LINUX.ORG.RU

Леннарт Поттеринг удостоен премии Pwnie Awards 2017

 , , , ,


7

3

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности



Проверено: jollheef ()
Ответ на: комментарий от EXL

Я бы выразил это другими словами:

Тебе бы не помешало прекратить истерику и вспомнить про адекватность.

Паранойя и неадекватность в 6237 не наблюдается, там наблюдается Леннарт который объясняет свою точку зрения. Там нигде не написано что никакая валидация невозможна. Там объясняется почему описанное в исходном посте не являеся багом.

Если подумать - можно понять обоснование и как он к этому пришел. Можно понять почему этот not-a-bug сравним с «багом» rm -rf /

Тем не менее даже «rm -rf /» тоже можно обсудить и пофиксить.

Так и тут, рассылки, багрепорты чаты и прочее собственно для того и созданы, чтобы можно было не согласиться. Можно было обсудить и поспорить. Можно было обдумать тему и придти к какому-то новому решению. Можно было даже, о боже мой, убедить изменить точку зрения в каких-то случаях.

Это все разрешённые действия, принятые в любом сообществе. Но у нечитающих хомячков почему-то вызывают состояние близкое к помешательству.

И неприменительно к Леннарту, а вообще:

Не надо быть святым, чтобы быть уважаемым разработчиком, не надо никогда не ошибаться, чтобы быть экспертом, и т.д.

А вот не оскорблять людей, чтобы не быть неграмотным хамлом - надо.

alpha ★★★★★ ()
Ответ на: комментарий от borisych

в случае с юнитами намек был изначально на безопасность, поэтому нужно было баг через redhat заводить.

Вы правда уверены, что абсолютно все независимые исследователи в безопасности поступили бы именно так?

Кстати, зарепортивший баг, судя по всему китаец из Китая. И он может быть далёк от всех этих описанных вами намёков, манипуляций и правил «хорошего тона» независимых исследователей. Увидел баг — зарепортил в трекер.

EXL ★★★★ ()
Ответ на: комментарий от www_linux_org_ru

ты эту уязвимость тоже, как и borisych, будешь считаешь локальной?

вы гайд читали? непосредственно та часть что запускает юниты в сеть никаким боком не торчит, откуда у нее AV:N получается?

Debian OpenSSL Predictable RNG

там кстати C:C/I:N/A:N, а Леннарту решили впаять C:H/I:H/A:H

ведь для установки ssh требовался рут! значит локальная!

sshd он из коробки в дистрибутиве идет и еще в сеть торчит, а юнит нужно ручками создать.

borisych ★★★★★ ()
Ответ на: комментарий от EXL

Вы правда уверены, что абсолютно все независимые исследователи в безопасности поступили бы именно так?

я этого не утверждал, я лишь описал как принято делать. Я, к примеру, когда хочу поднасрать одной конторе, специально завожу CVE через MITRE и сразу же публикуюсь.

он может быть далёк от всех этих описанных вами намёков, манипуляций и правил «хорошего тона» независимых исследователей. Увидел баг — зарепортил в трекер

а его репозитории на github чисто случайно имеют отношение к ИБ

borisych ★★★★★ ()
Ответ на: комментарий от alpha

Паранойя и неадекватность в 6237 не наблюдается

Зато она наблюдается здесь: https://github.com/systemd/systemd/pull/6225#issuecomment-315122022

В своём выгораживании плохих манер Леннарта ты уже совсем запуталась. То #6237 у тебя:

«not-a-bug» там не чинили

то:

можно обсудить и пофиксить.

Другой разработчик systemd пришёл и заслал коммиты, где явно написал, что он ЧИНИТ этот #6237, который, внезапно, NOT-A-BUG. Это факт? Факт. Это отмечено в сообщении коммита.

EXL ★★★★ ()
Ответ на: комментарий от borisych

вы гайд читали? непосредственно та часть что запускает юниты в сеть никаким боком не торчит, откуда у нее AV:N получается?

sshd он из коробки в дистрибутиве идет и еще в сеть торчит, а юнит нужно ручками создать.

гы-гы-гы

ты серьезно что ли думаешь, что эти 2 твоих аргумента заставят разумного человека признать AV:L ?!

не у всех, понимаешь ли, поттеринг головного мозга

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от www_linux_org_ru

скорее всего и там ты нафантазировал так же, как и с AV:N, но это вчитываться надо; потом почитаю, а пока что культурно буду вторичным продуктом кидаться

А, так вы вообще не в теме всех этих метрик. Все, больше не буду отвлекать.

borisych ★★★★★ ()
Ответ на: комментарий от borisych

Здесь же довольно очевидно, что Леннарту просто решили поднасрать: в случае resolved чувак из SuSE воспользовался что они CNA и просто выписал CVE ID без всяких объяснений

полагаю, что:

1. чувак из SuSE не просто так это сделал, а имел к этому основания

2. чувак из SuSE все сделал правильно

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от EXL

rm -rf --no-preserved-root чинит поведение rm -rf /

является ли поведение «rm -rf /» багом? вообще-то нет, но тикет можно завести и сослаться на него в commit message

это уже терминологическая софистика, которую ты возвел в ранг вселенской проблемы

alpha ★★★★★ ()
Ответ на: комментарий от alpha

терминологическая софистика

Я лишь оспорил твоё ложное утверждение:

«not-a-bug» там не чинили

Потому что нечинитель keszybz, всё же его починил.

Прекрасно, что он имеет мнение, отличное от мнения Леннарта.

EXL ★★★★ ()
Ответ на: комментарий от borisych

разумного человека

вы о себе слишком высокого мнения.

не надо проецировать на меня твой эгоцентризм

в первую очередь я имел в виду разумного читателя треда, во вторую — пытался политкоррекно сказать тебе «уж не позорься дальше со своим AV:L, ты ж типа навроде как безопасник», и только в третью — имел в виду себя

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от EXL

это не ложное утверждение

это разное понимание того что значит «чинить баг»

для тебя баг - это таска в гитхабе. а чинить - значит написать Closes-Bug в commit message, для меня немного другое.

Вообще говоря багом называется ситуация когда приложение ведет себя не так как было задумано разработчиком. Всё остальное - это RFE.

Тем не менее это совершенно незначительные разночтения, о которых мы говорим только потому, что ты решил, что они как-то обосновывают поливание грязью разработчиков.

Нет, так оно не работает.

alpha ★★★★★ ()
Ответ на: комментарий от borisych

А, так вы вообще не в теме всех этих метрик. Все, больше не буду отвлекать.

то есть ты привык отвечать не читая и не думая (как показывает твое отрицание AV:N), и думаешь что и я такой же?

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от borisych

а его репозитории на github чисто случайно имеют отношение к ИБ

Но китаец, насколько мне известно, не заводил CVE. Он просто зарепортил баг в багтрекер systemd. Неужели этого уже достаточно для того, чтобы параноя Леннарта разыгралась? Я в этом не уверен.

Скорее всего, CVE завели люди, которые огорчились его комментарию с -40 и метки NOT-A-BUG.

А китайца жалко: сделал багрепорт, хотел улучшить любимую систему инициализации. А Леннарт взял и влепил ему плашку NOT-A-BUG, отнял у него возможность высказаться. А потом в другом месте другой разраб починил этот самый NOT-A-BUG и спасибо китайцу никто так и не сказал. Разве тут не возникнет негативное отношение к Леннарту?

EXL ★★★★ ()
Ответ на: комментарий от alpha

Вообще говоря багом называется ситуация когда приложение ведет себя не так как было задумано разработчиком. Всё остальное - это RFE.

вау!!!

в рамочку и на стену!!!

а я-то, наивный, полагал, что багом называется ситуация, когда приложение ведет себя не так, как это ожидается разумным пользователем

(да, тут есть одно послабление: иногда баг, описанный в документации, считается фичей, но это уже более сложный вопрос)

кстати интересно: у вас там в red hat озвученная тобой точка зрения официальная?

www_linux_org_ru ★★★★★ ()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от EXL

Разве тут не возникнет негативное отношение к Леннарту?

в каком месте? Китаец мог завести баг редхату, а мог Леннарту, он решил завести баг Леннарту и получил его мнение о проблеме (вы когда к врачу идете, вы же сначала к терапевту идете, а он уже направляет куда нужно, а тут китаец решил мимо терапевта проскользнуть и вышло недоразумение). А только потом redhat переквалифицировала won't fix в уязвимость - здесь неправильное поведение со стороны китайца.

Он просто зарепортил баг в багтрекер systemd. Неужели этого уже достаточно для того, чтобы параноя Леннарта разыгралась?

в переписке про юниты у Леннарта никакой паранои про CVE нет. Параноя у него там, где к нему пристают не по делу с просьбами включать навязанные CVE в NEWS.

borisych ★★★★★ ()
Ответ на: комментарий от borisych

Я, к примеру, когда хочу поднасрать одной конторе, специально завожу CVE через MITRE и сразу же публикуюсь.

вау

а вот когда так же лёне поднасрали, так криков-то, криков-то

причем, повторюсь, полагаю что лёне поднасрали по делу

www_linux_org_ru ★★★★★ ()

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response), премии удостоен Леннарт Поттеринг, за реакцию на ошибки в systemd и отказ документировать уязвимости

интересно, а его реакцию на системы инициализации в виде создания системдэ оценят премией?

anonymous ()
Ответ на: комментарий от alpha

эти баги — не баги, моё понимание «чинить» отличается от твоего

И эти люди меня ещё уличают в софистике.

для тебя баг - это таска в гитхабе. а чинить - значит написать Closes-Bug в commit message, для меня немного другое.

Право боже, я всё же доверюсь мнению разработчика systemd с ником keszybz. Мне кажется, он полностью отдаёт себе отчёт в том, что он пишет в COMMIT_EDITMSG.

EXL ★★★★ ()
Ответ на: комментарий от alpha

Как критерии разумности пользователя принесешь -поговорим.

речь идет не о сферической разумности в вакууме, а о разумности пользователя по сравнению с разумностью разработчика по отношению к написанию софта в данной предметной области

как вариант для обсуждения:

1. наличие сопоставимого с разработчиком опыта в программировании

2. наличие сопоставимого с разработчиком опыта в предметной области

3. наличие сопоставимой с разработчиком предвзятости/непредвзятости (например, желание залочить юзеров на что-то вендор-специфичное)

4. отсутствие у разработчика каких-то особых заслуг в предметной области (типа PHD+создатель распространенного языка программирования, при условии что предметная область — другой язык программирования)

если при этом имеется так же наличие согласия среди группы пользователей, удовлетворяющих 1,2,3,4, то можно уже говорить об их разумности, превосходящей разумность разработчика

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от www_linux_org_ru

думаешь что и я такой же?

не думаю, ты вообще про метрики только пару часов назад услышал, а уже мнение имеешь. Не кажется что рановато? Ну да фиг с ним. Идем по ссылке http://www.securityfocus.com/bid/99507 и читаем:

Bugtraq ID:	99507
Class:	Input Validation Error
CVE:	CVE-2017-1000082
Remote:	No
Local:	Yes
Published:	Jul 02 2017 12:00AM
Updated:	Jul 02 2017 12:00AM
Credit:	Daniel Skowronski
Vulnerable:	systemd systemd 233

Local: Yes / Remote: No

какбы намекает на AV:L

идем дальше на https://vuldb.com/?id.103295, а там oops, опять AV:L, вот непруха-то.

borisych ★★★★★ ()

Люблю systemd. И Леннарта уважаю. Идеи у него годные, реализация не всегда блестящая, но кто не ошибается? А антипремию он получил заслуженно, реация на уязвимости у него и правда была странная...

lucentcode ★★★★★ ()
Ответ на: комментарий от borisych

С каких это пор репозиторий systemd это личное пространство Леннарта? И причём тут вообще багтрекер RedHat'а?

А если у китайца Debian или Arch Linux? Мне казалось, что репозиторий systemd кросс-дистрибьютивен касательно багрепортов в нём.

Леннарт отписался что не баг, потому что в красной шляпе таких пользователей создать нельзя (разумное зерно тут есть: если в других дистрибутивах это не так, то почему бы ментейнерам этих дистрибутивов не позаботиться о патчах)

И здесь снова Леннарт не прав, поскольку сегодня systemd это не только его уютные красношапочные дистры. Сделать защиту от дурака было необходимо. Собственно это и было сделано руками других разработчиков systemd. С более адекватным поведением. Стоило ли Леннарту раздувать такую TEH DRAMA?

P.S. Кстати китаец разве позиционировал этот баг как уязвимость? Пользователь 0day это же просто шутка.

EXL ★★★★ ()
Ответ на: комментарий от www_linux_org_ru

Во-первых, по твоим критериям разумность пользователя меряется по соответствию его разработчику. (Пункт 4 ни о чем)

Во-вторых, является ли отсутствие некоторой функциональности багом?

В третьих при наличии двух вариантов реализации выбор одного а не второго является ли багом?

В четвертых различаешь ли ты проблемы качества реализации от проблем иной постановки задачи?

alpha ★★★★★ ()
Ответ на: комментарий от alpha

Неудобные части постов игнорируешь? Ну ок.

Это какие? Про грязь на разработчиков? Так я считаю, что Леннарт этого полностью заслужил: своей высокомерностью, своей неадекватной реакцией на багрепорты и критику, своей нездоровой паранойей и своим презрительным отношением к независимым разработчикам свободного ПО.

Такое у меня мнение. И >40 человек, на том же GitHub'e его со мной разделяют.

EXL ★★★★ ()
Ответ на: комментарий от EXL

И причём тут вообще багтрекер RedHat'а?

redhat является CNA по всем инцидентам связанным с linux (https://cve.mitre.org/cve/request_id.html)

И здесь снова Леннарт не прав, поскольку сегодня systemd это не только его уютные красношапочные дистры. Сделать защиту от дурака было необходимо. Собственно это и было сделано руками других разработчиков systemd. С более адекватным поведением. Стоило ли Леннарту раздувать такую TEH DRAMA?

он вообще-то довольно честно и прямо написал, что исправлять не собирается (там даже вполне нормальное объяснение почему так), а мог бы к примеру принять и тупо забить на пару лет - стало бы легче от этого?

Пользователь 0day это же просто шутка

ну да.

borisych ★★★★★ ()
Ответ на: комментарий от Anakros

адекватной критики ноль.

Адекватная критика - это для адекватного ПО. Я для того, что Леннарт в sysdemd накуролесил, считая, что это init, адекватной критики ждать уже не стоит: сама суть у этого комбайна (для адекватной критики достаточно одного этого слова) далека от адекватности.

AS ★★★★★ ()
Ответ на: комментарий от borisych

оказывается внезапно вставляют палки в колёса systemd и проворачивают сомнительные «трюки», а CVE-2017-1000082 это вообще политическая игра, направленная против него

так и есть

а каков мотив этой игры? чем им так мешает systemd?

anonymous ()
Ответ на: комментарий от anonymous

а каков мотив этой игры? чем им так мешает systemd?

здесь 80% отписавшихся в треде ненавидят systemd просто за то, что он не написан на морально устаревшем shell.

borisych ★★★★★ ()
Ответ на: комментарий от borisych

ему в ответ: ах ты мразь, вот лови CVE

Ответ видимо был выслан гонцами. Ибо CVE появился только на 10-ый день после багрепорта и ответа Леннарта.

Я не понимаю и не принимаю ваших подозрений относительно китайца и его личных счётов с Леннартом. Если бы китаец хотел «хайпануть» или навредить, он бы сразу воспользовался вашим:

специально завожу CVE через MITRE и сразу же публикуюсь.

EXL ★★★★ ()
Ответ на: комментарий от EXL

С каких это пор репозиторий systemd это личное пространство Леннарта?

у него там «внезапно» во всех его сообщениях шильдик «owner», что какбы намекает, кроме этого в самом репозитории на самом видном месте есть гайд (https://github.com/systemd/systemd/blob/master/.github/CONTRIBUTING.md):

If you discover a security vulnerability, we'd appreciate a non-public disclosure. The issue tracker and mailing list listed above are fully public. If you need to reach systemd developers in a non-public way, report the issue in one of the «big» distributions using systemd: Fedora (be sure to check «Security Sensitive Bug» under «Show Advanced Fields»), Ubuntu (be sure to change «This bug contains information that is» from «Public» to «Private Security»), or Debian. Various systemd developers are active distribution maintainers and will propagate the information about the bug to other parties.

т.е. просят делать так, как я описал, и китаец со всех сторон неправ.

borisych ★★★★★ ()
Ответ на: комментарий от alpha

Тем не менее даже «rm -rf /» тоже можно обсудить и пофиксить.

Я тебе больше скажу. Это обязательно стоит делать, например, в скриптах, где rm -rf работает с переменной, которая может непредсказуемо измениться. Да хоть из-за твоей же ошибки спустя пол-года строчек на 15-20 раньше.

AS ★★★★★ ()
Ответ на: комментарий от Bad_ptr

Линус в целом адекватен и вообще заботится и о проекте, и о репутации как своей, так и проекта (не зря в начале он пошел работать в хардварную контору). Вот когда Линуса не будет, то да... Тут такая же засада как в РФ у нас — вроде пока все норм, но могло бы быть лучше, поменять лидера — х.з. как будет, но высок риск что только хуже.

mandala ★★★ ()
Ответ на: комментарий от borisych

Local: Yes / Remote: No какбы намекает на AV:L

идем дальше на https://vuldb.com/?id.103295, а там oops, опять AV:L, вот непруха-то.

как? ты нашел аж целых 2 сайта, где оценка AV совпадает с редхатовской https://access.redhat.com/security/cve/cve-2017-1000082 ? ну ты ващще геееееееееееееений !!!!!!!111111111111111111111111

впрочем, даже в твоем vuldb.com постеснялись позориться уж слишком сильно, и вместо редхатовского AC:H написали AC:L, и далее по тексту:

nist    CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
vuldb   CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:W/RC:X
redhat  CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

securityfocus ... какбы намекает на AV:L

тебе только и остается какбы намекать, т.к. там молчат про CVSS3, и значит их метрики могут отличаться

не думаю, ты вообще про метрики только пару часов назад услышал,

гы-гы-гы

метрика «светит ли уязвимый демон в инет открытыми портами» мне известна чуть меньше 20 лет

www_linux_org_ru ★★★★★ ()
Последнее исправление: www_linux_org_ru (всего исправлений: 2)