Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd, opennews (??), 14-Апр-24, (0) [смотреть все] Забавно, что lighttpd преподносит себя как _secure_, fast, compliant, and very , Аноним (3), 23:05 , 14-Апр-24, (3) +6   // То ли дело программные продукты, которые преподносят себя как _insecure_, slow,, YetAnotherOnanym (ok), 23:35 , 14-Апр-24, (6)   // У них есть одно существенное преимущество по сравнению с lighttpd честность , Аноним (8), 23:54 , 14-Апр-24, (8) +2   // Как ты это преимущество монетизируешь , Аноним (21), 08:29 , 15-Апр-24, (21)   Репутация 8212 очень ценный актив любой нормальной компании , Аноним (8), 15:10 , 15-Апр-24, (35)   А таким как ты бы весь мир монетизировать, все в монетках, scriptkiddis (?), 21:04 , 15-Апр-24, (36) +1   Это очень важно в эксплуатации, да , YetAnotherOnanym (ok), 09:11 , 15-Апр-24, (25)   Да, прикинь это важно Если разраб пытается замести уязвимости под ковер, то это , Аноним (-), 10:51 , 15-Апр-24, (32) +2   Так это не проблема с безопасностью была, а для кого надо функция Кому надо фун, Аноним (13), 00:55 , 15-Апр-24, (13) +1   // Простой пользователь не обязан знать как работает программа , Аноним (16), 07:32 , 15-Апр-24, (16) –1   // Так он и не знает, Прадед (?), 08:25 , 15-Апр-24, (20) +1   Незнание как работает программа не освобождает от ответственности за её использо, Аноним (29), 10:28 , 15-Апр-24, (29) +2   Шах и мат, юзер, Прадед (?), 10:33 , 15-Апр-24, (30)   никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖlight, тыквенное латте (?), 21:35 , 16-Апр-24, (40)   История про упаковку всего и вся в один блоб Содержимое блоба никто не знает, а, Аноним (41), 20:21 , 17-Апр-24, (41)   Вообще конечно прикольно Фикс был готов много лет назад, но вендо его пропустил, Аноним (4), 23:06 , 14-Апр-24, (4) +4 // И внезапно - вреда от этой увизгвимости - никакого Какой вредный вендор, не хоч, нах. (?), 23:32 , 14-Апр-24, (5) То что вендор не будет исправлять уязвимость в продукте, у которого истек EOL, в, Карлос Сношайтилис (ok), 00:13 , 15-Апр-24, (11) –1 // Их вины в поставке дырявой версии нет Ахахах, серьезно А чья тут вина, что ды, Аноним (4), 00:49 , 15-Апр-24, (12) +6 // Они тоже не обязаны, прикинь Срок поддержки истёк, делайте чо хотите А вот если, Карлос Сношайтилис (ok), 01:37 , 15-Апр-24, (14) –4 Пришли какие-то мажоры , заюзали Lighttpd по тихому весь доход лично себе , а к, Аноним (15), 02:42 , 15-Апр-24, (15) +5 Всё так, если лицензия позволяет, мажоры будут юзать и всю прибыль забирать себе, Карлос Сношайтилис (ok), 08:22 , 15-Апр-24, (19) –1 Так и какие уязвимости публиковать тоже васян выбирает Тем более он может с тог, Аноним (21), 08:33 , 15-Апр-24, (22) Вероятность этого не нулевая, но я всё же думаю, что разработчики просто портит, Карлос Сношайтилис (ok), 08:40 , 15-Апр-24, (24) Ну теперь то истек А вопрос был о том почему не исправили раньше до того как ис, Аноним (17), 08:00 , 15-Апр-24, (17) +1 Ну расскажи нам про волшебные сканеры подобных ошибок, а то про них никто не зна, Карлос Сношайтилис (ok), 08:36 , 15-Апр-24, (23) А вот если бы, да кабы 8212 во рту бы росли грибы Вендор не обязан обновлять, Аноним (31), 10:46 , 15-Апр-24, (31) То ли дело angie, там даже по 15 рублей платят , Аноним (27), 09:36 , 15-Апр-24, (27) Если ставить BMC контроллер слушать не в локалке а в инет, то тут уже не вендор,, Аноним (7), 23:49 , 14-Апр-24, (7) // Банальный DNS rebind 8212 и локальная дыра становится глобальной , Аноним (8), 23:55 , 14-Апр-24, (9) +1 // И как ты дальше будешь хекать мой сервер через это Тут нужно знать адресс хоста, Аноним (7), 00:11 , 15-Апр-24, (10) +1 // Скрыто модератором, Аноним (27), 09:28 , 15-Апр-24, (26) Правильно, зачем фиксы, иди и купи новый сервер И эти говноеды ещё что-то кукар, Аноним (33), 10:57 , 15-Апр-24, (33) +3 // Поэтому надо беречь свои железки, ухаживать и обслуживать их, чтоб служили дольш, Аноним (34), 13:26 , 15-Апр-24, (34) Мне кажется, что тут вариант только договорится, что после ЕОЛ х лет открываем , Аноним (37), 00:31 , 16-Апр-24, (37) +1 // Тогда никто не будет покупать новые железки и вендоры разорятся, Омномном анон (?), 16:47 , 16-Апр-24, (38) Договориться это про деньги Ну тогда все просто немножко подорожает А если у теб, Аноним (-), 16:59 , 16-Апр-24, (39) 3,4,7,33,37

Сообщения

[Сортировка по времени | RSS]

3. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+6 +/–
Сообщение от Аноним (3), 14-Апр-24, 23:05
Забавно, что lighttpd преподносит себя как "_secure_, fast, compliant, and very flexible web server". Secure в их понимании видимо скрытое устранение уязвимостей без лишней огласки. А ведь если копнуть там  можно нарыть и такие прекрасные вещи https://redmine.lighttpd.net/issues/2700 для которых до сих пор нет CVE.
Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от YetAnotherOnanym (ok), 14-Апр-24, 23:35
	То ли дело программные продукты, которые преподносят себя как "_insecure_, slow, incompliant and very rigid". У них-то такого никогда не может быть.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+2 +/–
	Сообщение от Аноним (8), 14-Апр-24, 23:54
	> То ли дело программные продукты, которые преподносят себя как "_insecure_, slow, incompliant and very rigid". У них-то такого никогда не может быть. У них есть одно существенное преимущество по сравнению с lighttpd: честность.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Аноним (21), 15-Апр-24, 08:29
	Как ты это преимущество монетизируешь?
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Аноним (8), 15-Апр-24, 15:10
	Репутация — очень ценный актив любой нормальной компании.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+1 +/–
	Сообщение от scriptkiddis (?), 15-Апр-24, 21:04
	А таким как ты бы весь мир монетизировать, все в монетках
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	25. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от YetAnotherOnanym (ok), 15-Апр-24, 09:11
	Это очень важно в эксплуатации, да.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	32. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+2 +/–
	Сообщение от Аноним (-), 15-Апр-24, 10:51
	Да, прикинь это важно. Если разраб пытается замести уязвимости под ковер, то это проблема на порядок больше, чем софтина где их больше, но их нормально закрывают. Потому что ты не будешь просто так обновлять зависимость потому что "циферка увеличилась". Для этого нужно причины, потому что обновление требует просмотреть все изменения, обновить, хорошо протестить на регрессии и только тогда в прод. Думаю именно этим подходом руководствовались разрабы AMI. А исправление CVE это знак о необходимости обновиться. При нормальной публикации у тебя есть время на это. А если автор в крысу закрывает уязвимости без идентификаторов, то автор п#####сина, а его поделие нужно заменить как можно быстрее. Потому что доверия ему нет.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+1 +/–
	Сообщение от Аноним (13), 15-Апр-24, 00:55
	Так это не проблема с безопасностью была, а для кого надо функция. Кому надо функция перестала быть нужна, вот её и убрали. А кто софт бесплатно юзает, а сам его не аудирует - тот сам виноват. AS IS, читать лицензию надо.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	16. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	–1 +/–
	Сообщение от Аноним (16), 15-Апр-24, 07:32
	Простой пользователь не обязан знать как работает программа.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+1 +/–
	Сообщение от Прадед (?), 15-Апр-24, 08:25
	Так он и не знает
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+2 +/–
	Сообщение от Аноним (29), 15-Апр-24, 10:28
	Незнание как работает программа не освобождает от ответственности за её использование.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	30. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Прадед (?), 15-Апр-24, 10:33
	Шах и мат, юзер
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от тыквенное латте (?), 16-Апр-24, 21:35
	никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖ lighttpd.net/2016/1/2/1.4.39/ Что до идти выпрашивать CVE в 2015 году - ну так сесуриту войтхэккеры для чего существуют? Он взял и написал в чейнджлоге, и сделал новость. Как и полагается. А белки-истерички могут идти.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	41. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
	Сообщение от Аноним (41), 17-Апр-24, 20:21
	История про упаковку всего и вся в один блоб. Содержимое блоба никто не знает, автор не обновляет, самостоятельно тоже ничего не доступно. Сам по себе lighttpd тут не особо причём. Дело в способе использования зависимостей автором блоба.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема