LINUX.ORG.RU

Леннарт Поттеринг удостоен премии Pwnie Awards 2017

 , , , ,


7

3

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности



Проверено: jollheef ()
Ответ на: комментарий от alpha

В этом не разработчики systemd виноваты,

Ну они создали все условия, чтобы такие инфоповоды были, и чтобы они шли на ура. Если я устрою истерику по багу где нибудь, и для этого не будет достаточных оснований — меня смешают с говном, а не разработчиков. Репутация у Лёни такая, и он сам себе её создал.

mandala ★★★ ()
Ответ на: комментарий от mandala

Нет, я не про ТБ. Я про взаимодействие с сообществом. Но я не хочу тратить ещё полдня на то, чтобы собачиться с местной peanut gallery, поэтому закопай моё сообщение туда же, откуда откопал.

intelfx ★★★★★ ()
Ответ на: комментарий от alpha

Лучше бы ты, вместе с евангелистом, обратила внимание на этот комментарий Леннарта:

https://github.com/systemd/systemd/pull/6225#issuecomment-315122022

Там у него окончательно разыгрывается паранойя и Леннарт начинает строить теории заговоров, где «CVE folks» оказывается внезапно вставляют палки в колёса systemd и проворачивают сомнительные «трюки», а CVE-2017-1000082 это вообще политическая игра, направленная против него. Бгг.

EXL ★★★★ ()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от EXL

Во-первых, он не евангелист а разработчик. И это круто.

Во-вторых я и без леннарта по этой премии вижу что это похоже на личную месть. Так не делается по многим причинам. И леннарта там не должно быть не потому что он белый и пушистый а потому что в принципе не для того премия.

alpha ★★★★★ ()
Последнее исправление: alpha (всего исправлений: 1)
Ответ на: комментарий от alpha

А я что? Я ни чё, да, флудераст на лоре. Мне даже баги негде ловить чтоб репорты строчить, т.к. сустемд только на убунте, и если что меня отправят гулять в местный багтрекер.

mandala ★★★ ()

Сисямде говно в первую очередь потому что написано на сишке с нулевой расширяемостью и кастомизируемостью пользователем/админом.
Зато с кучей предзаданных параметров на каждый чих которые нужно запоминать и с горой документации в которой непонятно что искать для конкретно твоей проблемы.
Да всё это ещё и нужно увязать с *-kit'ами/пульсаудио/селинухами и прочим поттеринговым говном у которых те же самые проблемы.
Зато когда ты поттеринг и писал всё это сам — тогда наверное хорошо, т.к. понимаешь как это работает изнутри и все твои проблемы решены, а если чё-то не хватает то допишешь. Ещё хорошо тем, кто пользуется редхатовскими ДЕ — гномом. Т.е. хомячкам, которые в настройку системы не лезут им всё зашибись. Т.к. гном как-то там интегрирован во всю эту хрень и всё какбы работает. А вот если ты не хочешь жрать гном, а хочешь колупаться с хакерскими WM без ДЕ и прочего гномошлака — вот тут могут начаться всякие грабли.
Кроме того все эти *-kit'ы и сисямды находятся на этапе допилки. И активно «развиваются». Меняются интерфейсы и настройки. И чё там происходит и будет происходить одному Лёне известно.

Bad_ptr ★★★ ()
Последнее исправление: Bad_ptr (всего исправлений: 4)
Ответ на: комментарий от borisych

Почему тогда зашили?

Пусть рейтинг там действительно неправильный. По мнению Леннарта это вообще NOT-A-BUG, так какого чёрта же он тогда зашит?

Poettering-Way: изрыгаем желчь в сторону CVE для 2.5 анонимусов в трекере systemd, строим умопомрачительные теории заговоров против systemd, расставляем на потенциальные уязвимости метки NOT-A-BUG и и занимаемся shitposting'ом, а потом, когда хайп уляжется, потихоньку их зашиваем.

И люди ещё удивляются, за что премия?

EXL ★★★★ ()
Ответ на: комментарий от alpha

Вообще на эту премию надо было заявить Nuvending Tech Support

кого вообще волнует эта компания?! я про нее первый раз слышу

судя по первой странице сайта, она продает китайские мыльницы со своим шильдиком — туда могут и обезьяну посадить в тех. саппорт, ниче удивительного

www_linux_org_ru ★★★★★ ()
Последнее исправление: www_linux_org_ru (всего исправлений: 2)
Ответ на: Почему тогда зашили? от EXL

Пусть рейтинг там действительно неправильный. По мнению Леннарта это вообще NOT-A-BUG, так какого чёрта же он тогда зашит?

вроде как все понятно из оригинального обсуждения на github: засабмитили баг (с претензией на уязвимость в виде упоминания 0day), Леннарт отписался что не баг, потому что в красной шляпе таких пользователей создать нельзя (разумное зерно тут есть: если в других дистрибутивах это не так, то почему бы ментейнерам этих дистрибутивов не позаботиться о патчах) и только спустя две недели подключилась security team из redhat и переклассифицировала этот not-a-bug в уязвимость - ничего сверхъестественного здесь нет, обычная такая рутина в разработке. Однако, почему пошли сначала к Леннарту не особо понятно: тот кто баг самбитил должен был изначально перетереть его с security team красной шляпы (это какбы правила хорошего тона описанные у CNA), а только потом выносить это на публику.

borisych ★★★★★ ()
Ответ на: комментарий от borisych

потому что в красной шляпе таких пользователей создать нельзя

Ну на свете как бы не только красная шляпа есть. Он наоборот радоваться должен, что нашли баг, который из-за красной шляпы оставался бы незамеченным и лежал как тикающая бомба, пока красношляпники бы не решили всё-таки разрешить создание таких пользователей или ещё какая хрень не произошла.(Если только у красной шляпы нет цели захватить мир и подмять всех под себя при помощи системд.. вейт, ох щи..)

Bad_ptr ★★★ ()
Последнее исправление: Bad_ptr (всего исправлений: 2)
Ответ на: Почему тогда зашили? от EXL

А про то что зашили ты откуда взял-то? Из новостей на ЛОРе?

Вот реально, если тебя так мучает вопрос ну прочитай ты хоть что-то по теме.

«not-a-bug» там не чинили. Там создали RFE https://github.com/systemd/systemd/issues/6277 и его реализовали.

Потому что несмотря на то что багом не посчитали, и уязвимость там мифическая, вопрос о правильной работе с некорректными данными подняли и решили.

Pro Tip: так и положено делать по нормлаьному рабочему процессу, некорректные баги закрывать, но создавать follow-up-таски если в процессе обсуждения выяснилось что они нужны.

alpha ★★★★★ ()
Ответ на: комментарий от borisych

почему пошли сначала к Леннарту не особо понятно

Вряд ли здесь был какой-либо злой умысел. Разработка systemd ведётся на GitHub, соответственно баги и патчи засылаются туда же.

EXL ★★★★ ()
Ответ на: комментарий от Bad_ptr

Ну на свете как бы не только красная шляпа есть

Лол! Он срать на весь мир хотел, ему бабос платит определенная контора и только её хотелки он делает. Именно по этому у него не болит голова о стабильной версии, т.к. в красношляпе стабилизацией пакетов и бекпортированием занимается отдельная скилованная команда. Да много еще чего из-за этого...

Я сто раз говорил: сустемдик это карманная корпоративная поделка красношляпых, и пилят они её только с оглядкой на себя самих. Хотите это жрать? Жрите.

mandala ★★★ ()
Ответ на: комментарий от EXL

Вот-вот, гитхабный базар. А была бы уютная рассылочка по безопасности, было б по другому, ну имнимум бы на суд тысяч улюлюкающих идиотов это не было бы вынесено. А так открыты всем — жрите публичность, она и такая бывает, да.

mandala ★★★ ()
Ответ на: комментарий от mandala

Он срать на весь мир хотел, ему бабос платит определенная контора и только её хотелки он делает.

плюсую

Я сто раз говорил: сустемдик это карманная корпоративная поделка красношляпых, и пилят они её только с оглядкой на себя самих. Хотите это жрать? Жрите.

Самое хреновое что они вдовесок имеют огромное влияние на ядро.

Bad_ptr ★★★ ()
Ответ на: комментарий от mandala

ядро то не их личное

Пинус работает же в красношляпе.
Это я к тому что

Хотите это жрать? Жрите.

Нежрать может выбора в конечном итоге и не остаться, т.к. системд агрессивно вовсюда пихается так что придётся иметь с этим дело.
Только разве что у себя в подвальчике можно будет запускать системд-фрии софт.

Bad_ptr ★★★ ()
Ответ на: комментарий от alpha

Ты описание премии читал? За что она выдается-то посмотри.

и что после этого смотрежа я дожен сказать? «ой, давайте и в самом деле выдадим эту премию той обезьяне, которую случайно посадили в техподдержку, и про которую упомянула alpha»?

а ведь дикая природа так разнообразна! кроме обезьян, есть еще и попугаи, они, конечно, на клавиатуре не очень печатают, но зато голосом могут говорить! может им эта премия еще лучше подойдет?

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от borisych

однако, откуда там AV:N ... вроде юниты из-под рута нужно создавать, соответственно считать нужно так: AV:L

ыыы!!!

как «создание юнитов под рутом» внезапно делает AV:L? если ты действительно стоишь на точке зрения «создание юнитов под рутом», тогда для ее эксплуатации нужен рут, и тогда это вообще не уязвимость, гыгы

Network (N) A vulnerability exploitable with network access means the vulnerable software is bound to the network stack and the attacker does not require local network access or local access. Such a vulnerability is often termed «remotely exploitable». An example of a network attack is an RPC buffer overflow.

именно так: AV:N

если юнит как-то был создан (например, уговорив админа по телефону, что юнит-то под юзером идет, а юзер под selinux-ом по самые уши, ниче страшного), то эксплуатировать его можно уже по сети, а вовсе не локально

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от EXL

Вряд ли здесь был какой-либо злой умысел. Разработка systemd ведётся на GitHub, соответственно баги и патчи засылаются туда же.

Не совсем так. Вы, похоже, никогда дела не имели ни с CNA ни с MITRE, поэтому у вас мнение несколько неправильное. Суть примерно такая: быть независимым исследователем в безопасности довольно непросто, потому что, чтобы взять и просто опубликовать найденную уязвимость так, чтобы она при этом получила хоть какой-то резонанс (т.е. попала в общеизвестные базы, а для этого нужно получить CVE ID), нужно довольно некисло заморочиться, потому что MITRE напрямую CVE ID раздает довольно редко (да и медленно - дня 3-4 занимает) и предпочитает работать через CNA (здесь вообще большая такая дыра есть в их системе: если некоторое ПО находится в зоне ответственности CNA, то CVE ID можно получить только от этого CNA, т.е. если вы нашли дыру в ПО от CISCO то информацию о ней опубликуют тогда и только тогда, когда этого захочет CISCO, а до этого вы даже CVE ID узнать не сможете). Ну и все исследователи безопасности об этих правилах и заморочках прекрасно знают. Здесь же довольно очевидно, что Леннарту просто решили поднасрать: в случае resolved чувак из SuSE воспользовался что они CNA и просто выписал CVE ID без всяких объяснений, хотя все изначально началось с простого багфикса, в случае с юнитами намек был изначально на безопасность, поэтому нужно было баг через redhat заводить.

borisych ★★★★★ ()
Ответ на: комментарий от alpha

Нет, конечно же награждать результатам конкурса красоты. Какая в конце концов разница-то, был бы человек хороший.

хорошо, ради тебя я согласен наградить ту обезьяну, про которую ты писала, премией «за красоту»

но премией Lamest Vendor Response давай все же будем награждать хотя бы относительно известных разработчиков хотя бы относительно известных продуктов, а не обезьян и попугаев?

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от alpha

А про то что зашили ты откуда взял-то?

Внезапно, из истории последних коммитов в systemd: https://github.com/systemd/systemd/commit/bb28e68477a3a39796e4999a6cbc6ac6345...

«not-a-bug» там не чинили

Сообщение коммита выше с явным:

Fixes #6237

Противоречит твоему утверждению.

вопрос о правильной работе с некорректными данными подняли и решили.

Я бы выразил это другими словами: адекватные разработчики systemd смогли пробиться через истерику, ЧСВ и паранойю Леннарта и вмерджить в systemd исправления.

EXL ★★★★ ()
Ответ на: комментарий от www_linux_org_ru

именно так: AV:N

если у вас претензий относительно AC:H/PR:H/UI:R нет, то готов согласиться на AV:N вместо того чтобы спорить - все равно оно получается 6.4, а не 9.8 :)

borisych ★★★★★ ()
Ответ на: комментарий от Anakros

Всю твою серьёзность и адекватность испортила эта фраза. Можешь своего кота/мать/сына выпороть, раз злобу девать некуда.

Лапочка такой фантазер.)) Твой друг пощекочет тебя своей бородкой за твои по...

Odalist ★★★★★ ()
Ответ на: комментарий от alpha

это какая-то очень оригинальная трактовка remote-уязвимости

это не эксплуатация уязвимости (которая AV:N), а способ ее привнести в систему

задам наводящий вопрос

когда-то в дебиане ssh-ключи генерились недостаточно рандомно (Debian OpenSSL Predictable RNG); ты эту уязвимость тоже, как и borisych, будешь считать локальной?

ведь для установки ssh требовался рут! значит локальная!!!!!1111111111111111111111111111111111111111

www_linux_org_ru ★★★★★ ()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от LupusAlbus

Да поцтеринг вообще мем ходячий.

Типа таких

Если какую-либо проблему упорно отрицать вместо поиска решения, за неё возьмётся Поттеринг и создаст ещё одну.

Odalist ★★★★★ ()
Ответ на: комментарий от borisych

если у вас претензий относительно AC:H/PR:H/UI:R нет, то готов согласиться на AV:N вместо того чтобы спорить

скорее всего и там ты нафантазировал так же, как и с AV:N, но это вчитываться надо; потом почитаю, а пока что культурно буду вторичным продуктом кидаться

www_linux_org_ru ★★★★★ ()
Последнее исправление: www_linux_org_ru (всего исправлений: 2)