LINUX.ORG.RU

Леннарт Поттеринг удостоен премии Pwnie Awards 2017

 , , , ,


7

3

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности



Проверено: jollheef ()
Ответ на: комментарий от alpha

То есть тебе правда непонятно?

Да, разумеется. Там его вполне конкретно про remote syslog человек просит. Что ещё нужно ? Или подпорка из локального syslog - это нормально считается ?

AS ★★★★★ ()
Ответ на: комментарий от alpha

Потому что несмотря на то что багом не посчитали, и уязвимость там мифическая

Там - это где? В красношапке? Да даже если бы systemd пилился для красношапки only - все равно сомнительно, потому что извините, но с какого перепугу юзер с циферкой должен становиться рутом. Но это пилится для всего сообщества и надо как-то соблюдать элементарные правила приличия и не пороть горячку. Это все равно, что в зад долбиться, но раз через красный презерватив - значит это не гомосятина.

araks ()
Ответ на: комментарий от EXL

Ответ видимо был выслан гонцами. Ибо CVE появился только на 10-ый день после багрепорта и ответа Леннарта.

вы вообще читаете то, о чем собираетесь спорить? или точно также как www_linux_org_ru просто имеете мнение?

https://github.com/systemd/systemd/pull/5998:

  • 24 мая - чувак из убунту: я хочу завести CVE (убунту CNA для Linux, в принципе имеет право)
  • 24 мая - Леннарт: почему?
  • 25 мая - чувак из SuSE: лови CVE-2017-9217 (а вот здесь он так делать права не имел, потому что MITRE выделяет блок CVE микрофокусу только для инцидентов связанных со SuSE)

Я не понимаю и не принимаю ваших подозрений относительно китайца и его личных счётов с Леннартом

про личные счеты китайца я нигде не писал. Я писал про две вещи:

  • баги безопасности были изначально заведены неправильно - нужно действовать через security team дистрибутива, а не через ментейнера ПО, это экономит кучу времени и сил. У Леннарта в гайде об этом написано.
  • скор у «уязвимостей» довольно-таки сильно завышен, т.е. вместо low/medium Леннарту везде впаяли high, что какбы намекает на неадекватность, однако не со стороны Леннарта
borisych ★★★★★ ()
Ответ на: комментарий от alpha

Не работала, не работаю. Про будущее гарантировать не могу. Справку показать?

а что, уже где-то дают справку о не-работе? или ты в microsoft работаешь, и можешь оттуда справку предъявить?

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от alpha

Он прав. Есть два развития событий, достойных уважения к человеку как личности: либо Лёня говорит not-a-bug и закрывает обсуждение, оставляя всё как есть; либо признаёт ошибку, благодарит за помощь и исправляет. Потому и премия мудаку присуждена под стать. Если не совсем дурак, может и одумается.

flyshoot ()
Ответ на: комментарий от AS

Вопрос и одного предложения - это даже в рассылку не тянет, максиму в чат.

Пишешь Feature request - позаботься о том чтобы был понятен use-case и почему имеющиеся средства не подходят и сделай так чтобы это было понятно.

С тем что там написано надо не в RFE идти, а в пользовательский лист рассылки и спрашивать как решить свою конкретную задачу. Собственно потому такой и ответ: вопросам и дискуссиям место не здесь.

Вообще удивительно что Леннарт сам bug triage активно занимается. Обычно все про это забывают.

alpha ★★★★★ ()
Ответ на: комментарий от Bad_ptr

Кроме того все эти *-kit'ы и сисямды находятся на этапе допилки. И активно «развиваются». Меняются интерфейсы и настройки. И чё там происходит и будет происходить одному Лёне известно.

Судя по тому как был пофикшен вышеупомянутый NOTABUG — даже (sic!) Лёне нихрена не известно.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

Прочитал заголовок сам - ни на секунду не задумался, передал соседу, вместе потрещали о том, беда-то какая и какие времена пошли. Распространили заразу и потом твоя бабушка спрашивает у тебя почему ты не носишь шапочку из фольги.

alpha ★★★★★ ()
Ответ на: комментарий от alpha

Пишешь Feature request - позаботься о том чтобы был понятен use-case и почему
имеющиеся средства не подходят и сделай так чтобы это было понятно.

Что там может быть непонятно разработчику (!) этого приложения ?

С тем что там написано надо не в RFE идти, а в пользовательский
лист рассылки и спрашивать как решить свою конкретную задачу.

А ещё куда пойти ? Давай ты изучишь предмет сначала обсуждаемый, а ? Решение существует единственное: проксировать через локальный syslog-сервер (и разработчик не может этого не знать). Решение это, мягко говоря, странное. И это - не предмет обсуждений вообще.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от UNiTE

А кто нападает? Куча таких премий за «плохие заслуги» (шнобелевская например, и еще полдюжины известных и сотни не известных), и относится к этому нужно во первых с иронией, а во вторых думать и учиться «как не надо делать».

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от alpha

ну мало ли, вдруг ты в убунту в каком-то очень конкурирующем с редхатом отделе разработки (была) — а это проверябельно и без справки

www_linux_org_ru ★★★★★ ()
Последнее исправление: www_linux_org_ru (всего исправлений: 2)
Ответ на: комментарий от Nougatman

systemd втюхивает всем

Причем под соусом «ну в редхате же норм работает, пусть и с потенциальной дырой». Это я не знаю, насколько надо упороться. Ждем, когда в systemd засандалят блоб гипервизора, вот это начнется самый сенокос в плане швободки и независимости.

araks ()
Ответ на: комментарий от AS

Это не мне здесь надо объяснять, и не мне изучать предмет. Меня это совершенно не касается.

Это тебе надо написать в RFE.

Ты спрашиваешь что с ним не так, объясняю:

для того чтобы не получались misfiled баги, совершенно необходимо сойти с пьедестала. И записать всё что ты мне тут выдаешь под видом «очевидно что» четко и ясно в тексте бага в виде предложения.

alpha ★★★★★ ()
Ответ на: комментарий от araks

чушь про redhat only оставьте себе, леннарт этого не писал и это просто неверно

с какого перепугу юзер с циферкой должен становиться рутом

он не должен и не становится

ты в состоянии багрепорт до конца дочитать?

alpha ★★★★★ ()
Ответ на: комментарий от alpha

для того чтобы не получались misfiled баги, совершенно необходимо сойти с пьедестала. И записать
всё что ты мне тут выдаешь под видом «очевидно что» четко и ясно в тексте бага в виде предложения.

С пьедестала Леннарту сойти следует, а не мне. Это раз. А два... Ну ты же догадалась наверное, что я systemd не использую, мне-то что. :-)

AS ★★★★★ ()
Ответ на: комментарий от www_linux_org_ru

впрочем, даже в твоем vuldb.com постеснялись позориться уж слишком сильно, и вместо редхатовского AC:H написали AC:L, и далее по тексту

ох как тяжело-то с тобой. Окончательный скор предоставляет вендор (в данном случае это redhat и здесь с этим спорить бесполезно). То что опубликовано на NIST - это те данные, которые пришли изначально из/в MITRE после публикации CVE, дальше эти данные NIST не меняет - я специально переписывался с NIST относительно несоответствия скоров и они всю их кухню объяснили.

borisych ★★★★★ ()
Ответ на: комментарий от borisych

Ой, всё, это исследователи безопасности это знают. А хипстеры думают что дальше гитхаба жизни нету — вот от этого и проблема. Даже если чувак и специально решил поднасрать, то он не плохо сделал — показал и Лёню с неприглядной стороны, показал и хреновоть модели «разработки на гитхабе».

mandala ★★★ ()
Ответ на: комментарий от bread

Таких фичастых нету, да. Есть поделка столманутых, но я не смотрел степень её готовности. А так: бсд-лайк и сус5, опенрц и т.п. у нас не отнимали и с АКМ не стоят за спиной, да, тут рабы красношляпых правы. Не заставляют, хоть и пространства для маневра стало меньше.

mandala ★★★ ()
Ответ на: комментарий от alpha

Саш, а не чего что поттеринг дал ссылку на 404? Это во первых, а во вторых он задал простейший вопрос, на который можно ответить да/нет/может быть. И уже потом указать что для будущие вопросы должны формироваться специально описанным способом.

Dron ★★★★★ ()
Ответ на: комментарий от araks

Может дело не в «фанатиках»?

Вообще это было бы смешно если не было бы так грустно. Уже который прибегает в тред не осилив текст до конца прочитать.

Расскажи же нам как юзер с именем 0day становится рутом.

Тут вот выше писали - что по телефону попросив админа. Твой вариант?

alpha ★★★★★ ()
Ответ на: комментарий от araks

Причем под соусом «ну в редхате же норм работает, пусть и с потенциальной дырой».

у них это уже давно началось. была достаточно давно новость на лоре про уязвимость в nginx, в федоре отказались исправлять потому что «с включённым селинуксом уязвимость не проявляется». но вообще поражает упоротость редхатовских фанатов: им отказываются уязвимости закрывать, а они нахваливают и ещё просят.

ни к чему хорошему это не приведёт, и ещё будет хорошо, если ни к чему хорошему исключительно для редхата, а не для всего линукса. для меня лично все эти федорки, редхатки и школарчи с сустемд уже закончились как что-то пригодное для использования в продакшене, но расспространение этого говна по дистрибутивам всё очень сильно усложняет. считаю, что премия вручена по делу, тому кому надо и с пользой. надеюсь поможет.

anonymous ()
Ответ на: комментарий от borisych

Окончательный скор предоставляет вендор (в данном случае это redhat и здесь с этим спорить бесполезно).

вау

и теперь и я, и все остальные, закрыв глаза на код, должны за тобой и редхатом повторять тот «окончательный» бред, что редхат там понаписал с целью отмазать свой фейл?

такой подход может быть для каких-то закрытых прошивок и покатит (и то, отреверсить не всегда проблема), но systemd и его окружение — открытый код, окстись

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от alpha

В любом другом проекте ситуация будет аналогичная.

Правда ? Я вешал баги в KDE, на CPAN-e, на kernel.org, у Oracle (на MySQL Workbench) и много где ещё. Где-то коротко, где-то, где проблема требовала развёрнутого ответа - развёрнуто. Так вот, Евгений баг повесил вполне корректно, я такие тоже вешал, когда этого было достаточно. Проблем, как с Леннартом, не было _нигде_. Если считали, что информации недостаточно, просто просили уточнить.

AS ★★★★★ ()
Ответ на: комментарий от alpha

Вообще говоря багом называется ситуация когда приложение ведет себя не так как было задумано разработчиком. Всё остальное - это RFE.

Вот жеж бред. Если задуманное разработчиком что-то ломает — это не нормально. Терминологической софистикой ты сама сейчас занимаешься. Можешь это назвать как угодно, только это чинить всё рано надо.

mandala ★★★ ()
Ответ на: комментарий от borisych

Такие вещи должны быть статичными, откуда чел знает о правилах? Ему что надо всю репу изучить чтобы отрыть их? Бред, как и бред что вопросы нужно задавать только по определённым правилам.

Dron ★★★★★ ()
Ответ на: комментарий от www_linux_org_ru

и теперь и я, и все остальные, закрыв глаза на код, должны за тобой и редхатом повторять тот «окончательный» бред, что редхат там понаписал с целью отмазать свой фейл?

тебе ни что не мешает написать в NIST (nvd@nist.gov) и узнать правду (т.е. выяснить почему их скор отличается от RH и где верный)

borisych ★★★★★ ()
Ответ на: комментарий от Dron

А ничего что он дал ссылку на мастер, и что мастер с тех пор переехал? И что найти файл CONTRIBUTING.md в новой месте дело трех секунд.

он задал простейший вопрос, на который можно ответить да/нет/может быть.

0) простым вопросам место в чате

1) это не простой вопрос

2) даже простой вопрос в чате занимает не секунду и требует дополнительной информации, всегда

Это какие-то уже совсем бредовые претензии. Существует общепринятый порядок работы, независимо от проекта, независимо от сообщества. Не следовать ему - это либо невежество, либо неуважение.

Но требовать чтобы вам ещё и все разжевали в ответ - это я даже не знаю как назвать.

alpha ★★★★★ ()
Ответ на: комментарий от alpha

2) даже простой вопрос в чате занимает не секунду и требует дополнительной информации, всегда

Какая нужна дополнительная информация к просьбе сделать remote syslog ?

AS ★★★★★ ()
Ответ на: комментарий от AS

И почему я уверена что в рассылку ядра ты писал бы совсем другим тоном.

Тут тоже попросили уточнить. Почему вы считаете что ссылка на CONTRIBUTING.md - это что-то плохое, непонятно.

alpha ★★★★★ ()
Ответ на: комментарий от borisych

здесь неправильное поведение со стороны китайца

Китаец или кто там, я уже запутался, поступил вполне ожидаемо — пиарите гитхаб как площадку разработки, жрите. Ведь разработчику так удобнее! А то что будет поток нерелевантных сообщений, тупак откровенный и срачи, 40 дизлайков — не обижайтесь и не бухтите, или меняйте что-то в организации разработки и в своей документации, чтоб и китайцу было понятно что, когда, как и куда репортить.

mandala ★★★ ()
Ответ на: комментарий от alpha

И почему я уверена что в рассылку ядра ты писал бы совсем другим тоном.

Точно так же писал. А-ля какое-то странное поведение у netfilter с бриджем, почему-то вот так, а надо бы как-то так. Ответили, что ограничение архитектуры, пока вариантов нет. А не послали читать какие-то там правила оформления багов странные.

Тут тоже попросили уточнить. Почему вы считаете что ссылка на CONTRIBUTING.md - это что-то плохое, непонятно.

Я уже задал вопрос: «Какая нужна дополнительная информация к просьбе сделать remote syslog ?»

AS ★★★★★ ()
Ответ на: комментарий от EXL

И здесь снова Леннарт не прав, поскольку сегодня systemd это не только его уютные красношапочные дистры

Он отрицает это, с разморозкой. В его реальности только красношляпа, остальное проблемы мейнтейнеров других дистров — это не раз обсуждалось, но фанбои скромно об этом умалчивают, максимум говорят: «это попенсорц, ни кто ни чего ни кому не должен». твоей поделкой пользуются миллионы? Срать!!! Это опенсорц, я не буду думать о них! Вот за это и премия.

mandala ★★★ ()
Ответ на: комментарий от AS

как минимум нужен use case

по use case уже можно вспомнить какие были/есть/планируются альтернативы и best practices, почему оно было сделано так а не иначе

нужно не экономить слова и расшарить работу по анализу проблемы которую ты сделал со своей стороны, чтобы её не нужно было делать повторно

Даже если да, он автор и знает своё приложение от и до, и всё очевидно, всё равно у любого вопроса есть контекст в который нужно переключиться. Это не так легко сделать с разбегу.

Плюс как показывает практика именно то, что «очевидно» почти всегда оказывается спорным.

alpha ★★★★★ ()
Ответ на: комментарий от borisych

тебе ни что не мешает написать в NIST (nvd@nist.gov) и узнать правду (т.е. выяснить почему их скор отличается от RH и где верный)

че-то ты сильно похож на безопасника, которого интересует не истина, а прикрывание жопы сертификатами — в таком случае твоя позиция «у RH окончательно» для тебя полностью оправдана

«почему их скор отличается от RH» меня хотя и интересует, но довольно слабо; гораздо больше меня интересует реальная ситуация, в т.ч. некоторые детали, которых обсуждение едва коснулось

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от mandala

Это пространство только для локалхоста. Линукс для рабочих станций рипнулся (но он и не особо то жил), серверный на подходе. Сроки поддержки неинфицированных дистров кончатся и усе. Не разворачивать же слаку на предприятии. Придется покупать саппорт краснопузых. Не знаю, с таким качеством может лучше венду закупить сразу.

bread ()