 fox
II/IDEC networks :: habra.16 :: / Security Week 40: баг в systemd, 20 уязвимостей в роутере D-Link, взлом инсулиновых помп
|
Login |
[#]
Security Week 40: баг в systemd, 20 уязвимостей в роутере D-Link, взлом инсулиновых помп
habrabot(difrex,1) — All
2016-10-07 10:30:04
![][1]Сразу две популярные новости на этой неделе поднимают важную тему оценки серьезности уязвимостей в частности и определения безопасности софта или железа вообще. По порядку: 3 октября основатель сервиса SSLMate Эндрю Айер сообщил об уязвимости в демоне инициализации systemd ([новость][2], оригинальный [пост Айера][3]). Уязвимость типа denial of service эксплуатируется только локально. Любой пользователь введя команду NOTIFY\_SOCKET=/run/systemd/notify systemd-notify “” может подвесить систему. Баг, вызванный неправильной обработкой сообщения нулевой длины, и уже [закрытый][4], просуществовал в systemd два года, начиная с версии 209.
Имея массу примеров для сравнения ([Shellshock][5], например, или тот же [Heartbleed][6]), можно вполне уверенно утверждать, что это далеко не самый ужасный в мире баг. Тем не менее, срач обсуждение проблемы получилось масштабное. Причина в доступном описании бага: «можно подвесить систему сообщением, которое помещается в один твит». И в [резкой реакции][7] CTO компании Pantheon, активно поддерживающего systemd. Далее везде, вплоть до нового витка обсуждения личности создателя systemd (не буду его называть, а то и здесь начнется).
В общем, обсуждали все, что угодно, только не сам баг, который, действительно, не так уж ужасен, хотя и серьезен. Это действительно важная тема: по уязвимостям пытаются судить о качестве продукта. Типичный пример такого подхода — [рейтинги софта][8] с наибольшим количеством обнаруженных дыр. Попробую предложить свою трактовку: уязвимость — это в большинстве случаев просто уязвимость, и само по себе обнаружение проблемы никак не квалифицирует софт или железку. А чтобы обосновать это утверждение, нам понадобится обсудить роутер D-Link.
[Читать дальше →][9]
[1]: https://habrastorage.org/files/539/310/ee9/539310ee9ba24c11a347224768858c29.jpg
[2]: https://threatpost.com/hack-crashes-linux-distros-with-48-characters-of-code/121052/
[3]: https://www.agwa.name/blog/post/how_to_crash_systemd_in_one_tweet
[4]: https://github.com/systemd/systemd/issues/4234
[5]: https://en.wikipedia.org/wiki/Shellshock_(software_bug)
[6]: https://en.wikipedia.org/wiki/Heartbleed
[7]: https://medium.com/@davidtstrauss/how-to-throw-a-tantrum-in-one-blog-post-c2ccaa58661d#.mphskkqg7
[8]: http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/
[9]: https://habrahabr.ru/post/311958/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-10-07 10:30:04
![][1]Сразу две популярные новости на этой неделе поднимают важную тему оценки серьезности уязвимостей в частности и определения безопасности софта или железа вообще. По порядку: 3 октября основатель сервиса SSLMate Эндрю Айер сообщил об уязвимости в демоне инициализации systemd ([новость][2], оригинальный [пост Айера][3]). Уязвимость типа denial of service эксплуатируется только локально. Любой пользователь введя команду NOTIFY\_SOCKET=/run/systemd/notify systemd-notify “” может подвесить систему. Баг, вызванный неправильной обработкой сообщения нулевой длины, и уже [закрытый][4], просуществовал в systemd два года, начиная с версии 209.
Имея массу примеров для сравнения ([Shellshock][5], например, или тот же [Heartbleed][6]), можно вполне уверенно утверждать, что это далеко не самый ужасный в мире баг. Тем не менее, срач обсуждение проблемы получилось масштабное. Причина в доступном описании бага: «можно подвесить систему сообщением, которое помещается в один твит». И в [резкой реакции][7] CTO компании Pantheon, активно поддерживающего systemd. Далее везде, вплоть до нового витка обсуждения личности создателя systemd (не буду его называть, а то и здесь начнется).
В общем, обсуждали все, что угодно, только не сам баг, который, действительно, не так уж ужасен, хотя и серьезен. Это действительно важная тема: по уязвимостям пытаются судить о качестве продукта. Типичный пример такого подхода — [рейтинги софта][8] с наибольшим количеством обнаруженных дыр. Попробую предложить свою трактовку: уязвимость — это в большинстве случаев просто уязвимость, и само по себе обнаружение проблемы никак не квалифицирует софт или железку. А чтобы обосновать это утверждение, нам понадобится обсудить роутер D-Link.
[Читать дальше →][9]
[1]: https://habrastorage.org/files/539/310/ee9/539310ee9ba24c11a347224768858c29.jpg
[2]: https://threatpost.com/hack-crashes-linux-distros-with-48-characters-of-code/121052/
[3]: https://www.agwa.name/blog/post/how_to_crash_systemd_in_one_tweet
[4]: https://github.com/systemd/systemd/issues/4234
[5]: https://en.wikipedia.org/wiki/Shellshock_(software_bug)
[6]: https://en.wikipedia.org/wiki/Heartbleed
[7]: https://medium.com/@davidtstrauss/how-to-throw-a-tantrum-in-one-blog-post-c2ccaa58661d#.mphskkqg7
[8]: http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/
[9]: https://habrahabr.ru/post/311958/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut