[lagman]

Вы лучше ответьте, кого зацепило http://blog.zx2c4.com/749 ?

РЕШЕТО!

[Zohan]

Вы лучше ответьте, кого зацепило http://blog.zx2c4.com/749 ?

Результат неэффективного и запущенного менеджмента Торвальдса: один ламер убирает ifdef, другой ставит костыль, а третий выпускает новый патч-костыль.

Интересно накажут ли кого-нибудь? И где была их security-команда анализирующая код?

Базарный метод разработки построенный на доверии. А если Торвальдса завтра переедет автобус, кто и кому будет доверять?

[Dyr]

 Грамотный заброс, одобрям :) 

Изменено 24 января, 2012 пользователем Dyr

[nuclearcat]

web of trust вообще-то, а не просто на доверии

[Сильвер]

И где была их security-команда анализирующая код?

 

К сожалению и в "нашей любимой ОС" security-team не всегда оперативно закрывает проблемы. Последние SA от 2011-12-23 тому подтверждение.

Изменено 24 января, 2012 пользователем Сильвер

[Ivan_83]

В винде тоже был такой девайс, но его прикрыли года два назад или больше.

[s.lobanov]

Вы лучше ответьте, кого зацепило http://blog.zx2c4.com/749 ?

 

В самом деле, конкрентно этот баг мало кого реально зацепил. Сначала круг резко сужается за счёт того, что >=2.6.39 мало где используется(посмотрите какие ядра в rhel6, sles11, debian6, ubuntu LTS). А там где используется(последний(е) fedora, opensuse, ubuntu 11.10) это почти всё персональные компьютеры, в которых в 99% случаев локальные пользователи знают пароль рута. Реально пострадавших от этого бага пересчитать по пальцам. Почему подняли панику из-за этого бага не понятно, как будто других в последнее время не было.

[DpakoH]

P.S.: Переходи на темную сторону. У нас есть печеньки, iproute и iptables.

 

Я Хз.

 

А что за печеньки?)

 

TCP Fast Open cookies

[lagman]

Сначала круг резко сужается за счёт того, что >=2.6.39 мало где используется(посмотрите какие ядра в rhel6, sles11, debian6, ubuntu LTS)

Уязвимость также проявляется для ядра, используемого в RHEL 6 (начиная с 2.6.32-220.el6, но старее 2.6.32-220.4.1, в котором уязвимость исправлена). На данный момент уже опубликовано три рабочих эксплоита.

?

[Zohan]

Вы лучше ответьте, кого зацепило http://blog.zx2c4.com/749 ?

 

В самом деле, конкрентно этот баг мало кого реально зацепил. Сначала круг резко сужается за счёт того, что >=2.6.39 мало где используется(посмотрите какие ядра в rhel6, sles11, debian6, ubuntu LTS). А там где используется(последний(е) fedora, opensuse, ubuntu 11.10) это почти всё персональные компьютеры, в которых в 99% случаев локальные пользователи знают пароль рута. Реально пострадавших от этого бага пересчитать по пальцам. Почему подняли панику из-за этого бага не понятно, как будто других в последнее время не было.

Суть не в последствиях, и не в количестве пострадавших, а в том как эта уязвимость появилась в ядре. Это я бы сказал эпик-фэйл модели разработки Линупса. Надеюсь это событие заставит Торвальдса задуматься о будущем своего детища.

[_INF_]

Суть не в последствиях, и не в количестве пострадавших, а в том как эта уязвимость появилась в ядре. Это я бы сказал эпик-фэйл модели разработки Линупса. Надеюсь это событие заставит Торвальдса задуматься о будущем своего детища.

 

Можете привести пример более грамотной модели ?

 

Вам напомнить про баги десятки лет присутствующие в системе http://security.freebsd.org/advisories/FreeBSD-SA-11:08.telnetd.asc

 

По баги позволяющие получить рута http://security.freebsd.org/advisories/FreeBSD-SA-11:05.unix.asc

 

Ой а это что http://security.freebsd.org/advisories.html ?

 

Неужели и модель разработки во FreeBSD говно ???

 

 

Если Вы уважаемый считаете себя самым умным, то спешу Вас расстроить, с высокой долей вероятности все обстоит иначе.

[Ivan_83]

TCP Fast Open cookies

И что это даёт?

[Zohan]

Суть не в последствиях, и не в количестве пострадавших, а в том как эта уязвимость появилась в ядре. Это я бы сказал эпик-фэйл модели разработки Линупса. Надеюсь это событие заставит Торвальдса задуматься о будущем своего детища.

 

Можете привести пример более грамотной модели ?

 

Вам напомнить про баги десятки лет присутствующие в системе http://security.freebsd.org/advisories/FreeBSD-SA-11:08.telnetd.asc

 

По баги позволяющие получить рута http://security.freebsd.org/advisories/FreeBSD-SA-11:05.unix.asc

 

Ой а это что http://security.freebsd.org/advisories.html ?

 

Неужели и модель разработки во FreeBSD говно ???

 

 

Если Вы уважаемый считаете себя самым умным, то спешу Вас расстроить, с высокой долей вероятности все обстоит иначе.

 

1. Модель с периодически избираемой командой. Создание всемирной независимой организации которая бы управляла процессом, платила ЗП, следила бы за специалистами, кадрами. Что делает Linuxfoundation?

2. Читайте внимательно в чем суть - 3 человека ошиблись, в том числе и Торвальдс и это при том что знали какой кусок правят и какие могут быть последствия. Кто за кем следит?

 

Уважаемый, заметьте что я нейтрален и ни слова не сказал про FreeBSD.

 

TCP Fast Open cookies

И что это даёт?

3-ий пункт.

http://habrahabr.ru/blogs/network_technologies/136926/

[_INF_]

1. Модель с периодически избираемой командой. Создание всемирной независимой организации которая бы управляла процессом, платила ЗП, следила бы за специалистами, кадрами. Что делает Linuxfoundation?

 

2. Читайте внимательно в чем суть - 3 человека ошиблись, в том числе и Торвальдс и это при том что знали какой кусок правят и какие могут быть последствия. Кто за кем следит?

 

Уважаемый, заметьте что я нейтрален и ни слова не сказал про FreeBSD.

 

 

Кто гарантирует, что выбираемая команда не ошибется?

 

Кто гарантирует, что найденные уязвимости будут исправляться в кратчайшие сроки ?

 

Подход давайте возьмем еще 200 человек которые будут перепроверять в разработке ПО не работает.

[gelraen]

TCP Fast Open cookies

И что это даёт?

3-ий пункт.

http://habrahabr.ru/blogs/network_technologies/136926/

эээ, а разве раньше кто-то запрещал так делать?

Although these
 examples do not show connection synchronization using data-carrying
 segments, this is perfectly legitimate, so long as the receiving TCP
 doesn't deliver the data to the user until it is clear the data is
 valid

(с) RFC793

 

Олсо, какие ОС/браузеры умеют такое делать?

 

UPD: ага, вот тут чего-то пишут: http://research.google.com/pubs/pub37517.html

UPD2: это делать меня очень печальной пандой:

Our primary goal in the design of TFO is to prevent the
source-address spoofing attack mentioned above. To prevent
this attack, we use a security “cookie”. A client that wishes
to use TFO requests a cookie—an opaque bytestring—from
the server in a regular TCP connection with the TFO TCP
option included, and uses that cookie to perform fast open in
subsequent connections to the same server. 

Изменено 25 января, 2012 пользователем gelraen

[Zohan]

Кто гарантирует, что выбираемая команда не ошибется?

 

Кто гарантирует, что найденные уязвимости будут исправляться в кратчайшие сроки ?

 

Подход давайте возьмем еще 200 человек которые будут перепроверять в разработке ПО не работает.

 

1. Созданная организация. Ошибается любой, но не все одновременно.

2. Проверяющая автоматика. Специальная security-team состоящая из профессионалов.

 

Сейчас ситуация неоднозначная - от ядра Линупса зависит очень много, в том числе возможно и некоторые промышленные/военные объекты, а модель управления сводит все на нет. Оракл/РедХат тянут одеяло на себя со своими ядрами и бэкпортированием. Что будет, если Торвальдса завтра не станет? Кто из них возьмет на себя ответственность за ядро? Кто объявит о новых "доверительных друзьях"? Начнется ли паника и хаос?

[Gull]

1. Созданная организация. Ошибается любой, но не все одновременно.

2. Проверяющая автоматика. Специальная security-team состоящая из профессионалов.

Примеры разрабатываемых так ос есть?

 

А в приципе - это риторический вопрос. Из массовых осей сейчас семейство Linux и семейство Windows, и там и там периодически находятся дыры.

[Ivan_83]

3-ий пункт.http://habrahabr.ru/...ologies/136926/

Я не TCP дрочерфанат :)

Было бы интересно для всего TCP содержимого, а не только HTTP, да и во фре запилить такое не сложно, за вечер-два можно, без всесторонних тестирований сделать.

[_INF_]

Кто гарантирует, что выбираемая команда не ошибется?

 

Кто гарантирует, что найденные уязвимости будут исправляться в кратчайшие сроки ?

 

Подход давайте возьмем еще 200 человек которые будут перепроверять в разработке ПО не работает.

 

1. Созданная организация. Ошибается любой, но не все одновременно.

2. Проверяющая автоматика. Специальная security-team состоящая из профессионалов.

 

Сейчас ситуация неоднозначная - от ядра Линупса зависит очень много, в том числе возможно и некоторые промышленные/военные объекты, а модель управления сводит все на нет. Оракл/РедХат тянут одеяло на себя со своими ядрами и бэкпортированием. Что будет, если Торвальдса завтра не станет? Кто из них возьмет на себя ответственность за ядро? Кто объявит о новых "доверительных друзьях"? Начнется ли паника и хаос?

 

Ваш метод доказательств утверждения 1 похож на высказывание "Миллионы леммингов не могут ошибаться"

 

По пункту 2.Почему же специальная автоматика не проверяет сейчас. Каким образом работа автоматики зависит от одного разработчика ? Кто мешает Вам организовать команду профессионалов и присылать security патчи в ядро ?

 

Сейчас зависит очень многое от полуторы тысяч разработчиков. Размышлять о том, что будет если у бабушки ВДРУГ вырастут яйца можно бесконечно. Вероятнее всего выберут человека который наиболее подходит на роль куратора разработки ядра.

[Zohan]

1. Созданная организация. Ошибается любой, но не все одновременно.

2. Проверяющая автоматика. Специальная security-team состоящая из профессионалов.

Примеры разрабатываемых так ос есть?

 

А в приципе - это риторический вопрос. Из массовых осей сейчас семейство Linux и семейство Windows, и там и там периодически находятся дыры.

Мы ищем или пытаемся конструктивно критиковать Линупс чтобы, возможно улучшить его? :)

[pfexec]

ЗЫ. Я понимаю, для чего сделана привязка сокета к FIB. Давайте будем честными: это костыль, призванный заменить отсутствие продуманного механизма PBR в сетевом стеке.

по-мойму всё логично. а всовывать между фибами и сокетом какой-то фильтр для редиректа пакетов в нужный fib - это простите жоп^Wлинагз получается.

 

нужно запустить програму в какой-то таблице, берем и запускаем, и все сокеты её висят в этой таблице. в чем проблема то ? соль всей драмы в том, что вопреки желаниям луиджи fib'ы вобщем-то не для серверов нужны, а для маршрутизаторов.

 

можно, конечно, порадоваться за линукс-сервера где на каждом сервере по десятку сетевых карты, портянки фильтров и ойпи рулезов, а можно и посочувствовать такому венегрету.

 

я считаю не логично когда запускаемая программа слушает сокеты во всех fib'ах. ЗАЧЕМ ЕЙ ЭТО ? почему не сделать один fib для программы и рутликинг с двумя другими fib'ами "аплинков" или чего еще ?

[Gull]

Мы ищем или пытаемся конструктивно критиковать Линупс чтобы, возможно улучшить его? :)

Только критикуя ничего улучшить нельзя.

 

Покажите, хотя бы на примере, что предлагаемая вами схема эффективно работает.

[Zohan]

Мы ищем или пытаемся конструктивно критиковать Линупс чтобы, возможно улучшить его? :)

Только критикуя ничего улучшить нельзя.

 

Покажите, хотя бы на примере, что предлагаемая вами схема эффективно работает.

Т.е. вы считаете что ничего менять не нужно и пусть 1 человек так и дальше управляет Линупсом?

Может сделает монархию? Типа власть сыну Торвальдса перейдет по наследству :)

Изменено 25 января, 2012 пользователем Zohan

[Dyr]

почему не сделать один fib для программы и рутликинг с двумя другими fib'ами "аплинков" или чего еще ?

 

Каким образом, поднимать динамическую маршрутизацию? Я не помню, чтобы route умел указывать на маршрут в другом fib на подобии Juniper'овского "next-hop table xxx.0"

Изменено 25 января, 2012 пользователем Dyr

[pfexec]

Каким образом, поднимать динамическую маршрутизацию? Я не помню, чтобы route умел указывать на маршрут в другом fib на подобии Juniper'овского "next-hop table xxx.0"

у можжевельника тащемто для ликинга используются либо риб-групс, либо полиси-базед експорт. в иерархии routing-options static route $net next-hop нет table.

во фряшечке есть активно запиливаемый сейчас bird. он умеет fib, и умеете на основе политик переливать маршруты между таблицами. ну и это не совсем "динамическая" маршрутизация. igp/egp протокола может вообще не быть, просто маршруты между fib'ами будут ездить по политикам демона маршрутизации. да, bird не в базе. и, да, было бы круто чтобы route из коробки умел клеить маршруты между разными fib'ами. в openbsd та же пичаль c routing-domains, как минимум была, правда open(ospf|bgp)d коробочные демоны.