LINUX.ORG.RU

Леннарт Поттеринг удостоен премии Pwnie Awards 2017

 , , , ,


7

3

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности



Проверено: jollheef ()
Ответ на: комментарий от dzidzitop

А проблема systemd - в невозможности любой из предложенных систем с systemd загрузиться без уже примонтированной /usr.

И в каком месте это проблема?

А возможность таких систем всё же запускаться - это заслуга initramfs, а не слабо контролируемого в деталях комбайна.

И что с того? Так или иначе, это возможно абсолютно штатным способом, следовательно, это не проблема.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 2)
Ответ на: комментарий от pekmop1024

Я просто раскрыл мысль что я понимаю под «systemd и /usr на отдельном разделе не созданы друг для друга». А причина - в недетерминированности, что может создать (и создаёт) много разных интересных побочных эффектов.

А сама обязательность initramfs в таком сетапе - просто один из таких побочных эффектов.

dzidzitop ★★ ()
Ответ на: комментарий от borisych

да и вообще считается что Леннарт наоборот все починил

Да, баг фичей считать удобно. :-)

на 6ке меня udev постоянно выбешивал и я всегда сносил 70-persistent-net.rules

У меня в ALT всё прекрасно работает. И «фичу» эту поттеринговскую мантейнер пакета откатил.

AS ★★★★★ ()
Ответ на: комментарий от intelfx

Ты вообще в курсе, что существует процесс, и нарушение процесса

Да, в курсе. А вот ты и Поттеринг, очевидно, нет. Как и alpha. Поттеринг у нас теперь ещё и изобретатель процесса багрепортинга. Ну так пусть позаботится сделать трекер с полями, которые требуется заполнять. Или пусть идёт лесом со своими «изобретениями».

AS ★★★★★ ()
Ответ на: комментарий от Quasar

Да этот пшшшаудио многие при первой возможности стараются снести лишь бы заиканий не было.

Пока был сырым да непонятным, да. Но уж сколько лет как везде работает и не жужжит.

А уж systemd - специалисты уже всё сказали, засыпав Поцеринга колоссальными аргументами.

Левые (прочие) специалисты? Не сходя с дивана? Верю.

AVL2 ★★★★★ ()
Ответ на: комментарий от AS

У меня в ALT всё прекрасно работает. И «фичу» эту поттеринговскую мантейнер пакета откатил.

в 6ке (уже не помню про 5ку) привязка имени интерфейса к маку довольно-таки сильно напрягала в случае виртуальных машин, сейчас же по-умолчанию все работает так, как было 10 лет назад.

borisych ★★★★★ ()
Ответ на: комментарий от AS

Ну так пусть позаботится сделать трекер с полями, которые требуется заполнять.

баг-трекер это все-таки не траблтикетинг (хотя многие думают иначе), не нужно там обязательные поля вводить.

borisych ★★★★★ ()
Ответ на: комментарий от intelfx

это не проблема

Мухаха, кто бы сомневался. Уязвимость не уязвимость, баг не баг, проблема не проблема. Волшебное ПО, аж хочется руки пойти помыть после каждого слприкосновения с ним и его фанбоями.

bread ()
Ответ на: комментарий от borisych

в 6ке (уже не помню про 5ку) привязка имени интерфейса к маку довольно-таки сильно напрягала

Так отключить-то не проблема, если кому надо.

AS ★★★★★ ()
Ответ на: комментарий от borisych

не нужно там обязательные поля вводить.

Как и не нужно требовать определённую форму подачи заявок. Раз полей нет. Единственное - это она должна быть понятно описана.

AS ★★★★★ ()
Ответ на: комментарий от AS

Так отключить-то не проблема, если кому надо.

отлючить-то можно было, однако мало кто делал, из-за чего боль и возникала. Точно также и сейчас вернуть старую схему особых проблем не вызывает же:

Scheme 4: Names incorporating interface's MAC address (example: enx78e7d1ea46da), is not used by default, but is available if the user chooses.

и здесь я больше чем уверен, что то, какая схема наименования была выбрана по-умолчанию - это отнюдь не инициатива Леннарта, а, скорее всего, исходила от RH (надеюсь вы не будете спорить, что возможность выбора разных схем - это хорошо, а не плохо)

borisych ★★★★★ ()
Ответ на: комментарий от AS

Как и не нужно требовать определённую форму подачи заявок. Раз полей нет. Единственное - это она должна быть понятно описана.

тут вообще спору нет, вопрос в том, как другие индивидуумы собственно эти заявки заводят, в вышеописанном кейсе про remote syslog я из текста так и не смог понять что заявитель хочет получить, ну банальный вопрос: что нужно писать в предложенной директиве? host:port? severity? subsystem? все вместе? или какие-то хитрые фильтры и иметь возможность указывать несколько директив? Леннарт здесь скорее всего для себя решил, что если заявитель не удосужился раскрыть тему как следует, то и не стоит тратить время и запрашивать дополнительную информацию. То что они там в systemd пытаются любыми способами позакрывать запросы - так сказать нельзя, вот с первой сраницы пример (https://github.com/systemd/systemd/issues/6456) - заявитель сам закрыл баг, а его отрыли заново.

borisych ★★★★★ ()
Ответ на: комментарий от anonymous

Этому фашисту за его «достижение» надо гореть в аду.

конференция Black Hat USA в Лас–Вегасе

Black Hat - это люди, у которых отсутствуют моральные принципы как таковые: они находят дыры в ПО и либо непосредственно их используют для своего обогащения, либо перепродают другим людям, с отсутствующими моральными принципами. Злорадствовать тут глупо.

borisych ★★★★★ ()
Ответ на: комментарий от borisych

Точно также и сейчас вернуть старую схему особых
проблем не вызывает же:

Вызывает. Убран код с переименованием, по-этому если использовать имена ethX может тупо не сработать. Я, когда про откат патча писал, именно этот момент имел ввиду.

AS ★★★★★ ()
Ответ на: комментарий от borisych

ну банальный вопрос: что нужно писать в предложенной директиве?

Банальный ответ: адрес syslog-сервера и тип протокола. Что там ещё может быть-то ? Ровно так же, как сделано для локального.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Банальный ответ: адрес syslog-сервера и тип протокола. Что там ещё может быть-то ? Ровно так же, как сделано для локального.

Пффф, ну вот а я хочу разные логи на разных серверах собирать, или сразу на два сервера писать, чтобы надежнее было (syslog-ng и то и то умеет), что будем делать? В случае вашей реализации, остальные будут писать, что Поттеринг лошара и сделал все через задницу?

borisych ★★★★★ ()
Последнее исправление: borisych (всего исправлений: 1)
Ответ на: комментарий от AS

Убран код с переименованием, по-этому если использовать имена ethX может тупо не сработать. Я, когда про откат патча писал, именно этот момент имел ввиду.

давайте больше подробностей.

borisych ★★★★★ ()

Поттеринг, конечно, человек нехороший. Но хорошо, что его простыни кода читают и ищут в них баги, думаю в случае с MS или MacOs подобные дыры активно использовались сотрудниками АНБ/ЦРУ/пр. или другими нехорошими личностями, а у нас есть надежда, что Поттеринг уйдет и комьюнити все приведет в порядок(выкинет все, кроме системы инициализации).

anonymous ()
Ответ на: комментарий от AS

Поттеринг у нас теперь ещё и изобретатель процесса багрепортинга.

Просто до него багрепортили неправильно. Ходячий NIH этот ваш поттеринг. Вечный школьник.

bread ()
Ответ на: комментарий от mandala

Там сделано, btrfs в помощь, в сустемд удобнейшая
рулилка этим делом реализована специально для тебя!.

И-и-и-и-и... Бац: www.linux.org.ru/news/redhat/13587464

Btrfs и ... объявлены устаревшими

Всё пропало. Или, всё же, в той новости ошибка, и что-то не так ?

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)

Леннарт Поттеринг удостоен премии Pwnie Awards 2017

Здравствуйте!

Поздравляю!

Желаю здоровья, счастья и успехов!

Больше премий, хороших и разных!!! :-)

as001 ()

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE

Хоть я и нормально отношусь к systemd, но Поттеринг частенько как неадекват себя ведёт, а потом жалуется - словом, так и надо, пусть задумается

Gargamel ()