forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd, opennews (??), 14-Апр-24, (0) [смотреть все]

Забавно, что lighttpd преподносит себя как _secure_, fast, compliant, and very , Аноним (3), 23:05 , 14-Апр-24, (3) +6 //

То ли дело программные продукты, которые преподносят себя как _insecure_, slow,, YetAnotherOnanym (ok), 23:35 , 14-Апр-24, (6) //

У них есть одно существенное преимущество по сравнению с lighttpd честность , Аноним (8), 23:54 , 14-Апр-24, (8) +2 //

Как ты это преимущество монетизируешь , Аноним (21), 08:29 , 15-Апр-24, (21)

Репутация 8212 очень ценный актив любой нормальной компании , Аноним (8), 15:10 , 15-Апр-24, (35)
А таким как ты бы весь мир монетизировать, все в монетках, scriptkiddis (?), 21:04 , 15-Апр-24, (36) +1

Это очень важно в эксплуатации, да , YetAnotherOnanym (ok), 09:11 , 15-Апр-24, (25)

Да, прикинь это важно Если разраб пытается замести уязвимости под ковер, то это , Аноним (-), 10:51 , 15-Апр-24, (32) +2

Так это не проблема с безопасностью была, а для кого надо функция Кому надо фун, Аноним (13), 00:55 , 15-Апр-24, (13) +1 //

Простой пользователь не обязан знать как работает программа , Аноним (16), 07:32 , 15-Апр-24, (16) –1 //

Так он и не знает, Прадед (?), 08:25 , 15-Апр-24, (20) +1
Незнание как работает программа не освобождает от ответственности за её использо, Аноним (29), 10:28 , 15-Апр-24, (29) +2

Шах и мат, юзер, Прадед (?), 10:33 , 15-Апр-24, (30)

никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖlight, тыквенное латте (?), 21:35 , 16-Апр-24, (40)
История про упаковку всего и вся в один блоб Содержимое блоба никто не знает, а, Аноним (41), 20:21 , 17-Апр-24, (41)

Вообще конечно прикольно Фикс был готов много лет назад, но вендо его пропустил, Аноним (4), 23:06 , 14-Апр-24, (4) +4 //

И внезапно - вреда от этой увизгвимости - никакого Какой вредный вендор, не хоч, нах. (?), 23:32 , 14-Апр-24, (5)
То что вендор не будет исправлять уязвимость в продукте, у которого истек EOL, в, Карлос Сношайтилис (ok), 00:13 , 15-Апр-24, (11) –1 //

Их вины в поставке дырявой версии нет Ахахах, серьезно А чья тут вина, что ды, Аноним (4), 00:49 , 15-Апр-24, (12) +6 //

Они тоже не обязаны, прикинь Срок поддержки истёк, делайте чо хотите А вот если, Карлос Сношайтилис (ok), 01:37 , 15-Апр-24, (14) –4

Пришли какие-то мажоры , заюзали Lighttpd по тихому весь доход лично себе , а к, Аноним (15), 02:42 , 15-Апр-24, (15) +5

Всё так, если лицензия позволяет, мажоры будут юзать и всю прибыль забирать себе, Карлос Сношайтилис (ok), 08:22 , 15-Апр-24, (19) –1

Так и какие уязвимости публиковать тоже васян выбирает Тем более он может с тог, Аноним (21), 08:33 , 15-Апр-24, (22)

Вероятность этого не нулевая, но я всё же думаю, что разработчики просто портит, Карлос Сношайтилис (ok), 08:40 , 15-Апр-24, (24)

Ну теперь то истек А вопрос был о том почему не исправили раньше до того как ис, Аноним (17), 08:00 , 15-Апр-24, (17) +1

Ну расскажи нам про волшебные сканеры подобных ошибок, а то про них никто не зна, Карлос Сношайтилис (ok), 08:36 , 15-Апр-24, (23)

А вот если бы, да кабы 8212 во рту бы росли грибы Вендор не обязан обновлять, Аноним (31), 10:46 , 15-Апр-24, (31)

То ли дело angie, там даже по 15 рублей платят , Аноним (27), 09:36 , 15-Апр-24, (27)

Если ставить BMC контроллер слушать не в локалке а в инет, то тут уже не вендор,, Аноним (7), 23:49 , 14-Апр-24, (7) //

Банальный DNS rebind 8212 и локальная дыра становится глобальной , Аноним (8), 23:55 , 14-Апр-24, (9) +1 //

И как ты дальше будешь хекать мой сервер через это Тут нужно знать адресс хоста, Аноним (7), 00:11 , 15-Апр-24, (10) +1 //

Скрыто модератором, Аноним (27), 09:28 , 15-Апр-24, (26)

Правильно, зачем фиксы, иди и купи новый сервер И эти говноеды ещё что-то кукар, Аноним (33), 10:57 , 15-Апр-24, (33) +3 //

Поэтому надо беречь свои железки, ухаживать и обслуживать их, чтоб служили дольш, Аноним (34), 13:26 , 15-Апр-24, (34)

Мне кажется, что тут вариант только договорится, что после ЕОЛ х лет открываем , Аноним (37), 00:31 , 16-Апр-24, (37) +1 //

Тогда никто не будет покупать новые железки и вендоры разорятся, Омномном анон (?), 16:47 , 16-Апр-24, (38)
Договориться это про деньги Ну тогда все просто немножко подорожает А если у теб, Аноним (-), 16:59 , 16-Апр-24, (39)

Сообщения [Сортировка по времени | RSS]

8. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..." +2 +/–

Сообщение от Аноним (8), 14-Апр-24, 23:54

> То ли дело программные продукты, которые преподносят себя как "_insecure_, slow, incompliant and very rigid". У них-то такого никогда не может быть.
У них есть одно существенное преимущество по сравнению с lighttpd: честность.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..." +/–

Сообщение от Аноним (21), 15-Апр-24, 08:29

Как ты это преимущество монетизируешь?

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..." +/–

Сообщение от Аноним (8), 15-Апр-24, 15:10

Репутация — очень ценный актив любой нормальной компании.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..." +1 +/–

Сообщение от scriptkiddis (?), 15-Апр-24, 21:04

А таким как ты бы весь мир монетизировать, все в монетках

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

25. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..." +/–

Сообщение от YetAnotherOnanym (ok), 15-Апр-24, 09:11

Это очень важно в эксплуатации, да.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

32. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..." +2 +/–

Сообщение от Аноним (-), 15-Апр-24, 10:51

Да, прикинь это важно.
Если разраб пытается замести уязвимости под ковер, то это проблема на порядок больше, чем софтина где их больше, но их нормально закрывают.
Потому что ты не будешь просто так обновлять зависимость потому что "циферка увеличилась".
Для этого нужно причины, потому что обновление требует просмотреть все изменения, обновить, хорошо протестить на регрессии и только тогда в прод. Думаю именно этим подходом руководствовались разрабы AMI. А исправление CVE это знак о необходимости обновиться. При нормальной публикации у тебя есть время на это.
А если автор в крысу закрывает уязвимости без идентификаторов, то автор п#####сина, а его поделие нужно заменить как можно быстрее. Потому что доверия ему нет.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	8. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+2 +/–
	Сообщение от Аноним (8), 14-Апр-24, 23:54
	> То ли дело программные продукты, которые преподносят себя как "_insecure_, slow, incompliant and very rigid". У них-то такого никогда не может быть. У них есть одно существенное преимущество по сравнению с lighttpd: честность.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Аноним (21), 15-Апр-24, 08:29
	Как ты это преимущество монетизируешь?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Аноним (8), 15-Апр-24, 15:10
	Репутация — очень ценный актив любой нормальной компании.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+1 +/–
	Сообщение от scriptkiddis (?), 15-Апр-24, 21:04
	А таким как ты бы весь мир монетизировать, все в монетках
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	25. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от YetAnotherOnanym (ok), 15-Апр-24, 09:11
	Это очень важно в эксплуатации, да.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	32. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+2 +/–
	Сообщение от Аноним (-), 15-Апр-24, 10:51
	Да, прикинь это важно. Если разраб пытается замести уязвимости под ковер, то это проблема на порядок больше, чем софтина где их больше, но их нормально закрывают. Потому что ты не будешь просто так обновлять зависимость потому что "циферка увеличилась". Для этого нужно причины, потому что обновление требует просмотреть все изменения, обновить, хорошо протестить на регрессии и только тогда в прод. Думаю именно этим подходом руководствовались разрабы AMI. А исправление CVE это знак о необходимости обновиться. При нормальной публикации у тебя есть время на это. А если автор в крысу закрывает уязвимости без идентификаторов, то автор п#####сина, а его поделие нужно заменить как можно быстрее. Потому что доверия ему нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору