А според младежите, открили уязвимостта, въобще не става дума за DoS, а remote code execution:
http://www.coresecurity.com/index.php5?...

[Отговори на този коментар]

Към: PoC
От: DarkLight <darhazer __@__ gmail< dot >com>
На: 21-03-2007@11:16 GMT+2
Оценка: 1/Неутрален

Според тях да, но от екипа на OpenBSD твърдят, че това не е възможно

[Отговори на този коментар]

---

Към: Към: PoC
От: _c_ <misho< at >openbsd-bg__dot__org>
На: 23-03-2007@13:54 GMT+2
Оценка: 1/Неутрален

Става дума за реакцията и това че не е чак толкова фатална. Remote execution не върви :)

[Отговори на този коментар]

---

"За 10 години са намерени само няколко такива уязвимости."

1 уязвимост не е няколко уязвимости. Този проблем стана новина защото това е ВТОРАТА уязвимост за ДЕСЕТ годни, която може да се използва за атака на системата от разстояние. За такова постижение трябва да се застава "мирно" и да се козирува на разработчиците.
Предната уязвимост беше в OpenSSH сървъра открита през Юни 2002 година. Преди това те не бяха имали грешки в инсталацията по подразбиране за период от 6 години.
OpenSSH експлойта беше обезсмъртен във втория епизод на Матрицата, а именно момента когато Тринити "хаква" компютрите на електроцентралата (сещате ли се).

[Отговори на този коментар]

Към: ох журналисти...
От: DarkLight <darhazer__at__gmail __точка__ com>
На: 21-03-2007@11:21 GMT+2
Оценка: 1/Неутрален

Не само remote code execution е remote уязвимост ;)Не че искам да споря де, тъй като нито ползвам OpenBSD нито я следя от близо, но  бърза справка в SecurityLab.ru показва и други уязвимости, които могат да се използват от отдалечн потребител

[Отговори на този коментар]

---

Към: Към: ох журналисти...
От: _c_ <misho (a) openbsd-bg< dot >org>
На: 21-03-2007@13:10 GMT+2
Оценка: 1/Неутрален

Уффффффффффф ....

Мисля, че не си прав :):):):) DarkLight

Само 2 са remote дупките забележи в default install пише го под картинката в openbsd.org

Това е най-сигурната ОС в света и като код, политика и идея.
Между другото, напоследък виждам доста достоен противник за титлата най-сигурна ОС. Тиха вода която не шуми много, но кода и е впечетляващо чист и добър NetBSD.

Ще ми е интересно как ще се развият нещата между 2те сходни ОС OpenBSD/NetBSD

[Отговори на този коментар]

---

Към: Към: Към: ох журналисти...
От: borj
На: 22-03-2007@10:45 GMT+2
Оценка: 1/Неутрален

Това какво пише на сайта ... Тео деРаад е малко като DJB - и двамата трудно признават грешки :) Предполагам, че кода на един NetBSD форк би трябвало да е наследил някаква подреденост? :)

[Отговори на този коментар]

---

Към: ох журналисти...
От: Mr.700 <gunchev__at__gmail[ точка ]com>
На: 23-03-2007@12:07 GMT+2
Оценка: 1/Неутрален

Аз бих им козирувал и час, но им свалям и шапка - евала. Не го ползвам, но причината е липса на време, не липса на желание...

[Отговори на този коментар]

---

Глупости :)
От: Гочев
На: 22-03-2007@11:19 GMT+2
Оценка: 1/Неутрален

Пълни глупости
за 10 години е 1 remote учзвимост и то в дефаулт инсталацията
първо ти с тази инсталация ли караш ?
и 2ро само 1 ? аи стига аз за 4 години сам виждал поне 10 :)

[Отговори на този коментар]

---

Към: Към: ох журналисти...
От: growchie <growchie__at__yahoo< dot >com>
На: 21-03-2007@13:44 GMT+2
Оценка: 1/Неутрален

Настоящия бъг е не позволява изпълнение на код до колкото знам.

[Отговори на този коментар]

---

Към: Към: Към: ох журналисти...
От: DarkLight
На: 21-03-2007@14:29 GMT+2
Оценка: 1/Неутрален

Точно това писах в поста "Към: PoC" и исках да кажа че може за 10 години да има една-единствена RCE уязвимост ( за което наистина са си спечелили име хората ), но няколко Remote DoS такива ;)

[Отговори на този коментар]

---

Към: Към: Към: Към: ох журналисти...
От: growchie <growchie__at__yahoo__dot__com>
На: 21-03-2007@19:48 GMT+2
Оценка: 1/Неутрален

Римоут, ДДОс все тая. Ама в Матрицата Презареждане първият експлойт си беше доста фенски. Няма да заправя как в един пишкодръжковски филм "хакваха" сателит с нортон командер. Трябва да направим класация за най-кухите "хаквания" във филмите. Винаги ми е било супер смешно как все си познават паролите.
Редактиран на: 21-03-2007@19:49

[Отговори на този коментар]

---

"Only two remote holes in the default install, in more than 10 years!"

Е хубава работа, сега две ли са, три ли са, колко са?

Няма да е зле Тео да събере "хакерите" си на племенния съвет и да обсъдят въпроса :)

[Отговори на този коментар]

bravo we .. setihte se koga da publikuvate noviata

[Отговори на този коментар]

Ako ne se lyja developers na openbsd bqha
kazali taka i za apache worm-a ....che nemoje
da se izpolzva otkritiq bug za drug tip ataka
osven DoS ... emi da ama ....inache po-vaprosa
za nai secure OS... OpenBSD ? nemislq, da ste
chuvali za OpenVMS ? A i da ne zabraviame che
2remote bug-a za 10 godini da default
install...ama q vijte pri default install
kakvo ima pusnato ... inache naistina evala na
developers na openbsd, tova opredeleno sa hora
koito zalujavat uvajenie ..... p.s.: sajelqvam
che pisha na latineca , no v momenta mi e
fizicheski nevyzmojno da post-na na kirilica.

[Отговори на този коментар]

Някой забелязал ли е датите на патча пуснат в openbsd.org по този проблем дата му? Или пак пишете коментари ей така да се шуми в  ефира.

Патча е пуснат за update 1 седмица преди света да заговори че има дупка :) Някои обърна ли на това внимание и това не е само сега ;) Патчовете обикновено изпреварват проблемите това е част от политиката на ОС-а.

Мисля че за този факт и тази политика  също заслужават внимание и респект. С техните технологии ProPolic, W^X и т.н. които изкараха на бял свят дупки по разни приложения като X които са престояли над 10г. незабелязани :) Това е уважение и респект кам начина на работа.

[Отговори на този коментар]

Към: Някой забелязал ли е:):):)
От: DarkLight <darhazer__at__gmail__dot__com>
На: 22-03-2007@12:46 GMT+2
Оценка: 1/Неутрален

Не изпреварват проблемите. Ако отворите оригиналната новина ще видите кога е съобщено за проблема... просто публично се обявява след като има пач. Етика един вид. Всички производители на софтуер се борят за такова отношение, но малко го получават.

[Отговори на този коментар]

---

Към: Някой забелязал ли е:):):)
От: ShadowX
На: 23-03-2007@6:21 GMT+2
Оценка: 1/Неутрален

patch-a e pusnat predi oficialnoto izlizane na exploit-a, no ne i predi oficialno da se obqvi bug-a .... qvno tolkova si chel bugtraq`s ... a i kato govorim za "1 bug na 5 godini" (primerno kazano), nqma znachenie dali patch izliza predi oficialnoto obevqvane na dupkata, vaprosa e che ima dupka i e namerena , pohvalno e che reakciqt e bila byrza i patch-a e izleznal pochti vednaga, no tova ne kara dupkata da izchezne ....

[Отговори на този коментар]

---

Към: Някой забелязал ли е:):):)
От: the_real_maniac
На: 22-03-2007@20:11 GMT+2
Оценка: 1/Неутрален

хиихи абе прав си , но това че света не знае, не значи че някой или някои не го ползват / знаят този проблем :-D :-P

Иначе новината си е новина.

Като цяло интересна новина , не толкова друго :-)

[Отговори на този коментар]

---

Към: Към: Някой забелязал ли е:):):)
От: ShadowX
На: 25-03-2007@9:27 GMT+2
Оценка: 1/Неутрален

True true!

[Отговори на този коментар]

---