Pull to refresh
188
0
Артём Гавриченков @ximaera

Инженер

Send message

Ну вот он в итоге и ушёл. Всё ж логично :-)

Единственное в чем я могу понять - экспериментальность ветки. Но я согласен с документом - с этим к product owner.

Ну. Это Дунин. Какие тогда ещё вопросы? :-)

Нет. Это вот именно что исключительно DoS-"уязвимость". Точнее, по сути, это как раз «глупый баг вида "УМеняКривыеРукиException"», как комментатор выше писал.

Хм, у вас включен Javascript?

Сами подумайте, сколько CVE создается на всякую мелочь типа TIPC-сокетов
в ядре Linux, которые вообще у большей части не вкомпилированы в ядро
(и, возможно, даже помечены как EXPERIMENTAL). Однако Торвальдс (или
меинтейнер подсистемы) не плачет и не делает форк всего ядра из-за того,
что ему назначают CVE.

Ой, вы очень сильно не в теме :-)

Разговоры о том, что система Mitre CVE не подходит ядру Linux, ведутся как минимум с 2017 года. Грег Кроа-Хартман (я полагаю, вы знаете, кто это такой) в 2019 году даже сделал на этот счёт публичную и весьма разгромную презентацию.

А с 13 февраля 2024 года (прямо с этой недели) у команды разработки ядра появился статус CVE Numbering Authority (CNA). Описание, как Linux kernel CNA будет работать, уже можно найти в свежем файле документации. Краткая выжимка:

  • CVE в отношении ядра назначаются только тогда, когда для уязвимости уже есть патч. (Это несколько, мягко говоря, противоречит исходной философии CVE, потому что получается, что если уязвимости уже три года, но по ней всё равно нет патча, то она как бы и не уязвимость всё ещё).

  • В принципе, CVE в отношении ядра назначаются только через согласование с самой командой ядра. Не захотят, не назначат.

Tl;dr: форк ядра Торвальдс сотоварищи, конечно, делать не стали. Вместо этого они де-факто форкнули систему CVE :-)

Продолжаем разбираться в подробностях: указанная "уязвимость" заключалась в некорректном обращении по указателю, которое приводило к ошибке сегментации.

Это вот натурально ровно тот род ошибок, который и ожидается от экспериментальной фичи, когда в первую очередь прописывается и тестируется happy path, а обработка исключительных ситуаций оставляется "на потом".

Писать на каждую такую ошибку CVE — означает превратить разработку в итальянскую забастовку.

Это на здоровье, пусть используют, но вот только CVE на экспериментальную ветку кода им никто заводить не обещал. И это обалдеть можно, писать CVE на эксперименты.

Зачем было нужно затевать всю эту историю, фактически разорвав отношения со мной на ровном месте, я, честно говоря, не совсем понимаю.

Я полагаю, это секрет Полишинеля: баг был в экспериментальном модуле, обрабатывающем HTTP/3-запросы.

Наиболее вероятная версия, что этот модуль уже продали какому-нибудь заказчику под видом готового решения, а потом заказчик возмутился, почему это найденная DoS-уязвимость в этом решении не получает CVE. Ну и, соответственно, менеджмент предпочёл поссориться с разработчиками, нежели с клиентом, вероятно, не ожидая такой вот реакции.

Огненный пост, спасибо!

Удивлен, что его всё ещё можно проплюсовать :-)

Что, с вашей точки зрения, делают эти боты? Расскажите, пожалуйста.

Комментарий из сообщества североамериканских операторов связи:

Mikrotik is a very popular router in small to medium ISPs, running, well, everything.

Даёшь выход в Интернет по СМС и QR-коду! И разрешения выписывать по выгрузке из Пенсионного Фонда. С указанием цели доступа, на 60 минут в сутки.

(я надеюсь, понятно, что это ирония?)

У владельцев дырявых Микротиков особых проблем и не должно быть. Это задача владельца ботнета — сделать так, чтобы они ничего не заметили и не ресетнули роутер.

И выдавать эту страничку на скорости 20-30 млн. запросов в секунду ботам, которые не будут её читать, но будут очень рады, что заставили сервер её сгенерировать? Отличная идея!

Кстати, я есть и на Хабре, если у вас есть вопросы, замечания или идеи докладов — welcome!

О, ну самое правильное было ещё и сексизмом сейчас полирнуть, да.
Регулирование КИИ включает в себя также понятие преступной халатности, так что РЖДшникам также должно прийтись несладко.
Откуда вы знаете, какого размера буквы на картинке будут на каждом отдельном устройстве, и не нарушат ли они тем самым Федеральный закон?
Это можно в принципе сделать, если вы можете сделать MITM между легитимным сайтом и всеми LE-речекерами сразу. Но речь здесь о другом.
Certificate pinning как техника — где бы то ни было вне очень специфических корпоративных сред — больше не существует.

Подделать DNS-ответ для habr.com вы сможете (если клиент не использует DNS-over-TLS или DNS-over-HTTPS), но тот сервер, чей IP-адрес вы выдадите, валидного сертификата для habr.com не имеет. Всё, hard stop.

Information

Rating
Does not participate
Location
Москва и Московская обл., Россия
Date of birth
Registered
Activity