Bez paniki. Luka jest praktyczna na 32 bitowych systemach. Na 64 bitowych jest dużo, dużo trudniejsza. Więc aktualizować systemy, ale na spokojnie. Nie ma spiny, przez najbliższy tydzień nikt was nie schaczy.
No chyba, że ktoś z was postawił serwer na 32bit Pentium 3. Wtedy aktualizować ASAP. ( ͡º͜ʖ͡º)
W dupie mam odmienne zdanie od mojego, ja przez 30 lat nawet pół włamu nie miałem na usługi, których byłem autorem. Ale u mnie ani rdp, ani ssh nie są publiczne.
@patefoniq: bo moze nikt nawet nie probował sie włamać
@patefoniq: najważniejsze byś przeświadczonym o swojej zajeb1stości - poza użytkownikami końcowymi to drugi czynnik ludzki, czyli peświadczony o swojej nieomylności administrator ;-)
w sumie odszczekuję to co powiedziałem na temat x64: Sprawa wyglada na poważniejszy temat :) ale z plusów Ubuntu bezpieczne... tym razem.
"Side note: we discovered that Ubuntu 24.04 does not re-randomize the ASLR of its sshd children (it is randomized only once, at boot time); we tracked this down to the patch below, which turns off sshd's rexec_flag. This is generally a bad idea, but in the particular case of this signal
@tranzystorpl: Microsoft relatywnie szybko łata krytyczne błędy, publikacja następuje po usunięciu błędów. Linux to na ma inny problem, community i dużo poważnych firm namiętnie korzysta z rozwiązań open source do których szemrane osoby commituja backdoory.
@happymakler: czyli chcesz się włamać. Tak z ciekawości sprawdziłem i wystarczy włączyć debug połączenia i docelowy serwer przedstawia swoją wersję oprogramowania...
A tak na serio to nie wiem czy czytałeś to co napisali na temat całego procesu: - badacze nie ujawnili pełnych szczegółów podatności - włamanie udawało się po średnio 10.000 prób (min.
Z tego co zrozumiałem z artykułu, to jest trudne w wykorzystaniu. Udało się tej grupie, która powiadomiła ludzi od OpenSSH i na razie jest embargo na publikację. Ciekawe z tym co napisali o uczeniu maszynowym, że to może ułatwić wykorzystanie takiej podatności.
@bluehead: nie za dobrze to świadczy o oprogramowaniu że nie są uruchamiane automatyczne testy na "już rozwiązane podatności" przed wydaniem nowej wersji
Komentarze (85)
najlepsze
Więc aktualizować systemy, ale na spokojnie. Nie ma spiny, przez najbliższy tydzień nikt was nie schaczy.
No chyba, że ktoś z was postawił serwer na 32bit Pentium 3. Wtedy aktualizować ASAP. ( ͡º ͜ʖ͡º)
@patefoniq: bo moze nikt nawet nie probował sie włamać
@patefoniq: najważniejsze byś przeświadczonym o swojej zajeb1stości - poza użytkownikami końcowymi to drugi czynnik ludzki, czyli peświadczony o swojej nieomylności administrator ;-)
"Side note: we discovered that Ubuntu 24.04 does not re-randomize the
ASLR of its sshd children (it is randomized only once, at boot time); we
tracked this down to the patch below, which turns off sshd's rexec_flag.
This is generally a bad idea, but in the particular case of this signal
https://en.wikipedia.org/wiki/XZ_Utils_backdoor
@Mazowia: które są szybko wyłapywane
Tak z ciekawości sprawdziłem i wystarczy włączyć debug połączenia i docelowy serwer przedstawia swoją wersję oprogramowania...
A tak na serio to nie wiem czy czytałeś to co napisali na temat całego procesu:
- badacze nie ujawnili pełnych szczegółów podatności
- włamanie udawało się po średnio 10.000 prób (min.
źródło: snap02185a
Pobierzzałatało tę lukę 23 lata temu
@blargotron: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
Doczytaj mój komentarz ( ͡º ͜ʖ͡º)