Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd, opennews (??), 14-Апр-24, (0) [смотреть все] Забавно, что lighttpd преподносит себя как _secure_, fast, compliant, and very , Аноним (3), 23:05 , 14-Апр-24, (3) +6 // То ли дело программные продукты, которые преподносят себя как _insecure_, slow,, YetAnotherOnanym (ok), 23:35 , 14-Апр-24, (6) // У них есть одно существенное преимущество по сравнению с lighttpd честность , Аноним (8), 23:54 , 14-Апр-24, (8) +2 // Как ты это преимущество монетизируешь , Аноним (21), 08:29 , 15-Апр-24, (21) Репутация 8212 очень ценный актив любой нормальной компании , Аноним (8), 15:10 , 15-Апр-24, (35) А таким как ты бы весь мир монетизировать, все в монетках, scriptkiddis (?), 21:04 , 15-Апр-24, (36) +1 Это очень важно в эксплуатации, да , YetAnotherOnanym (ok), 09:11 , 15-Апр-24, (25) Да, прикинь это важно Если разраб пытается замести уязвимости под ковер, то это , Аноним (-), 10:51 , 15-Апр-24, (32) +2 Так это не проблема с безопасностью была, а для кого надо функция Кому надо фун, Аноним (13), 00:55 , 15-Апр-24, (13) +1 // Простой пользователь не обязан знать как работает программа , Аноним (16), 07:32 , 15-Апр-24, (16) –1 // Так он и не знает, Прадед (?), 08:25 , 15-Апр-24, (20) +1 Незнание как работает программа не освобождает от ответственности за её использо, Аноним (29), 10:28 , 15-Апр-24, (29) +2 Шах и мат, юзер, Прадед (?), 10:33 , 15-Апр-24, (30) никакого скрытого устранения уязвимостей, от которых тебя зохекают, не вриЖlight, тыквенное латте (?), 21:35 , 16-Апр-24, (40) История про упаковку всего и вся в один блоб Содержимое блоба никто не знает, а, Аноним (41), 20:21 , 17-Апр-24, (41) Вообще конечно прикольно Фикс был готов много лет назад, но вендо его пропустил, Аноним (4), 23:06 , 14-Апр-24, (4) +4 // И внезапно - вреда от этой увизгвимости - никакого Какой вредный вендор, не хоч, нах. (?), 23:32 , 14-Апр-24, (5) То что вендор не будет исправлять уязвимость в продукте, у которого истек EOL, в, Карлос Сношайтилис (ok), 00:13 , 15-Апр-24, (11) –1 // Их вины в поставке дырявой версии нет Ахахах, серьезно А чья тут вина, что ды, Аноним (4), 00:49 , 15-Апр-24, (12) +6 // Они тоже не обязаны, прикинь Срок поддержки истёк, делайте чо хотите А вот если, Карлос Сношайтилис (ok), 01:37 , 15-Апр-24, (14) –4 Пришли какие-то мажоры , заюзали Lighttpd по тихому весь доход лично себе , а к, Аноним (15), 02:42 , 15-Апр-24, (15) +5 Всё так, если лицензия позволяет, мажоры будут юзать и всю прибыль забирать себе, Карлос Сношайтилис (ok), 08:22 , 15-Апр-24, (19) –1 Так и какие уязвимости публиковать тоже васян выбирает Тем более он может с тог, Аноним (21), 08:33 , 15-Апр-24, (22) Вероятность этого не нулевая, но я всё же думаю, что разработчики просто портит, Карлос Сношайтилис (ok), 08:40 , 15-Апр-24, (24) Ну теперь то истек А вопрос был о том почему не исправили раньше до того как ис, Аноним (17), 08:00 , 15-Апр-24, (17) +1 Ну расскажи нам про волшебные сканеры подобных ошибок, а то про них никто не зна, Карлос Сношайтилис (ok), 08:36 , 15-Апр-24, (23) А вот если бы, да кабы 8212 во рту бы росли грибы Вендор не обязан обновлять, Аноним (31), 10:46 , 15-Апр-24, (31) То ли дело angie, там даже по 15 рублей платят , Аноним (27), 09:36 , 15-Апр-24, (27) Если ставить BMC контроллер слушать не в локалке а в инет, то тут уже не вендор,, Аноним (7), 23:49 , 14-Апр-24, (7)   // Банальный DNS rebind 8212 и локальная дыра становится глобальной , Аноним (8), 23:55 , 14-Апр-24, (9) +1   // И как ты дальше будешь хекать мой сервер через это Тут нужно знать адресс хоста, Аноним (7), 00:11 , 15-Апр-24, (10) +1   // Скрыто модератором, Аноним (27), 09:28 , 15-Апр-24, (26)   Правильно, зачем фиксы, иди и купи новый сервер И эти говноеды ещё что-то кукар, Аноним (33), 10:57 , 15-Апр-24, (33) +3 // Поэтому надо беречь свои железки, ухаживать и обслуживать их, чтоб служили дольш, Аноним (34), 13:26 , 15-Апр-24, (34) Мне кажется, что тут вариант только договорится, что после ЕОЛ х лет открываем , Аноним (37), 00:31 , 16-Апр-24, (37) +1 // Тогда никто не будет покупать новые железки и вендоры разорятся, Омномном анон (?), 16:47 , 16-Апр-24, (38) Договориться это про деньги Ну тогда все просто немножко подорожает А если у теб, Аноним (-), 16:59 , 16-Апр-24, (39) 3,4,7,33,37

Сообщения

[Сортировка по времени | RSS]

7. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+/–
Сообщение от Аноним (7), 14-Апр-24, 23:49
Если ставить BMC контроллер слушать не в локалке а в инет, то тут уже не вендор, а такого админа надо гнать мокрыми тряпками.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+1 +/–
	Сообщение от Аноним (8), 14-Апр-24, 23:55
	Банальный DNS rebind — и локальная дыра становится глобальной.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в прошивках AMI MegaRAC, вызванная поставкой стар..."	+1 +/–
	Сообщение от Аноним (7), 15-Апр-24, 00:11
	И как ты дальше будешь хекать мой сервер через это? Тут нужно знать адресс хоста BMC для которого делать rebind, потом найти CSRF (например добавить юзера), заставить админа кликнуть на левую ссылку, а потом тыкнуть в консоль, которая в тех версиях еще в Java аплете. Ну так себе цепочка.
	Ответить | Правка | Наверх | Cообщить модератору

	26. Скрыто модератором	+/–
	Сообщение от Аноним (27), 15-Апр-24, 09:28
	Он просто придёт к тебе с паяльником, чтобы за чашкой чая обсудить твою безопастность.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема