LINUX.ORG.RU

Леннарт Поттеринг удостоен премии Pwnie Awards 2017

 , , , ,


7

3

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности



Проверено: jollheef ()
Ответ на: комментарий от bread

Ааа, вон оно че. Так пусть админит локалхост этот неэксперт, схерали он лезет курочить систему?

ну раз у вас есть свое личное мнение на этот счет, то не могли бы вы показать как, к примеру, эксплуатировать CVE-2017-9217? Вы-то, видно, знатный эксперт.

borisych ★★★★★ ()
Ответ на: комментарий от Ford_Focus

Жаль в этом плане пока нет конференций/номинаций, где можно было бы устроить «публичную порку»

Всю твою серьёзность и адекватность испортила эта фраза. Можешь своего кота/мать/сына выпороть, раз злобу девать некуда.

Anakros ★★★★ ()
Ответ на: комментарий от bread

то есть таки слился, ну ничего другого ожидать и не стоило.

А этот фаворит редхатовских педиков у вас вечно неуиноуен.

в каком месте в 5998 Леннарт оказался не прав? review он провел на следующий день после того как пул-реквест сделали, а потом подтянулись некие «эксперты» из убунты и сусе и начали создавать непонятный шум в багтрекинге (для этого вообще MITRE, CERT/CC и пр. существуют). Одному «эксперту» из убунту Леннарт намекнул, что пользы он него никакой нет, в вашем багтрекинге тоже всякие неадекваты фигню не по делу пишут?

borisych ★★★★★ ()

Ничего не имею против systemd, но подобная премия Леннарту поделом, в связи с последними событиями.

Нехер было устраивать цирк с конями и получать -40 на GitHub'е:

https://github.com/systemd/systemd/issues/6237#issuecomment-311900864

А потом, когда адекваты из RedHat настучали по шапке, тихонько выкатывать фикс, пытаясь остаться «благородным рыцарем на белом коне»:

systemd 234

Исправлена уязвимость CVE-2017-1000082, связанная с неправильной обработкой имени пользователя.

Мерзкий поступок со стороны Леннарта, как личности. Но как же хорошо, что в красношапке сидят адекваты и серьёзные бизнесмены, которые срать хотели на какие-то там предпочтения и холивары связанные с Потерингом. Дядя из RedHat сказал надо, а Леннарт подобрал сопли и пофиксил свой NOT-A-BUG. Точка.

Не будь Леннарт ЧСВшным мудаком, он бы сразу написал адекватный комментарий, типа: «Ок ребята, я не считаю это как таковой уязвимостью, но согласен с вами, защита от дурака нужна в этом месте, спасибо за репорт». Скажи он так сразу, над ним бы не смеялось сейчас пол-интернета.

EXL ★★★★ ()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от alpha

лайки на гитхабе - наш ориентир!

Тоже ЛОРовцы подосрали или тролли набижали? Для разработки systemd была выбрана именно эта площадка, соответственно «лайки» на гитхабе являются ориентиром сообщества, которое вносит какой-либо вклад в systemd. То, что Леннарт поступил как мудак, а потом роняя сопли пошёл зашивать свой NOT-A-BUG уже говорит о многом.

EXL ★★★★ ()
Ответ на: комментарий от alpha

Что показательно, у коммента https://github.com/systemd/systemd/issues/6237#issuecomment-312479534 и далее уже никаких лайков нет

волна нечитателей набежала на тред один раз, а дальше по делу переписывались только разработчики

alpha ★★★★★ ()
Ответ на: комментарий от alpha

Что показательно ... и далее уже никаких лайков нет

Конечно показательно. У него, выражаясь в новых молодёжных терминах «бомбануло» и он их сразу же закрыл.

волна нечитателей набежала на тред один раз

Нет. Волны нечитателей туда забегают постоянно. Вот только ни поставить лайк, ни оставить комментарий они уже не могут. Всё это было запрещено лично Леннартом в первые минуты после открытия Issue. И теперь там может оставлять комментарии только он и команда контрибьютеров.

EXL ★★★★ ()
Последнее исправление: EXL (всего исправлений: 2)
Ответ на: комментарий от pekmop1024

Ты знаешь, провода я от дома могу отцепить, мне ни кто не запрещает. И генератор замутить, да, т.е. сам себе с усами, а могу и с лучиной жить. «Провода» же от Лёни не отцепишь просто так (ну отцепишь, только стена тогда рухнет), приходится эмигрировать нахрен в соседний штат.

mandala ★★★ ()
Ответ на: комментарий от EXL

То что ты не можешь сказать ни одного предложения без личного оскорбления в известный адрес, тоже о многом говорит.

Все-таки интересно откуда вы такие беретесь.

Вы когда-нибудь разработчиков вживую видели? Разговаривали? Переписывались? Закрывали сами баги с Won't fix?

У меня был правда один показательный случай, когда я одного из разработчиков попросила баг-репорт оформить по-человечески. Он меня чуть в землю не вбил тут же. Мол, если я написал «ничего не работает» - твое дело разобраться.

При этом когда он на стороне принимающего баги разгребает - глядишь вроде адекватный человек, понимает нужность информации, соблюдение шаблонов, с правилами в разговоре соглашается..

Так что наверное существует такая избирательная дикость.

Но все равно каждый раз удивляюсь.

alpha ★★★★★ ()
Последнее исправление: alpha (всего исправлений: 1)
Ответ на: комментарий от alpha

что ты не можешь сказать ни одного предложения без личного оскорбления в известный адрес, тоже о многом говорит.

Здесь, на ЛОРе у любого systemd-хейтера я в расстрельном списке за своё позитивное отношение к systemd.

И я был весьма нейтрален в отношении к Леннарту до недавнего происшествия с NOT-A-BUG, который потом внезапно был раз и исправлен в systemd 234. Без лишнего шума и пыли.

Либо Леннарту нужно было стоять в своём мнении до конца и недопустить исправления NOT-A-BUG, либо не делать таких ЧСВшных заявлений в трекере, либо просто взять и по-человечески признать свою неправоту в этой ситуации, сделав публичное заявление.

откуда вы такие беретесь.

Судя по всему, Леннарт сам делает нас такими своим одиозным поведением.

EXL ★★★★ ()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от Odalist

Новое далеко не всегда лучше старого...

Если при появлении systemd были вопросы, то по прошествии времени и применении его в боевых условиях могу однозначно сказать, что в данном конкретном случае «новое лучше старого».

pekmop1024 ★★★★★ ()
Ответ на: комментарий от alpha

Бред, не бред, а выглядит он как мудак. Может он и не мудак, но встречают по одежке (в этих наших интернетах по общению).

Тут еще ни кто не вспомнил как сусевцы нарыли критическую уязвимость в 228, которая была молча пофикшена без указания на то, что это уязвимость? И такого говна слишком много для такой штуки, как сустемд. Была бы это не обязательная сторонняя поделка — было бы всем насрать, а сегодня по факту это стандарт, как и ядро. В ядре тоже полно дыр и прочего говна, но там лидер и лицо проекта ведет себя в таких случаях по людски, и в том числе признает свои личные ошибки.

mandala ★★★ ()
Ответ на: комментарий от EXL

И я был весьма нейтрален в отношении к Леннарту до недавнего происшествия с NOT-A-BUG, который потом внезапно был раз и исправлен в systemd 234.

Ты сам этот репорт читал? Ты видел обсуждение? Ты знаешь, что в итоге было сделано?

Либо Леннарту нужно было стоять в своём мнении до конца и недопустить исправления NOT-A-BUG

Какой бред.

+1

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от alpha

Бред — это его ЧСВ вкупе с резкими высказываниями, метка NOT-A-BUG, комментарий с -40 и в конце всего этого цирка, вишенкой на торте — заплатка, зашивающая NOT-A-BUG с номером CVE-2017-1000082

По истине, заслуженная премия.

EXL ★★★★ ()
Ответ на: комментарий от pekmop1024

то по прошествии времени и применении его в боевых условиях могу однозначно сказать, что в данном конкретном случае «новое лучше старого».

Это лично только ваше мнение. А мое мнение

Новое далеко не всегда лучше старого...

Odalist ★★★★★ ()
Ответ на: комментарий от mandala

сусевцы нарыли критическую уязвимость в 228, которая была молча пофикшена без указания на то, что это уязвимость?

ты читал источник? или по желтым заголовкам как с 0day-пользователем мнение составляешь?

вот тут можешь почитать https://github.com/systemd/systemd/issues/5144#issuecomment-277319518

Вы приводите примеры багов которые были распиарены в самой дикой формулировке, не соответствующей реальному положению вещей. После чего возмущаетесь что они были «по-тихому» решены. Кто ж вам виноват что авторы «новостей» не осиливают потом написать опровержение или хотя бы банально разбор бага вместе с решением. У них всё, инфоповод ушел, надо искать новую сенсацию.

В этом не разработчики systemd виноваты, а собственно вы как недобросовестные читатели желтой прессы.

alpha ★★★★★ ()
Ответ на: комментарий от intelfx

В категории «Самая дурацкая церемония» премии удостоена...

Всё-таки у безопасников свой, особый образ мыслей и манера взаимодействия с сообществом. Особо идиотская.

intelfx Ой, это ты на производстве не работал, порой ТБ такая идиотская с первого взгляда, а если поймать инженера этой ТБ и посидеть с ним чайку попить (который с виду только бумажками занимается), то он столько увлекательных историй расскажет: и про ущерб в лямы, и про гуро с трупами... Тут тоже самое с безопасниками, да.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)