Új hozzászólás Aktív témák
-
-szp-
aktív tag
Sokkal egyszerűbben közelítettem meg: azt tudjuk hogy van nekik saját megoldásuk, azt pedig nem, hogy milyen. Kértünk hivatalos választ, ezt eddig nem kaptam meg. A TechNeten sem mernek sokkal bátrabban nyilatkozni, mint én tettem a hírben.
-
-
bambano
titán
tekintve, hogy nem tudni, az ms implementációja mennyiben tér el a referencia implementációtól, így azt kijelenteni, hogy az ms verzió nem érintett, alap nélküli. ha az ms is ntp protokollt használ, kb. nulla értelme lenne magát a protokollt újra leprogramozni, meg pénzkidobás. annak van értelme, hogy az oprendszerbeli különbségek miatt átírják a szükséges részeket.
-
-szp-
aktív tag
Tekintve, hogy a Microsoft saját implementációt használ, ezért az alapvető álláspont az, hogy az MS termékek nem érintettek.
Azt azonban hogy biztosan nem, nem mondhatjuk ki. Hogy akkor minek említettem meg? azért, mert fontos tudni, hogy a két megoldás más. Abba pedig nem fog belehalni az MS rendszerek gazdája sem, ha csinál egy ellenőrzést, esetleg ha kell, megteszi a szükséges lépéseket.Igazat adok neked abban, hogy a hír eredetileg nem a Windowsról szólt. Viszont ti kérdeztétek, hogy ki érintett...
-
rt06
veterán
abban igazad van, hogy a bash es a cmd.exe messze all egymastol, eleg eros tulzas volt reszemrol (inkabb kellett volna mondani pl csh-t "dos parancssor" helyett), viszont fogalmunk sincs, milyen messze all egymastol a ket ntp szerver implementacio
az isc implementaciojarol tudunk sokmindent, mig az ms implementaciojarol pl meg tudja mondani neem milyen nyelven, milyen szabvanyokat kovetve irodott, mikent lett forditva? (es pont emiatt nem feltetlen jelent az sem semmit, hogy referencia implementaciorol van szo)es az a resze nem tetszik, ahogyan az itcafe-s ujsagirok hozza szoktak tenni a maguket, nem is ez az elso eset, hogy szot emelek ellene
ha meg akarja jegyezni, hogy lehet a masik (egyet random kiragadva a ki tudja mennyi implementacio kozul) szerver is szar, akkor vagy masszon bele jobban (onnantol lehet szakujsagirasrol beszeli), vagy erje be azzal, hogy a masik csak elvileg nem erintett, a totozast meg hagyja az olvasora, o maradjon a hirek forditasanalsajnos most nem a sajat gepemnel vagyok, nem tudom megneni pontosan, hogy mi volt a hiba, s mikent javitottak, de jovoheten ezt potlom
-
Sir Ny
senior tag
"(kb olyan, mintha a shellshock kapcsan azzal jonne valaki, hogy a "dos parancssor" is sebezheto, hisz ugyanaz a ketto)"
Helyesen latod. Egyaltalan nem nyilvanvalo egy laikus, de me'g egy szakmabeli szamara sem, hogy milyen programok mennyire hasonlitanak, mennyire egyeznek, mikbol mik kovetkeznek es mire lehet szamitani. A shellshock es a dos paranccsor hibai nagyon messze allnak egymastol, az NTP ket verzioja meg nagyon kozel all egymashoz.
Ezert tartjuk az ujsagirokat hogy megmondjak nekunk a frankot: elvileg nem erintett (ez a hir objektiv resze) de o tesz ra egy jelentekeny szazalekot hogy az (ez a szakujsagiras resze), tehat figyeljuk a hireket.
Nagyon helyes dolgokat irsz, nem teljesen ertem a fennakadasod. Az a resze nem tetszik hogy egy ujsagiro hozzateszi a magaet, vagy ugy veled hogy rosszul itelte meg? (azt is vedd figyelembe, hogy az a mondat hogy "a windows implementacioja elvileg nem erintett." hamis biztonsagerzetet ad, amit egy ujsagiro azert nem nagyon engedhet meg. Peldaul ennek merteket csokkenteni hivatott az a masodik mondat)
-
rt06
veterán
mire alapozva? ennyi erovel ramodhato barmire, hogy buffer overflow (vagy eppenseggel barmi egyeb sebezhetoseg, ami eppen a panikkelto szerzo eszebe jut) van benne
csak azert, mert egy konkret implementacio szar, nem jelentheto ki (megcsak sugallni sem kellene), hogy az osszes tobbi is az (kb olyan, mintha a shellshock kapcsan azzal jonne valaki, hogy a "dos parancssor" is sebezheto, hisz ugyanaz a ketto) -
#23
DrojDtroll
veterán
DrojDtroll
veterán
Most látom, hogy frissítva lett a cikk.
Így már sokkal korektebb.
-
rt06
veterán
válasz
#65675776
#16
üzenetére
akkor nagyon russzol nezed, mert a hiba az ISC ntp daemon-jaban (ntpd) talalhato (ez a time server, amirol meg te beszelsz, az az ntp kliens, az van minden idot halozarol frissito eszkozon, de azok ugysem hallgatoznak kifele, nem tamadhatoak - sot, ntpd sem feltetlen halgatozik, felhasznalastol fuggoen)
es bar az ISC (nem osszekeverend az ICS-sel) valoban nem szoftverfejleszto ceg, van nekik meg dhcp szerveruk/kliensuk, meg egy gagyi kis dns szerveruk is, ami bind neven terjed
-
bambano
titán
válasz
#65675776
#16
üzenetére
protokollban fogalmilag kizárt, hogy buffer overflow legyen. már csak azért is, mert protokollcsere nélkül javítani tudták, következésképp a protokoll egyébként rendben van.
a bug a protokoll szerveroldali megvalósításában, az ntpd-ben van (volt), lásd például:
"Multiple buffer overflow flaws were discovered in ntpd's crypto_recv(), ctl_putdata(), and configure() functions. A remote attacker could use either of these flaws to send a specially crafted request packet that could crash ntpd or, potentially, execute arbitrary code with the privileges of the ntp user. Note: the crypto_recv() flaw requires non default configurations to be active, while the ctl_putdata() flaw, by default, can only be exploited via local attackers, and the configure() flaw requires additional authentication to exploit."egyébként pedig az állításod ez volt:
"Minden olyan eszköz, ami neten keresztül frissíteni tudja az időt.": ami természetesen nem igaz, mert az ntp mellett van még 2-3 másik protokoll is, amivel időt lehet frissíteni, emellett ntp-n keresztül is lehet frissíteni ntpdate programmal időt. Ez utóbbi, mivel nem fut folyamatosan, nem támadható.ne keltsünk fölöslegesen pánikot.
-
#11
#65675776
törölt tag
DrojDtroll
#9
#65675776
törölt tag
válasz
DrojDtroll
#9
üzenetére
Minden olyan eszköz, ami neten keresztül frissíteni tudja az időt.
-
#51736960
törölt tag
"kihasználásához nem kell okosnak, ügyesnek, vagy tanultnak lenni... a Hálózati Idő Protokollban (Network Time Protocol, NTP) található egy multiple stack buffer overflow hiba, amely lehetőséget ad a támadónak az ntpd jogosultságaival kódot futtatni távolról."
ez gyerekjátéknak hangzik, meg anyámnak is menne...
Egy kukkot se értettem belőle. 
Új hozzászólás Aktív témák
- Dobozos DELL Inspiron 16 Fémházas Multimédiás Laptop 16" -40% Ryzen 7 8840U 8mag 16/1TB FHD+ IPS
- Csőtörés bemérés - Csőtörés Javítás Szakszerűen
- Professzionális vízszerelés 0-24 akár azonnali kiszállással
- Fiorenzato AllGround eladó
- Új Zsír Dell Inspiron 14 7441 Érintős Ultrabook Laptop -25% Snapdragon X Plus 10Mag 16/1TB SSD QHD+
- MacBook Pro 16 2021 M1 Pro 16GB 512GB 1 év garancia
- HP ZBook Studio G7 i7-10850H 32GB 1000GB Nvidia Quadro T1000 15.6" FHD 1 év garancia
- DELL Latitude 7340 i7-1365U 16GB 1000GB 13.3" FHD+ TouchScren 1 év garancia
- Gamer PC - Számítógép! Csere-Beszámítás! I7 6700 / 32GB DDR4 / RTX 2060 / 256SSD+500GB HDD
- QNAP TS-870U-RP 8 lemezes Rack NAS
Állásajánlatok
Cég: FOTC
Város: Budapest