Исходное сообщение
"Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..." Отправлено Дон Ягон, 31-Янв-20 14:53
> Так разъясните. Они любят заострять внимание на "Only two remote holes in the default install, in a heck of a long time!". А что у них включено по умолчанию? ntpd и sshd? Очешуенный сервер. > Так и я могу. Напишу сейчас "hello world" и в нём за 100500 лет не найдут ни одной удалённой уязвимости. Только какой в этом толк? "Only two remote holes in the default install, in a heck of a long time!" - это слоган проекта, да. Толк в безопасном default install в том, что это минимальный признак безопасности ОС. Подчёркиваю: не максимальный, а минимальный. Если ОС дырява изкоробки, уже не факт, что важно, что её можно настроить безопасно - наплевательский подход уже продемонстрирован. И дыра может быть использована до того, как ты её пофиксишь правильными настройками. Да, большие дяди собирают (зачастую) свой дистрибутив ОС и кастомизируют настройки под себя, и для них это не актуально. Но этими людьми мир не ограничивается. Сейчас с этим получше, а раньше многие дистрибутивы linux (и не только) запускали по дефолту всякое, что потом успешно эксплуатировалась, ибо было дыряво или настроено "гениями". Искренне не понимаю, почему слоган вызывает такое количество волнений. Там прямым текстом написано про default install - не понимаю, как можно обмануться и подумать, что наличие каких либо других дыр разработчики игнорируют. Можно открыть http://www.openbsd.org/errata66.html (чиселку в конце поменять в зависимости от версии) и убедиться, что это не так. Дисклеймер: я в себе уверен, но всё-таки я высказываю личное мнение, а не офф. позицию разработчиков OpenBSD.