за выдающиеся достижения либо провалы в области компьютерной безопасности

Премия за потуги? :-)

комменты к тикетам на гитхабе достойны лора

В этом не разработчики systemd виноваты,

Ну они создали все условия, чтобы такие инфоповоды были, и чтобы они шли на ура. Если я устрою истерику по багу где нибудь, и для этого не будет достаточных оснований — меня смешают с говном, а не разработчиков. Репутация у Лёни такая, и он сам себе её создал.

Леннарт Поттеринг удостоен премии

А чего добился ты? :)

А ты типа ни причем и тут для мебели?

Позорище же.

Нет, я не про ТБ. Я про взаимодействие с сообществом. Но я не хочу тратить ещё полдня на то, чтобы собачиться с местной peanut gallery, поэтому закопай моё сообщение туда же, откуда откопал.

Лучше бы ты, вместе с евангелистом, обратила внимание на этот комментарий Леннарта:

https://github.com/systemd/systemd/pull/6225#issuecomment-315122022

Там у него окончательно разыгрывается паранойя и Леннарт начинает строить теории заговоров, где «CVE folks» оказывается внезапно вставляют палки в колёса systemd и проворачивают сомнительные «трюки», а CVE-2017-1000082 это вообще политическая игра, направленная против него. Бгг.

По легенде он временами заходит на LOR под эккаунтом секретарши...

Во-первых, он не евангелист а разработчик. И это круто.

Во-вторых я и без леннарта по этой премии вижу что это похоже на личную месть. Так не делается по многим причинам. И леннарта там не должно быть не потому что он белый и пушистый а потому что в принципе не для того премия.

оказывается внезапно вставляют палки в колёса systemd и проворачивают сомнительные «трюки», а CVE-2017-1000082 это вообще политическая игра, направленная против него

так и есть

А я что? Я ни чё, да, флудераст на лоре. Мне даже баги негде ловить чтоб репорты строчить, т.к. сустемд только на убунте, и если что меня отправят гулять в местный багтрекер.

закопай моё сообщение туда же, откуда откопал.

ok

Сисямде говно в первую очередь потому что написано на сишке с нулевой расширяемостью и кастомизируемостью пользователем/админом.
Зато с кучей предзаданных параметров на каждый чих которые нужно запоминать и с горой документации в которой непонятно что искать для конкретно твоей проблемы.
Да всё это ещё и нужно увязать с *-kit'ами/пульсаудио/селинухами и прочим поттеринговым говном у которых те же самые проблемы.
Зато когда ты поттеринг и писал всё это сам — тогда наверное хорошо, т.к. понимаешь как это работает изнутри и все твои проблемы решены, а если чё-то не хватает то допишешь. Ещё хорошо тем, кто пользуется редхатовскими ДЕ — гномом. Т.е. хомячкам, которые в настройку системы не лезут им всё зашибись. Т.к. гном как-то там интегрирован во всю эту хрень и всё какбы работает. А вот если ты не хочешь жрать гном, а хочешь колупаться с хакерскими WM без ДЕ и прочего гномошлака — вот тут могут начаться всякие грабли.
Кроме того все эти *-kit'ы и сисямды находятся на этапе допилки. И активно «развиваются». Меняются интерфейсы и настройки. И чё там происходит и будет происходить одному Лёне известно.

Почему тогда зашили?

Пусть рейтинг там действительно неправильный. По мнению Леннарта это вообще NOT-A-BUG, так какого чёрта же он тогда зашит?

Poettering-Way: изрыгаем желчь в сторону CVE для 2.5 анонимусов в трекере systemd, строим умопомрачительные теории заговоров против systemd, расставляем на потенциальные уязвимости метки NOT-A-BUG и и занимаемся shitposting'ом, а потом, когда хайп уляжется, потихоньку их зашиваем.

И люди ещё удивляются, за что премия?

Зато швабодка, не то, что там у других, лол.

Вообще на эту премию надо было заявить Nuvending Tech Support

кого вообще волнует эта компания?! я про нее первый раз слышу

судя по первой странице сайта, она продает китайские мыльницы со своим шильдиком — туда могут и обезьяну посадить в тех. саппорт, ниче удивительного

лёня идет к успеху! аплодисменты!!!

Пусть рейтинг там действительно неправильный. По мнению Леннарта это вообще NOT-A-BUG, так какого чёрта же он тогда зашит?

вроде как все понятно из оригинального обсуждения на github: засабмитили баг (с претензией на уязвимость в виде упоминания 0day), Леннарт отписался что не баг, потому что в красной шляпе таких пользователей создать нельзя (разумное зерно тут есть: если в других дистрибутивах это не так, то почему бы ментейнерам этих дистрибутивов не позаботиться о патчах) и только спустя две недели подключилась security team из redhat и переклассифицировала этот not-a-bug в уязвимость - ничего сверхъестественного здесь нет, обычная такая рутина в разработке. Однако, почему пошли сначала к Леннарту не особо понятно: тот кто баг самбитил должен был изначально перетереть его с security team красной шляпы (это какбы правила хорошего тона описанные у CNA), а только потом выносить это на публику.

Ты описание премии читал? За что она выдается-то посмотри.

Азазаз!

потому что в красной шляпе таких пользователей создать нельзя

Ну на свете как бы не только красная шляпа есть. Он наоборот радоваться должен, что нашли баг, который из-за красной шляпы оставался бы незамеченным и лежал как тикающая бомба, пока красношляпники бы не решили всё-таки разрешить создание таких пользователей или ещё какая хрень не произошла.(Если только у красной шляпы нет цели захватить мир и подмять всех под себя при помощи системд.. вейт, ох щи..)

А про то что зашили ты откуда взял-то? Из новостей на ЛОРе?

Вот реально, если тебя так мучает вопрос ну прочитай ты хоть что-то по теме.

«not-a-bug» там не чинили. Там создали RFE https://github.com/systemd/systemd/issues/6277 и его реализовали.

Потому что несмотря на то что багом не посчитали, и уязвимость там мифическая, вопрос о правильной работе с некорректными данными подняли и решили.

Pro Tip: так и положено делать по нормлаьному рабочему процессу, некорректные баги закрывать, но создавать follow-up-таски если в процессе обсуждения выяснилось что они нужны.

что леннарт скащал на вручении? «спасибо академии» или что-нибудь оригинальное?

почему пошли сначала к Леннарту не особо понятно

Вряд ли здесь был какой-либо злой умысел. Разработка systemd ведётся на GitHub, соответственно баги и патчи засылаются туда же.

Ну на свете как бы не только красная шляпа есть

Лол! Он срать на весь мир хотел, ему бабос платит определенная контора и только её хотелки он делает. Именно по этому у него не болит голова о стабильной версии, т.к. в красношляпе стабилизацией пакетов и бекпортированием занимается отдельная скилованная команда. Да много еще чего из-за этого...

Я сто раз говорил: сустемдик это карманная корпоративная поделка красношляпых, и пилят они её только с оглядкой на себя самих. Хотите это жрать? Жрите.

Вот-вот, гитхабный базар. А была бы уютная рассылочка по безопасности, было б по другому, ну имнимум бы на суд тысяч улюлюкающих идиотов это не было бы вынесено. А так открыты всем — жрите публичность, она и такая бывает, да.

Он срать на весь мир хотел, ему бабос платит определенная контора и только её хотелки он делает.

плюсую

Я сто раз говорил: сустемдик это карманная корпоративная поделка красношляпых, и пилят они её только с оглядкой на себя самих. Хотите это жрать? Жрите.

Самое хреновое что они вдовесок имеют огромное влияние на ядро.

Ну в ядро там что-то добавляет каждая контора, те же амд и невидия (и получают по щщам порой, как и сустед-разрабы, ядро то не их личное).

ядро то не их личное

Пинус работает же в красношляпе.
Это я к тому что

Хотите это жрать? Жрите.

Нежрать может выбора в конечном итоге и не остаться, т.к. системд агрессивно вовсюда пихается так что придётся иметь с этим дело.
Только разве что у себя в подвальчике можно будет запускать системд-фрии софт.

Ты описание премии читал? За что она выдается-то посмотри.

и что после этого смотрежа я дожен сказать? «ой, давайте и в самом деле выдадим эту премию той обезьяне, которую случайно посадили в техподдержку, и про которую упомянула alpha»?

а ведь дикая природа так разнообразна! кроме обезьян, есть еще и попугаи, они, конечно, на клавиатуре не очень печатают, но зато голосом могут говорить! может им эта премия еще лучше подойдет?

категории «Самая дурацкая реакция разработчика»

Реакции у всех бывают странные. Это не повод нападать.

Нет, конечно же награждать результатам конкурса красоты. Какая в конце концов разница-то, был бы человек хороший.

Отрицай реальность дальше :)

Твою реальность уже Red Hat контролирует.

однако, откуда там AV:N ... вроде юниты из-под рута нужно создавать, соответственно считать нужно так: AV:L

ыыы!!!

как «создание юнитов под рутом» внезапно делает AV:L? если ты действительно стоишь на точке зрения «создание юнитов под рутом», тогда для ее эксплуатации нужен рут, и тогда это вообще не уязвимость, гыгы

Network (N) A vulnerability exploitable with network access means the vulnerable software is bound to the network stack and the attacker does not require local network access or local access. Such a vulnerability is often termed «remotely exploitable». An example of a network attack is an RPC buffer overflow.

именно так: AV:N

если юнит как-то был создан (например, уговорив админа по телефону, что юнит-то под юзером идет, а юзер под selinux-ом по самые уши, ниче страшного), то эксплуатировать его можно уже по сети, а вовсе не локально

например, уговорив админа по телефону

это какая-то очень оригинальная трактовка remote-уязвимости

Вряд ли здесь был какой-либо злой умысел. Разработка systemd ведётся на GitHub, соответственно баги и патчи засылаются туда же.

Не совсем так. Вы, похоже, никогда дела не имели ни с CNA ни с MITRE, поэтому у вас мнение несколько неправильное. Суть примерно такая: быть независимым исследователем в безопасности довольно непросто, потому что, чтобы взять и просто опубликовать найденную уязвимость так, чтобы она при этом получила хоть какой-то резонанс (т.е. попала в общеизвестные базы, а для этого нужно получить CVE ID), нужно довольно некисло заморочиться, потому что MITRE напрямую CVE ID раздает довольно редко (да и медленно - дня 3-4 занимает) и предпочитает работать через CNA (здесь вообще большая такая дыра есть в их системе: если некоторое ПО находится в зоне ответственности CNA, то CVE ID можно получить только от этого CNA, т.е. если вы нашли дыру в ПО от CISCO то информацию о ней опубликуют тогда и только тогда, когда этого захочет CISCO, а до этого вы даже CVE ID узнать не сможете). Ну и все исследователи безопасности об этих правилах и заморочках прекрасно знают. Здесь же довольно очевидно, что Леннарту просто решили поднасрать: в случае resolved чувак из SuSE воспользовался что они CNA и просто выписал CVE ID без всяких объяснений, хотя все изначально началось с простого багфикса, в случае с юнитами намек был изначально на безопасность, поэтому нужно было баг через redhat заводить.

Мои поздравления! Ровно та премия, которой он заслуживает.

Присоединяюсь.

сустемдик это карманная корпоративная поделка красношляпых
Хотите это жрать? Жрите.

Так других нет. Убунта вот тоже рипнулась.

Нет, конечно же награждать результатам конкурса красоты. Какая в конце концов разница-то, был бы человек хороший.

хорошо, ради тебя я согласен наградить ту обезьяну, про которую ты писала, премией «за красоту»

но премией Lamest Vendor Response давай все же будем награждать хотя бы относительно известных разработчиков хотя бы относительно известных продуктов, а не обезьян и попугаев?

А про то что зашили ты откуда взял-то?

Внезапно, из истории последних коммитов в systemd: https://github.com/systemd/systemd/commit/bb28e68477a3a39796e4999a6cbc6ac6345...

«not-a-bug» там не чинили

Сообщение коммита выше с явным:

Fixes #6237

Противоречит твоему утверждению.

вопрос о правильной работе с некорректными данными подняли и решили.

Я бы выразил это другими словами: адекватные разработчики systemd смогли пробиться через истерику, ЧСВ и паранойю Леннарта и вмерджить в systemd исправления.

именно так: AV:N

если у вас претензий относительно AC:H/PR:H/UI:R нет, то готов согласиться на AV:N вместо того чтобы спорить - все равно оно получается 6.4, а не 9.8 :)

Achtung, эвангелист-проповедник intelfx в треде :)

Pwnie Awards

Кьютимарку набить ему на всю задницу!

Всю твою серьёзность и адекватность испортила эта фраза. Можешь своего кота/мать/сына выпороть, раз злобу девать некуда.

Лапочка такой фантазер.)) Твой друг пощекочет тебя своей бородкой за твои по...

Прошлый комментарий про номинации на порку говорит об обратном.

Твой друг тебя больше не любит? Не можешь унять пламя страсти ммм... Ну да ладно))

это какая-то очень оригинальная трактовка remote-уязвимости

это не эксплуатация уязвимости (которая AV:N), а способ ее привнести в систему

задам наводящий вопрос

когда-то в дебиане ssh-ключи генерились недостаточно рандомно (Debian OpenSSL Predictable RNG); ты эту уязвимость тоже, как и borisych, будешь считать локальной?

ведь для установки ssh требовался рут! значит локальная!!!!!1111111111111111111111111111111111111111

ааа, я понял! Леннарт на столько брутален, что способен устроить батхерт у блэкхетов. лололо.

Да поцтеринг вообще мем ходячий.

Типа таких

Если какую-либо проблему упорно отрицать вместо поиска решения, за неё возьмётся Поттеринг и создаст ещё одну.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response), премии удостоен Леннарт Поттеринг

И песню в придачу :)

если у вас претензий относительно AC:H/PR:H/UI:R нет, то готов согласиться на AV:N вместо того чтобы спорить

скорее всего и там ты нафантазировал так же, как и с AV:N, но это вчитываться надо; потом почитаю, а пока что культурно буду вторичным продуктом кидаться