Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd, opennews (??), 14-Апр-24, (0) [смотреть все] Забавно, что lighttpd преподносит себя как _secure_, fast, compliant, and very , Аноним (3), 23:05 , 14-Апр-24, (3) +6 // То ли дело программные продукты, которые преподносят себя как _insecure_, slow,, YetAnotherOnanym (ok), 23:35 , 14-Апр-24, (6) // У них есть одно существенное преимущество по сравнению с lighttpd честность , Аноним (8), 23:54 , 14-Апр-24, (8) +2 // Как ты это преимущество монетизируешь , Аноним (21), 08:29 , 15-Апр-24, (21) Репутация 8212 очень ценный актив любой нормальной компании , Аноним (8), 15:10 , 15-Апр-24, (35) А таким как ты бы весь мир монетизировать, все в монетках, scriptkiddis (?), 21:04 , 15-Апр-24, (36) +1 Это очень важно в эксплуатации, да , YetAnotherOnanym (ok), 09:11 , 15-Апр-24, (25) Да, прикинь это важно Если разраб пытается замести уязвимости под ковер, то это , Аноним (-), 10:51 , 15-Апр-24, (32) +2 Так это не проблема с безопасностью была, а для кого надо функция Кому надо фун, Аноним (13), 00:55 , 15-Апр-24, (13) +1 // Простой пользователь не обязан знать как работает программа , Аноним (16), 07:32 , 15-Апр-24, (16) –1 // Так он и не знает, Прадед (?), 08:25 , 15-Апр-24, (20) +1 Незнание как работает программа не освобождает от ответственности за её использо, Аноним (29), 10:28 , 15-Апр-24, (29) +2 Шах и мат, юзер, Прадед (?), 10:33 , 15-Апр-24, (30) никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖlight, тыквенное латте (?), 21:35 , 16-Апр-24, (40) История про упаковку всего и вся в один блоб Содержимое блоба никто не знает, а, Аноним (41), 20:21 , 17-Апр-24, (41) Вообще конечно прикольно Фикс был готов много лет назад, но вендо его пропустил, Аноним (4), 23:06 , 14-Апр-24, (4) +4   // И внезапно - вреда от этой увизгвимости - никакого Какой вредный вендор, не хоч, нах. (?), 23:32 , 14-Апр-24, (5)   То что вендор не будет исправлять уязвимость в продукте, у которого истек EOL, в, Карлос Сношайтилис (ok), 00:13 , 15-Апр-24, (11) –1   // Их вины в поставке дырявой версии нет Ахахах, серьезно А чья тут вина, что ды, Аноним (4), 00:49 , 15-Апр-24, (12) +6   // Они тоже не обязаны, прикинь Срок поддержки истёк, делайте чо хотите А вот если, Карлос Сношайтилис (ok), 01:37 , 15-Апр-24, (14) –4   Пришли какие-то мажоры , заюзали Lighttpd по тихому весь доход лично себе , а к, Аноним (15), 02:42 , 15-Апр-24, (15) +5   Всё так, если лицензия позволяет, мажоры будут юзать и всю прибыль забирать себе, Карлос Сношайтилис (ok), 08:22 , 15-Апр-24, (19) –1   Так и какие уязвимости публиковать тоже васян выбирает Тем более он может с тог, Аноним (21), 08:33 , 15-Апр-24, (22)   Вероятность этого не нулевая, но я всё же думаю, что разработчики просто портит, Карлос Сношайтилис (ok), 08:40 , 15-Апр-24, (24)   Ну теперь то истек А вопрос был о том почему не исправили раньше до того как ис, Аноним (17), 08:00 , 15-Апр-24, (17) +1   Ну расскажи нам про волшебные сканеры подобных ошибок, а то про них никто не зна, Карлос Сношайтилис (ok), 08:36 , 15-Апр-24, (23)   А вот если бы, да кабы 8212 во рту бы росли грибы Вендор не обязан обновлять, Аноним (31), 10:46 , 15-Апр-24, (31)   То ли дело angie, там даже по 15 рублей платят , Аноним (27), 09:36 , 15-Апр-24, (27)   Если ставить BMC контроллер слушать не в локалке а в инет, то тут уже не вендор,, Аноним (7), 23:49 , 14-Апр-24, (7) // Банальный DNS rebind 8212 и локальная дыра становится глобальной , Аноним (8), 23:55 , 14-Апр-24, (9) +1 // И как ты дальше будешь хекать мой сервер через это Тут нужно знать адресс хоста, Аноним (7), 00:11 , 15-Апр-24, (10) +1 // Скрыто модератором, Аноним (27), 09:28 , 15-Апр-24, (26) Правильно, зачем фиксы, иди и купи новый сервер И эти говноеды ещё что-то кукар, Аноним (33), 10:57 , 15-Апр-24, (33) +3 // Поэтому надо беречь свои железки, ухаживать и обслуживать их, чтоб служили дольш, Аноним (34), 13:26 , 15-Апр-24, (34) Мне кажется, что тут вариант только договорится, что после ЕОЛ х лет открываем , Аноним (37), 00:31 , 16-Апр-24, (37) +1 // Тогда никто не будет покупать новые железки и вендоры разорятся, Омномном анон (?), 16:47 , 16-Апр-24, (38) Договориться это про деньги Ну тогда все просто немножко подорожает А если у теб, Аноним (-), 16:59 , 16-Апр-24, (39) 3,4,7,33,37

Сообщения

[Сортировка по времени | RSS]

4. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+4 +/–
Сообщение от Аноним (4), 14-Апр-24, 23:06
Вообще конечно прикольно. Фикс был готов много лет назад, но вендо его пропустил. А теперь не будет обновлять, потому что срок поддержки вышел. Это для таких компаний наверно хотели ввести ответственность за дыры в стороннем ПО, которое они заюзали у себя
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от нах. (?), 14-Апр-24, 23:32
	И внезапно - вреда от этой увизгвимости - никакого. Какой вредный вендор, не хочет херней пострадать.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	–1 +/–
	Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 00:13
	То что вендор не будет исправлять уязвимость в продукте, у которого истек EOL, в принципе нормально, кроме того, из вины в поставке дырявой версии нет. А вот господа из lighttpd поступили не просто по-свински, а, буквально, совершили диверсию. У всех крупных организаций существует процесс обнаружения уязвимостей ПО. Уровень разный, но база – проверка наличия CVE по номеру версии. Если CVE не опубликована, а исправлена втихую, то подобные сканеры не будут ругаться и версия уйдет в поставку. PS: Не зря я вчера писал, что ребятки не вызывают доверия из-за кривого сайта. Да, звучит смешно, но чуйка не подвела.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	12. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+6 +/–
	Сообщение от Аноним (4), 15-Апр-24, 00:49
	Их вины в поставке дырявой версии нет? Ахахах, серьезно? А  чья тут вина, что дырявая версия в их продукте оказалась? А автор lighttpd так-то ваще им ничем не обязан. Сами должны были чекать. Сканер, блин, у них нет сработал в крупной организации.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	–4 +/–
	Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 01:37
	Они тоже не обязаны, прикинь? Срок поддержки истёк, делайте чо хотите. А вот если бы разработчики Lighttpd не крысятничали, то пользователи получили бы обновление. Но имеем что имеем – никто не виноват, но все – в заднице.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+5 +/–
	Сообщение от Аноним (15), 15-Апр-24, 02:42
	Пришли какие-то мажоры , заюзали Lighttpd по тихому (весь доход лично себе), а крайние теперь апстрим? Смешно...
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	–1 +/–
	Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 08:22
	Всё так, если лицензия позволяет, мажоры будут юзать и всю прибыль забирать себе. Лицензию выбирают разработчики и это их выбор.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Аноним (21), 15-Апр-24, 08:33
	Так и какие уязвимости публиковать тоже васян выбирает. Тем более он может с того что втихую добавил и в тихую убрал получить больше дохода чем эти корпы. А крайние пользователи, которых нагнули.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 08:40
	Вероятность этого не нулевая, но я всё же думаю, что разработчики просто "портить статистику" для своего проекта не хотели
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+1 +/–
	Сообщение от Аноним (17), 15-Апр-24, 08:00
	> Они тоже не обязаны, прикинь? > Срок поддержки истёк, делайте чо хотите Ну теперь то истек. А вопрос был о том почему не исправили раньше до того как истек? Отмазки про то, что cve не было и наш сканер в крупной организации, где доход миллиарды баксов, не сработал- это отмазка на уровне детского сада
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	23. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Карлос Сношайтилис (ok), 15-Апр-24, 08:36
	Ну расскажи нам про волшебные сканеры подобных ошибок, а то про них никто не знает, все только "отмазки детского сада" лепят. Даже ядро выходит с кучей ошибок, а на его тестирование тратиться охулиард денег, у Гугла фермы с фазингом сжирают бюджет небольшой области, но аноним с опеннета знает способы понадёжнее, кажется.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Аноним (31), 15-Апр-24, 10:46
	>А вот если бы разработчики Lighttpd не крысятничали, то пользователи получили бы обновление. А вот если бы, да кабы — во рту бы росли грибы. Вендор не обязан обновлять либы, даже в случае уявимости. А ты сам их обновить легально не можешь. И даже если вендор выпустит обновление прошивки просто с обновлением либ, никто не гарантирует, что оно будет бесплатным, а не специально за такую цену, за которую ты предпочтёшь новую мат. плату купить.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	27. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Аноним (27), 15-Апр-24, 09:36
	То ли дело angie, там даже по 15 рублей платят?
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема