратительный архитектор и не достоен быть ведущим разработчиком проектов больше домашней странички - в этом я уверен. Жаль в этом плане пока нет конференций/номинаций, где можно было бы устроить «публичную порку»

Ford_Focus ★★★★★ ()

Вообще на эту премию надо было заявить Nuvending Tech Support

с их ответом на ревью от Matthew Garret:

https://www.amazon.com/review/R1OPKA227Q6P5

Сейчас они его уже затерли и оригинал не ищется, но поначалу там было что-то такое:

Дорогие клиенты, не обращайте внимания на сложные темы изоженные в ревью выше. Это все сложно и непонятно и не имеет к вам никакого отношения. Чтобы нанести вам какой-то вред человек должен иметь компьютер с Линуксом. А разве такое может встретиться на улице?

Но орги вместо этого решили в свою вендетту поиграть.

alpha ★★★★★ ()