> убрали бы со своего сайта такую надпись и опубликовали бы вместо этого краткий отчетец: как нашли, почему так вышло, что сделали, чтобы поправить?А вот расскажи, почему по-твоему Тео должен так сделать? Вот смотри.
Слоган на сайте OpenBSD - "Only two remote holes in the default install, in a heck of a long time!".
Всего две удалённо-эксплуатируемые дыры (подразумевается remote root) в установке по-умолчанию.
Теперь посмотрим на текущие дыры.
CVE-2019-19521 - удалённо получить доступ с правами _smtpd, _ldapd или _radiusd. При условии, что все эти сервисы включены и используются (по умолчанию включен только smtpd, но слушает только локалхост). При условии, что в smtpd используется PLAIN авторизация.
CVE-2019-19520 - локальный атакующий может поднять свои права до auth через дыру в xlock.
CVE-2019-19522 - в случае, если используется S/Key или YubiKey локальный атакующий может поднять свои права с auth до root.
(https://www.openwall.com/lists/oss-security/2019/12/04/5)
Не пойми неправильно - я не хочу сказать, что проблемы фигня и ничего не значат. Нет. Ничего хорошего, абсолютно, неприятные и обидные дыры.
Но формулировке из слогана они не соответствуют, не так ли?
Его смысл, кстати, не в "в OpenBSD всего две дыры", а в том, что стандартная установка OpenBSD (т.е. сразу после установки ОС) была удалённо дырява всего 2 раза.
Отсутствие удалённых дыр в стандартной поставке - это минимальный признак безопасности, а не максимальный, как почему-то все думают.
Если сразу после установки ОС сразу можно портутать, то она шерето. OpenBSD доказанно была оным всего два раза за долгое время.
Смысл слогана в этом, а не в том, что "в опенбсд никаких дыр, вот только всего 2 было и больше не".
Но не суть. Так почему Тео должен менять слоган?
А то, что в OpenBSD, как и в любой другой ОС есть дыры никогда и не скрывалось. На той же странице, где написано про эту уязвимость написаное ещё и про другие. Короткое описание проблемы и ссылка на патч. Сойдёт за описание и "что сделали, чтобы поправить"? А что касается как нашли - это к тем, кто нашёл. Они довольно подробно описали.