Уязвимость в пакетном менеджере APT, позволяющая подменить з...,
opennews (?), 22-Янв-19, (0) [смотреть все]
- Так так Ну что страдайте апт гетчики ,
Gagauz (?), 23:23 , 22-Янв-19, (1) –8 //
- Ну поломайте же наконец меня ,
Michael Shigorin (ok), 23:57 , 22-Янв-19, (9) –14 //
- Нет, Джо ,
Qwerty (??), 00:13 , 23-Янв-19, (15) +24
- А разве у ваших rpm-ок нет своей подписи Не верю rpm еще не пробили ,
fi (ok), 17:30 , 23-Янв-19, (117)
- Если Вас поломают, Вы об этом можете никогда даже не узнать, будучи гением систе,
Аноним (126), 14:49 , 26-Янв-19, (126)
- Вроде бы security не обязательно заменять, он не использует CDN и редиректы А в,
rm_ (ok), 23:34 , 22-Янв-19, (3)
- Казалось бы, при чем здесь gentoo ,
Аноняшка (?), 23:45 , 22-Янв-19, (5) //
- Если злоумышленник может сделать MITM, что мешает ему подменить тарбол с исходни,
irinat (ok), 01:50 , 23-Янв-19, (25) +1 //
- Хеш тарбола в метаданных portage, очевидно ,
nE0sIghT (ok), 06:49 , 23-Янв-19, (40) +5 //
- а portage ты через dev astral скопировал, а не открытым протоколом с левого зер,
пох (?), 06:58 , 23-Янв-19, (42)
- Ты не поверишь Добро пожаловать в 2019 год, в котором portage синхронизируется ,
nE0sIghT (ok), 07:00 , 23-Янв-19, (43) +2
- При обновлении portage он точно так же был проверен по хешу как и другие пакеты ,
Гентушник (ok), 09:43 , 23-Янв-19, (59)
- Вот на почте болванку и подменили Нет у вас методов против Коли W Почты России ,
scor (ok), 10:07 , 23-Янв-19, (65) +9
- Всё возможно Но в цепочке доверия нужно с чего-то начать У кого-то это сайт htt,
Гентушник (ok), 10:24 , 23-Янв-19, (71) +1
- у правильной цепочки должно быть не одно возможное начало скачанные с того же са,
нах (?), 11:02 , 23-Янв-19, (83)
- Самое главное доверие, на котором все держится - это доверие тому что ты нах ник,
rshadow (ok), 12:06 , 23-Янв-19, (99)
- Это начало какой то замудерённой сети, а не цепочки ИМХО ,
Аноним (101), 12:37 , 23-Янв-19, (101) –1
- Нет Скачанные с какого-нибудь васянского зеркала, по http, через открытый WiFi ,
Гентушник (ok), 13:44 , 23-Янв-19, (107) +1
- Обожаю форумную криптографию Она такая форумная Такая незамутнённая sig,
Andrey Mitrofanov (?), 11:25 , 23-Янв-19, (96) –2
- https gentoo org support news-items 2018-01-30-portage-rsync-verification html,
Я (??), 23:26 , 23-Янв-19, (122)
- а они что, по сей день не научились подписывать свои ебилды Да ну, не может быт,
пох (?), 06:57 , 23-Янв-19, (41)
//
- Ну зачем ты слёзы то лил Ну был же тогда уже emerge-websync с проверкой подписи,
nE0sIghT (ok), 08:58 , 23-Янв-19, (55) +1
- ну как бы костылик наверное уже был его еще, правда, взять откуда-то надо было,,
нах (?), 11:08 , 23-Янв-19, (90)
- Контрольная сумма для проверки на побитость, а не для верификации ,
Онанимус (?), 13:46 , 23-Янв-19, (108) +3
- Сидел он, сидел Вот даже в хэндбуке о нём написано было в далёком 2006 году htt,
nE0sIghT (ok), 18:32 , 23-Янв-19, (120)
- А тебе повезло, что в 2008 ты не сталкивался с кеширующими проксями, от которых ,
irinat (ok), 14:14 , 23-Янв-19, (109)
- pacman -Syyuu It s the best,
Simion (?), 23:47 , 22-Янв-19, (7) +1 //
- Получается обновление apt нужно качать через уязвимый apt ,
Аноним (12), 00:04 , 23-Янв-19, (12) //
- Зачем Его можно собрать ,
IdeaFix (ok), 00:07 , 23-Янв-19, (14) //
- Либо настройками запретить переадресацию, либо воспользоваться security through ,
irinat (ok), 01:57 , 23-Янв-19, (26) +3
- Можно при этом обновлении отключить перенаправления источник уязвимости sudo,
Shevchuk (ok), 06:32 , 23-Янв-19, (37)
- В новости ведь даже приведён волшебный ключик отключающий уязвимое поведение Де,
MrClon (ok), 09:02 , 23-Янв-19, (56)
- Кстати, I да I Я тоже там наверху никогда не читаю http www opennet,
Andrey Mitrofanov (?), 10:33 , 23-Янв-19, (76) +1
- Опять синдром NIH и кастомные парсеры - в результате грабли А ведь можно было и,
Аноним (-), 02:00 , 23-Янв-19, (27) –5 //
- И где Вы весь такой умный были в девяносто-когда-там-апт-делали ,
Michael Shigorin (ok), 02:05 , 23-Янв-19, (28) +5 //
- Apt писали, когда ни ты ещё не родился, ни JSON ещё не придумали Поэтому, не сп,
Аноним (30), 02:15 , 23-Янв-19, (30) +1 //
- Вы так свято верите в непогрешимость сторонних парсеров ,
YetAnotherOnanym (ok), 02:35 , 23-Янв-19, (32) +2 //
- Они больше на глазах и, как правило, более архитектурно написаны, как и то, чт,
Crazy Alex (ok), 04:51 , 23-Янв-19, (35) –3 //
- тысячигласс, да Как правило они overengineered, bloated и вообще не поддаются ан,
пох (?), 07:10 , 23-Янв-19, (46) +2
- Что,, прям все Как http langsec org проверял Как http langsec org провер,
Andrey Mitrofanov (?), 09:44 , 23-Янв-19, (61) +2
- стесняюсь спросить - а в json парсерах не правят раз в месяц очередное ой мы об,
пох (?), 07:06 , 23-Янв-19, (45) +6
- Вот только баг в данном случае не в парсере, а в генераторе Если бы JSON формир,
sigprof (ok), 08:42 , 23-Янв-19, (54) +1 //
- Зачем тогда было выносить обработчик транспорта в отдельный процесс Зачем общ,
Аноним (36), 06:02 , 23-Янв-19, (36) –2 //
- unixway, не, не слышали давайте запилим уже systemd-aptd, ага С бинарным проток,
пох (?), 07:14 , 23-Янв-19, (47) +1 //
- Одно дело 8212 развивать независимые проекты, предоставляющие другим приложен,
Аноним (36), 08:28 , 23-Янв-19, (53) –4 //
- в каком месте fileutils, к примеру - независимые проекты А если вы опоздали р,
нах (?), 11:19 , 23-Янв-19, (93) +1
- О, а покажите-ка список того, что Вы _уже_ наархитектурили и взлетело А то в,
Michael Shigorin (ok), 13:29 , 23-Янв-19, (105) –3
- Как можно проверить в куче установленных апт ориентированных дистрибутивов, что ,
Аноним (39), 06:44 , 23-Янв-19, (39) //
- Для Debian есть прямой workaround, настолько прямой, что меня Debian GNU Linux ,
odd.mean (ok), 07:19 , 23-Янв-19, (48) //
- А если подключены ещё пара реп, которые в тор никто не додумался закинуть Вот ст,
ryoken (ok), 07:47 , 23-Янв-19, (50)
- , что он написан в новости наверху, он написан в DSA-, он ПРЯМООООЙ ,
Andrey Mitrofanov (?), 10:31 , 23-Янв-19, (75) //
- Если там какой нить баг окажется, то и следов кто тебе напихал не найти ,
rshadow (ok), 12:31 , 23-Янв-19, (100) //
- И АНБ вот уже сколько лет ломает всех, кто это юзает Скажите спасибо Дебиану за,
Аноним (57), 09:24 , 23-Янв-19, (57) –2
- Соединяюсь с репами по HTTPS и мои волосы мягкие и шелковистые ,
Аноним (70), 10:19 , 23-Янв-19, (70) //
- Кто-то тут позавчера бил себя пяткой в грудь и кричал что в стабильном релизе не,
Аноним (72), 10:26 , 23-Янв-19, (72) –1 //
- Потому что их _исправляют_ Иди туда-вчера и прочитай, что там-тогда написано ,
Andrey Mitrofanov (?), 10:36 , 23-Янв-19, (77) //
- Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исп,
Аноним (72), 10:42 , 23-Янв-19, (78) –1 //
- А ещё майнтейнер systemd временно отстранился от майнтенинга этого пакета, так ч,
Аноним (72), 10:51 , 23-Янв-19, (79) –1
- Да-да Мы так и поверили ,
Аноним (92), 10:58 , 23-Янв-19, (81) +1
- Пройдите на https www debian org security https lists debian org debia,
Andrey Mitrofanov (?), 10:59 , 23-Янв-19, (82) +1
- Любите опасность ,
Цирк без коней (?), 11:07 , 23-Янв-19, (88)
- Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы ис,
Цирк без коней (?), 11:07 , 23-Янв-19, (89)
- Кто тебе куда бил Иди регрессию после очередного обновления systemd исправляй, ,
Аноним (92), 10:58 , 23-Янв-19, (80) +2 //
- Очередная дырка в Дебиане, всегда проигрываю ,
Аноним (111), 15:50 , 23-Янв-19, (111) +1
- Спасибо исследователю безопасности Max y,
jalavan (ok), 21:42 , 23-Янв-19, (121) +1
- глаза откройте, у кого они еще есть Уязвимость устранена в v 1 4 9 Для Debian ,
su (??), 11:20 , 24-Янв-19, (123) –1
- Поясните далекому от всего этого http Почему вообще свойства транспорта как-то ,
Анонымоус (?), 21:24 , 24-Янв-19, (124) –2 //
1,3,5,7,12,27,36,39,48,57,70,72,111,121,123,124
|
Вариант для распечатки
